Per qualche ora si è sospettato che
Nexi fosse stata oggetto di un data leak. All'azienda che fornisce servizi a supporto dei
pagamenti digitali, che molti italiani conoscono come "sostituta" di CartaSi, sembrava fossero stati sottratte
informazioni personali su 18 mila clienti. Come per altri data leak, queste informazioni sono state pubblicate in chiaro su Pastebin. Con un
preambolo significativo: "
Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro".
I nomi citati sono di tre manager di una delle due realtà che fondendosi hanno creato Nexi, ossia il Gruppo ICBPI (Istituto Centrale delle Banche Popolari Italiane).
Paolo Bertoluzzo è l'ex CEO ed ora Group Chief Executive Officer di Nexi.
Luca Biancardi è IT Security Architecture and Cybersecurity Manager.
Alessandro Cocciolo è Responsabile Service Management. Il riferimento a Montefeltro rimanda a una delle sedi del gruppo.
Insomma, chi ha caricato il presunto data leak aveva una chiara intenzione di colpire la società. Neanche troppo casualmente, in contemporanea con la pubblicazione dei suoi risultati finanziari. Un messaggio
sin troppo esplicito, che ha fatto porre una logica domanda. I dati contenuti nei documenti di Pastebin - ora rimossi - sono veri?
Uno dei documenti caricati su Pastebin (fonte: D3lab)Con le cautele del caso, l'ipotesi più accreditata è che possano essere
veri ma non necessariamente di Nexi. La società lo esclude nettamente. Spiegando in una nota che "
non ha rilevato alcuna violazione dei propri sistemi informatici e che nessun dato relativo alle carte di pagamento gestite da Nexi è stato in alcun modo compromesso". Niente data leak quindi, secondo Nexi. E
in tempi di GDPR negare decisamente una perdita di dati senza esserne sicuri è un bel rischio.
C'è da dire che i dati personali pubblicati sono sufficienti per un furto di identità - nome, cognome, indirizzo, codice fiscale e in alcuni casi un numero telefonico - e quindi
fonte di preoccupazione. Ma non ci sono dati sensibili legati a conti bancari o a carte di credito. Un elemento che lascia aperte due ipotesi. O chi ha effettuato il presunto data leak quei dati li ha,
ma non li ha pubblicati. E intende farne un uso ulteriore. O quei dati non li ha e le informazioni personali pubblicate vengono da chissà dove.
In questo senso Nexi sottolinea che "
in molti casi i dati anagrafici non trovano corrispondenza con i dati contenuti sui sistemi Nexi". Inoltre l'azienda gestisce una quarantina di milioni di carte, quindi essere in questo elenco è significativo fino a un certo punto. I dati potrebbero
comunque venire da un data leak bancario, magari di qualche tempo fa ed emerso solo ora.
Nexi ha "
immediatamente denunciato il fatto alle autorità competenti riservandosi ogni azione volta a tutelare i propri interessi". Sposando evidentemente l'ipotesi del
finto data leak creato ad arte per danneggiare la società. Sul data leak in sé
bisogna comunque indagare, ma il caso è già un precedente interessante.
Basta far trapelare l'ipotesi di un data leak per far
mettere in dubbio l'affidabilità di un'azienda. E magari colpirne la quotazione in Borsa. Meglio quindi
essere preparati e ben consci della propria "security posture" e di che dati si conservano, come predica il GDPR. Altrimenti qualsiasi accusa di data leak può avere impatti seri. Quasi come un vero data leak.