New York (USA) – La settimana scorsa, negli Stati Uniti, si è consumato uno dei casi di frode bancaria più preoccupanti dell’ultimo anno, e non tanto per i numeri in ballo ma per il metodo adottato. Citibank ha ammesso che centinaia dei suoi clienti sono stati vittima di prelevamenti bancomat illegali.
La società che si occupa dell’archiviazione dei dati dei suoi clienti ha subito un attacco informatico e la sottrazione di numerosi codici PIN delle carte di debito. Tutto questo ha portato a prelevamenti fraudolenti in Canada, Russia e Gran Bretagna su conti statunitensi. In pratica, i cracker avrebbero sottratto informazioni sufficienti per clonare centinaia di carte. Citibank è intervenuta bloccando le transazioni sospette. “Stiamo contattando tutti i clienti e abbiamo avviato la spedizione di nuove carte”, ha confermato in un comunicato la banca.
Il nome della società crakkata non è ancora saltato fuori, così come non sono stati forniti i dati esatti riguardanti il volume della frode. Gli enti inquirenti hanno avviato le indagini ma qualcuno sostiene che possa esserci un legame con la sparizione di un nastro digitale, avvenuta lo scorso maggio, contenente informazioni sensibili di 3,9 milioni di clienti . Un pacchetto postale che non è mai arrivato a destinazione. Un fatto gravissimo dato che all’interno del nastro vi erano: nomi, numeri di conto, storico pagamenti, codici della Social Security e via dicendo.
Il problema della custodia del dati, comunque, non riguarda solo Citibank. Tanto più che nello scorso febbraio tutte le più importanti organizzazioni bancarie statunitensi hanno collaborato alla redazione di linee guida per la sicurezza dei servizi finanziari. BITS , il consorzio che si preoccupa degli interessi del segmento, ha collaborato a lungo con Acxiom, First Data, IBM, Viewpointe Archive Services e Yodlee per individuare la metodologia più corretta e sicura. Un impegno che purtroppo, a quanto pare, non è stato sufficiente e che anche in futuro potrebbe non dimostrarsi all’altezza. Avivah Litan, vice presidente per le ricerche di Gartner , è convinto che le cose non possano che peggiorare. Lo scam ha già colpito infatti Bank of America, Wells Fargo e Washington Mutual, così come piccole banche dell’Oregon, Ohio e Pennsylvania, e tutto in un breve lasso di tempo.
“Quello di Citibank è il peggiore caso mai visto. Non solo perché ha colpito tantissimi clienti, ma anche perché ha riguardato le carte di debito, che un tempo si pensavano immuni da questo problema per la presenza del PIN”, ha dichiarato Litan. “Il codice è come una password; se hanno violato anche questo chissà cosa succederà domani. Secondo me sono state colpite più società di archiviazione dati, ma questo certamente non verrà fuori, c’è il massimo riserbo”.
Secondo Litan, i sistemi ATM (Bancomat) normalmente sono piuttosto sicuri, mentre invece gli acquisti nei negozi sono rischiosi. Il circuito può essere violato più facilmente con la connivenza di alcuni negozianti, ma non solo. “Molti, anche solo per imperizia, archiviano le informazioni del PIN del cliente invece di cancellarle dopo l’acquisto. Sebbene le informazioni siano criptate all’interno del cosiddetto blocco PIN, le chiavi necessarie per la decriptazione sono inserite all’interno dello stesso network. Questo rende il furto del PIN estremamente semplice, come accedere in un ufficio dotato di pc protetti da password, che dispongono di post-it con su scritti i codici. L’unica annotazione è che questa operazione la compie il software, e gli operatori magari non lo sanno”, ha aggiunto Litan.
Dario d’Elia