Sono bastati quindici minuti. Solo un quarto d'ora e il gruppo di hacker Anonymous ha dimostrato quanto vulnerabili siano i sistemi di sicurezza online delle banche italiane, o almeno di una di queste. Lanciando così fondati sospetti sulla capacità che gli istituti hanno di tutelare i dati e i soldi dei propri clienti.

Un'azione che rimette in discussione l'argomento della sicurezza dei conti online, vero tabù per le banche, come dimostra la totale assenza di notizie diffuse alla stampa. Se ogni giorno si viene a conoscenza di siti e sistemi di governi, aziende, social network che ricevono la visita degli hacker o dei cybercriminali, è molto più raro che si abbiano informazioni sulle violazioni dei sistemi bancari. Violazioni che tuttavia non mancano.

"Abbiamo deciso di testare una banca, la Cassa di Risparmio di Ravenna, per renderci conto della sicurezza che gli istituti bancari possono offrire ai propri clienti" spiega a L'Espresso 'c1r', uno dei promotori del movimento Anonymous in Italia "La scelta è stata fatta a caso attraverso una ricerca su Google. In 15 minuti abbiamo preso possesso del portale attraverso una falla nel cms (content managment system ndr)". Un buco nella sicurezza piuttosto evidente, spiega ancora 'c1r', e da imputarsi a "persone senza competenze e programmatori che sono scimmie".

La falla in questione ha permesso agli hacker di impossessarsi del sito della banca, separato dalla piattaforma dedicata ai conti veri e propri, ma non per questo meno importante. "Avendo accesso ad un cms è possibile fare un piano di phishing di alto livello" - spiega c1r - "Un utente deve entrare nel pannello del suo account bancario, ma cambiando il login con uno fasullo i dati arriverebbero a noi".

Un'operazione tutto sommato semplice ma che avrebbe potuto causare danni rilevanti, e che se fosse stata eseguita da malintenzionati avrebbe lasciato il libero accesso a migliaia di conti prima che la banca potesse accorgersene.

Una volta dimostrata la possibilità di modificare il sito, quelli di Anonymous si sono limitati a diffondere un comunicato sull'azione, non rivelando il nome della banca "Non abbiamo cambiato la pagina principale della banca con la nostra immagine di "deface" - si legge nel comunicato - per non rischiare una strumentalizzazione dell'attacco dai parte dei media, e soprattutto per mantenere il servizio online senza danneggiare gli onesti cittadini". Se il nome dell'istituto è stato in seguito diffuso, è a causa di in un comunicato rilasciato dalla banca in cui quelli di Anonymous vengono apostrofati come "hacker malviventi", definizione che non ha fatto piacere al collettivo.

La facilità di violare la Carira è però solo un esempio dei problemi di sicurezza che affrontano gli istituti bancari, nazionali e non. Come dichiarato dall'ufficiale della Polizia Postale Marco Valerio Cervellini, nell'ultimo anno le banche sono state "massacrate" da questo tipo di attacchi, che però solo raramente vengono denunciati per motivi di immagine. "E' meglio perdere 100.000 euro per qualche furto e contrattare - continua 'c1r' - o perdere la credibilità che equivale a milioni di euro?".

Che ormai i furti in banca si facciano sempre meno con la pistola allo sportello e sempre più attraverso i sistemi informatici lo dimostrano i dati. Secondo l'Abi, l'associazione degli istituti di credito italiani, il numero di rapine in banca nel nostro paese è calato in quattro anni del 52%, ed è stato nel 2010 pari a 1.423 colpi (una media di 3,9 al giorno), che bastano tuttavia a rendere il nostro lo Stato con più rapine di tutta Europa.

Nel frattempo si è però registrato un boom di conti che possono operare in rete e che, sempre secondo l'Abi, a fine 2009 erano 15 milioni e mezzo con un aumento del 17% rispetto all'anno precedente. Con l'aumento dei conti online sono cresciute le truffe e i fenomeni come il phishing, e lo scorso anno è salito a 2.900 il numero di persone denunciate in Italia per "hacking", per un giro d'affari milionario e assai difficile da stimare (nel 2008 almeno 3 milioni di euro sono stati sottratti ai conti online degli italiani).

La difficoltà di mantenere la sicurezza di questi sistemi non è comunque un problema delle sole banche italiane: a giugno l'americana Citigroup ha dovuto ammettere la violazione di oltre 200mila conti, con i relativi dati di accesso a migliaia di carte di credito. Per non parlare della scottatura presa da Sony con la violazione dei server del suo network: contenevano i dati delle carte di credito di milioni di giocatori.