Nome, cognome, indirizzo di residenza, data e codice fiscale e, in alcuni casi, anche il numero di cellulare. Sarebbero questi i dati personali di alcuni utenti di Nexi, un'azienda italiana quotata in borsa lo scorso aprile, che sarebbero stati rubati e resi pubblici su Pastebin, il più conosciuto forum per la condivisione di frammenti di codice, testi, software e database. Sarebbero, appunto, perché mai come in questo caso il condizionale e d'obbligo e il possibile data leak potrebbe rivelarsi in realtà una beffardata.

Il furto dei dati degli utenti di Nexi e il possibile bluff

E potrebbe esserlo, un vero e proprio bluff, non solo perché il colosso italiano collega 890 mila negozi a banche e cittadini con i pagamenti digitali gestisce oltre 13.400 ATM, 1.4 milioni di POS e 41,3 milioni di carte e perché l'azienda si è quotata in borsa lo scorso aprile con la più grande operazione italiana dal 2000, ma perché il tempismo di questo leak è stato a dir poco svizzero ed è tutto successo nella stessa giornata in cui il consiglio d'amministrazione del gruppo doveva approvare i risultati finanziari consolidati al 30 giugno. Risultati che, tra l'altro, non hanno fatto altro che confermare la forte tendenza di crescita finanziaria ed operativa di Nexi.

"Dati personali clienti Nexi Spa. Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro", si legge in calce a ciascun documento contenente i dati personali degli utenti Nexi. Un "saluto", pensato dai data leaker quasi con tono beffardo, diretto praticamente a tutti i vertici del gruppo. Il primo è il CEO dell'azienda, il secondo è il responsabile della sicurezza e il terzo  è il responsabile della IT service management del gruppo. L'allusione a Montefeltro invece, potrebbe essere legata all'indirizzo di una delle sedi della società a Milano (il cui indirizzo è proprio Via Montefeltro, 6A). Un particolare che potrebbe già essere considerato una valida pista per identificare l'autore della pubblicazione dei documenti.

Secondo Pawel Zorzan Urban, un ethical hacker molto conosciuto nel settore, nonché uno dei primi esperti a segnalare la pubblicazione dei documenti, "l'analisi delle prime porzioni di database ha portato ad un totale di 14.241 record privati esposti. 1709 record comprendono numeri di cellulare associati a persone fisiche".

Quali sono i dati personali rubati agli utenti di Nexi

Prima che il presunto leak fosse eliminato da Pastebin, si contavano almeno sei lunghi documenti composti da migliaia di di utenti ciascuno, per un totale complessivo molto prossimo alle 15mila unità, nei quali sono stati elencati Nome, cognome, indirizzo di residenza, data e codice fiscale e, in alcuni casi, anche il numero di cellulare. Nessun dato finanziario, quindi. Ed anche se stabilire la correttezza delle informazioni pubblicate è, ad oggi, praticamente impossibile, su Twitter alcuni degli utenti storici del gruppo non hanno rilevato alcuna corrispondenza.

È stata però effettuata qualche verifica a campione partendo dai codici fiscali, che sembrerebbe confermare l'uniformità di ogni singola voce anche se, ed anche qui il condizionale è d'obbligo, la corrispondenza di un codice fiscale con i relativi dati anagrafici è talmente semplice e automatizzatile, che è molto probabile l'ipotesi che vede la compilazione dei documenti in oggetto realizzata proprio partendo dal CF.

"Se questo fosse vero, le implicazioni legali e i danni potrebbero essere estremamente grandi" – ha pubblicato su LinkedIn Pawel Zorzan Urban, che ha inoltre sottolineato come sia essenziale accertarsi sull'originalità dei dati pubblicati, verificando che non si tratti informazioni "riciclate" da un database già noto ed ampiamente utilizzato dagli hacker, spacciato poi per quello con i dati di Nexi.

La risposta di Nexi

Su questo particolare caso Nexi non si è ancora pronunciata. È chiaro però che, considerando i fatti, le ipotesi che si tratti di un leak reale – seppur piuttosto ridotto – oppure di un vero e proprio bluff studiato ad arte per influenzare (negativamente) le quotazioni in Borsa del gruppo, sono entrambe più che lecite.

Ciò che manca per giungere al finale di questa singolare vicenda è proprio l'intervento di Nexi, obbligata a questo punto di fornire il giusto inquadramento e le giuste spiegazioni a questo (possibile) data leak.