Ci sono tanti modi di gestire una crisi di immagine e comunicazione. Quelli giusti, dicono i manuali, partono dalla presa di coscienza interna che di crisi si tratta e che il possibile danno di immagine dipende più da come viene gestita la crisi che dall'evento che l'ha scatenata. Il più grande errore da fare - insegnano a scuola - è quello di minimizzare o generalizzare; e la regoletta di base, diciamo l'ABC di ogni apprendista comunicatore, è quello di chiedere sempre scusa; sempre quando si ha colpa, ma spesso anche quando si potrebbe non averla proprio tutta. Scusa: semplice, immediato, diretto.

Unicredit, che qualche giorno fa ha ammesso di essersi fatta soffiare un file con i dati di tre milioni di clienti, ha mandato una lettera ai propri correntisti spiegando l'accaduto (peraltro si tratta di un atto dovuto a norma di legge). E, dimenticando tutte le regole della buona comunicazione e anche del comune buon senso di marketing, ha scritto la peggior lettera che si poteva scrivere. Insomma, la classica pezza che è peggio del buco. Ecco perché.

E-mail e cellulare NON sono dati anagrafici

[...] I dati in questione, che risalgono al 2015, sono esclusivamente di carattere anagrafico ed in particolare riguardano nome e cognome, comune e provincia di riferimento, numero di telefono cellulare, indirizzo email [...] Autore source

Non c'è bisogno di scomodare il Devoto-Oli per capire che derubricare dati come il numero di cellulare o l'indirizzo email - che sono stati sottratti - come "dati anagrafici" sia semanticamente scorretto oltre che un modo decisamente "peloso" di derubricare a danno minore l'accaduto. Cellulare e email sono dati personali che con l'anagrafe non hanno nulla a che vedere e che nessuno vuole (vorrebbe) rendere di dominio pubblico.

Chiedetelo a tutti coloro che saranno costantemente disturbati da una miriade di call center sul proprio cellulare per le peggiori proposte commerciali; o a quelli che vedranno le proprie caselle di posta pullulare di tentativi di phishing, proprio con false mail Unicredit.

Una banca è nulla senza sicurezza

[...] Ci teniamo a precisare che non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l'accesso ai conti dei clienti [...] Autore source

Unicredit rassicura i propri clienti: le password e i dati di accesso ai conti non sono entrati in possesso dei malintenzionati. Ci mancherebbe altro: se la banca - ripetiamo "banca" e non il sito del campionato di fantacalcio - avesse perso le password, beh… meglio chiudere bottega. Si può anche desiderare di avere una banca diversa o una banca che semplifica la banca; ma non c'è dubbio che la prima cosa che si chiede a una banca, cent'anni fa come oggi, è di essere totalmente sicura, inespugnabile. E sai perché? Perché alla banca il cliente affida i propri risparmi e vuole dormire sonni tranquilli. Una banca che si fa rubare i dati di 3 milioni di utenti, sarà abbastanza sicura? Ironia della sorte, lo slogan sull'home page di Unicredit è "Proteggi le cose che contano". Insomma, tra il dire e il fare…

Si sa che la gente da buoni consigli quando non può più dare cattivo esempio

[...] Alla luce del fenomeno, comune a tutto il sistema, di sempre più numerosi tentativi di utilizzo non lecito dei canali digitali- come ad esempio tentativi di phishing o altri contatti non autorizzati che potrebbero risultare dall'utilizzo di informazioni anagrafiche quali quelle in oggetto - speriamo di fare cosa utile fornendo in allegato una serie di regole di comportamento [...] Autore source

Qui arriviamo a uno dei più grandi paradossi di questa lettera infelice: Unicredit ha appena ammesso una falla non banale delle proprie procedure di sicurezza, malgrado il tentativo di minimizzazione. E quindi che fa? Si prodiga in consigli di buone pratiche su come difendersi da malware e phishing. In pratica il derubato sale in cattedra e dà lezioni di sicurezza: diremmo, con poca autorevolezza. Beninteso, i consigli magari sono buoni, a prescindere da chi li elargisce. Ma, tacere il fatto che è proprio la falla della sicurezza Unicredit ad aver esposto 3 milioni di mail a un phishing molto più mirato (i malintenzionati sanno che si tratta di correntisti Unicredit) è più di una semplice dimenticanza. È un grave omissione, peraltro mascherata con il tentativo di derubricare il phishing a "fenomeno comune a tutto il sistema". Cara Unicredit, certo che lo è un fenomeno comune. Ma per i tuoi tre milioni di clienti, ora che le email sono volate via, il fenomeno si è trasformato in emergenza. E allora questi sono consigli "interessati" per minimizzare i danni: sarebbe meglio non venderli come una disinteressata condivisione di buone pratiche.

I dati sono di proprietà del cliente. E dovrebbero valere qualcosa

Tutta la normativa sulla privacy, comprese le ultime modifiche, è compatta su un punto: i dati sono di proprietà dell'utente. Email e numero di cellulare compreso. Se sono proprietà, significa che hanno un valore. E i clienti hanno dato questo valore in custodia a un terzo, la banca in questo caso. La banca se li fa "fregare" e non pensa di ricompensare in alcuna maniera i propri clienti per la sottrazione perpetrata. Come se i dati, appunto, non avessero valore. Oltre alle scuse, quelle formali, sarebbero dovute arrivare quelle sostanziali: un vantaggio, una piccola ricompensa, uno sconto. Insomma, non c'è l'ombra neppure di un minimo ristoro per questi clienti di cui custodivi una proprietà che, per tuo errore, ti sei fatto sottrarre. Altrimenti passa il concetto implicito che i dati erano della banca e, proprio perché c'era il tuo nome, ti avviso. Bontà loro, insomma.

Ma soprattutto, non ci sono "scuse"

In una lettera di 479 parole (sì, le abbiamo contate) non compare mai la parola "scuse" o la locuzione "ci scusiamo". Neppure in quelle modalità più formali che sostanziali, tipo: "ci scusiamo con i clienti coinvolti per eventuali disagi dovessero derivare…bla, bla bla". Solo l'esposizione apparentemente distaccata dell'accaduto, una delle tante pagine di testo "da banca" che non vanno neppure lette. Proprio come Fonzie di Happy Days, con quell'insuperabile impossibilità a pronunciare le cinque lettere "scusa"...

Andrea Casini (a sinistra) e Remo Taricani (a destra), entrambi co-CEO di Unicredit Commercial Banking Italy e firmatari della lettera recapitata ai tre milioni di clienti oggetto di sottrazione dei dati.

Insomma, tutto gestito come se il furto dei dati fosse quasi più colpa dei clienti, invitati a stare attenti, che non della banca che ha mal vigilato. Insomma, un errore rosso e blu che fa pensare - e saremmo davvero stupiti del contrario - che la lettera a firma dei co-CEO Andrea Casini e Remo Taricani, non sia mai passata, prima dell'invio, dalla sapiente penna di un bravo direttore della comunicazione.

Ora, noi siamo tra i più fieri sostenitori dei pagamenti elettronici, degli sportelli web e delle banche dematerializzate. Ma due cose chiediamo - da clienti - alle banche: innanzitutto di essere mille volte più sicure del nostro materasso e più attente del nostro cane da guardia. E secondo di non chiamarci "gentili clienti" all'inizio di lettere infelici come queste per poi non dimostrarsi altrettanto "gentili" nell'ammettere le proprie colpe quando ci devono comunicare di aver sbagliato.