Un data breach (o un data leak?) solo tentato, un bluff, un messaggio a qualcuno, un’operazione di disturbo? Nella notte sono stati diffusi sul sito Pastebin elenchi con 18mila nomi e dettagli personali di presunti clienti del colosso dei pagamenti Nexi, società quotata in Borsa dallo scorso aprile, con la più grande operazione italiana dal 2000 rivolta a un pubblico qualificato.Nexi è un colosso dei pagamenti che gestisce 41,3 milioni di carte in Italia attraverso i circa 150 istituti bancari partner che rappresentano l’80% del numero di sportelli del sistema bancario nostrano. E quindi: un data breach, un bluff, un messaggio a qualcuno, un’operazione di disturbo? Il gruppo ha seccamente smentito in mattinata ogni azione malevola.

La società ha anche precisato di “non aver rilevato alcun violazione dei propri sistemi informatici e che nessun dato relativo alle carte di pagamento gestite da Nexi è stato in alcun modo compromesso”.Il gigante che collega banche cittadini e 890mila negozi, abilitando vari tipi di pagamenti digitali e gestendo 1,4 milioni di terminali Pos oltre a 13.400 Atm, conferma quanto accaduto su Pastebin, il più celebre forum per la condivisione di frammenti di codice sorgente, software, testi, database e altre informazioni sparse. Cioè la pubblicazione di oltre 18mila nominativi (nome, cognome, indirizzo, codice fiscale e solo in alcuni casi un contatto telefonico non verificato) che l’autore anonimo attribuiva a presunti clienti Nexi. Con un tempismo che lasciava pensare: proprio ieri il cda del gruppo ha approvato i risultati finanziari consolidati al 30 giugno, che confermano il solido trend di crescita operativa e finanziaria del gruppo.Ad aggiungersi ai dubbi seguiti alla pubblicazione - difficile, se non impossibile, dire in quel momento se si trattasse di un frammento effettivo del database o di dati vecchi, estratti magari da altri database e riciclati con l’obiettivo di screditare la società – arrivano ora i fermi chiarimenti dell’azienda. Oltre a smentire la violazione specifica il gruppo ha verificato come “in molti casi i dati anagrafici non trovano corrispondenza con i dati contenuti sui sistemi Nexi” e ha anche spiegato che dopo aver inviato “un’immediata diffida da parte della Società nei confronti del sito internet in questione” i dati siano stati “prontamente rimossi”.Ciascun “pastebin” ora eliminato era infatti anticipato da una formula che voleva evidentemente suonare beffarda, con un saluto ai vertici del gruppo: “Dati personali clienti Nexi Spa. Un saluto a Paolo Bertoluzzo, Luca Biancardi, Alessandro Cocciolo. Un abbraccio dagli schiavetti di Montefeltro” si leggeva all’inizio di ogni lista.Il primo è il Ceo della società, nata due anni fa dalla fusione fra a Icbpi e CartaSi, il secondo è il responsabile della sicurezza e il terzo della IT service management del gruppo. Mentre l’allusione a Montefeltro è probabilmente legata all’indirizzo di una delle sedi della società a Milano.“Se questo fosse vero, le implicazioni legali e i danni potrebbero essere estremamente grandi” aveva scritto su LinkedIn l’ethical hacker, che aveva anche fornito altri elementi su quegli elenchi che a questo punto potrebbero essere già stati diffusi prima o addirittura “riciclati”, cioè pescati da un database decotto e già noto e ampiamente sfruttato nei meandri del dark web e spacciato per quello di Nexi, o almeno per una sua piccola porzione. Compelsso capire da dove arrivassero davvero quelle informazioni. L’esperto era stato fra i primi a segnalare i documenti insieme all’account Twitter dell’agenzia di sicurezza informatica D3Lab, quando ancora l’elenco era fermo a 14mila utenti.L’intervento d Nexi, che smentisce ogni data breach, sembra dunque chiudere la questione ed etichettare l’operazione come un vero e proprio bluff, confezionato magari ad arte per influenzare le quotazioni in Borsa del gruppo. In ogni caso la società ha “denunciato il fatto alle autorità competenti riservandosi ogni azione volta a tutelare i propri interessi”.