Data Breach: Banca Sella

Indice

È ormai passato qualche giorno dal data breach di Banca Sella ed è arrivato il momento di tirare qualche considerazione in merito a quanto accaduto, fuori da ogni polemica ma con la volontà di capire eventuali errori commessi ed imparare da loro.

Cosa è successo

  • 05/04/2024: inizio dei disservizi
  • 08/04/1014: rilascio del comunicato iniziale
  • 10/04/2024: rilascio del secondo comunicato
  • 11/04/2024: perfezionamento del comunicato
  • 12/04/2024: chiusura del data breach

Banca Sella nei giorni scorsi ha subito un data breach di origine interna e di natura colposa. Uno dei sistemi informatici in suo possesso e soggetto ad aggiornamento, ha restituito un errore e questo ha provocato errori e problematiche nei servizi telematici. I problemi, di conseguenza, si sono presto estesi alla clientela costringendo la Banca ad una serie di comunicazioni pubbliche che sono state oggetto di molte critiche.

La comunicazione svolta da Banca Sella su X (ex Twitter) in merito all’incidente, è iniziata il giorno 08/04/2024 alle ore 17:17. Il messaggio immediatamente precedente è del 29/04/2024 e riguardava l’intelligenza artificiale. La banca inizia quindi ad occuparsi pubblicamente dei clienti su Twitter il giorno lunedì 08 aprile 2024 alle ore 17:17.

Principali problemi nella comunicazione

In merito all’inizio dei disservizi

Alcuni clienti, tuttavia, rispondono che i “rallentamenti” nell’utilizzo dei servizi, si sono iniziati a verificare molto prima: il giorno venerdì 5 aprile 2024. In merito c’è un utente che scrive chiaramente:

Non è causa degli aggiornamenti del fine settimana: il sito è in tilt già da venerdì pomeriggio prima delle 16.

Tweet di S.C. il giorno10/04/2024 ore 23:59

L’imprecisione nella comunicazione del disservizio è un primo problema di comunicazione: l’incapacità di identificare correttamente l’inizio dei problemi viene intesa come scarsa professionalità. Se non riesco ad individuare i problemi all’interno della mia infrastruttura, diventa difficile riuscire a risolverli o, quantomeno, a gestire con competenza i clienti.

La questione sui rallentamenti

Fin dal principio, Banca Sella ha sostenuto che i problemi avessero causato “rallentamenti” al sistema. Il rallentamento è un fenomeno teso, per l’appunto, rallentare la fruizione/esecuzione di un servizio che, in ogni caso, rimane operativo e disponibile per gli utenti, per i clienti di una banca questo è essenziale.

Il problema, a detta degli utenti, è che i rallentamenti non erano tali bensì “blocchi” veri e propri nella fruizione del servizio. Un utente, ad esempio, scrive:

I “rallentamenti” sono la totale impossibilità di accedere ai conti, fare e ricevere pagamenti, utilizzare l’app. Operatività aziendale e personale totalmente bloccata. Dite chiaramente cosa sta succedendo e quando risolverete, abbiamo bisogno di utilizzare i nostri soldi.

Tweet dell’utente: V.G. del 10/04/2024 ore 13:21

L’esperienza vissuta dagli utenti non è stata quella di un rallentamento, bensì di un evento bloccante che è tutt’altra cosa e che ha provocato molta irascibilità nella community dei clienti di Banca Sella. Messaggi come quello dell’utente V.G. sono tanti. Un altro esempio è:

Quale definizione avete di “rallentamenti”? Il sito non fa entrare a prescindere. Prelievi fuori uso. Pagamenti carta o telefono non vanno. Transazioni online bloccate. Non avete una banale procedura di “rollback” quando fate aggiornamenti catastrofici nel weekend?

Tweet dell’utente: W.R. del 08/04/2024 ore 18:46

Si potrebbe andare avanti inserendo altri messaggi ma lo scopo non è “fare polemica” su un incidente informatico ma notare come la comunicazione di un istituto bancario affermi una cosa (la presenza di “rallentamenti”), mentre gli utenti affermino per giorni un’altra cosa (la presenza di problemi “bloccanti”).

I successivi avvisi

Dal giorno 10/04/2024, Banca Sella inizia una nuova fase di comunicazione: con informazioni sempre più precise e puntuali. Si comincia a leggere maggiori informazioni in merito al problema tecnico: ad esempio si avvisa la clientela del coinvolgimento dell’azienda Oracle nella risoluzione del disservizio. Si legge chiaramente della predisposizione di una pagina dedicata preposta ad informare gli utenti. Insomma è chiaro a tutti che Banca Sella ha iniziato ad essere maggiormente reattiva e precisa nelle sue comunicazioni. Reattività e precisioni che sono arrivate dopo giorni decisamente problematici per i clienti.

Troppi giorni. Dovevo fare delle operazioni. Come minimo dovreste pensare a i a forma di risarcimento, anche solo commissioni 0 per un tot di operazioni di trading. Quello che sta succedendo è davvero inaccettabile nei tempi…Valuto la chiusura del conto.

Tweet dell’utente: S. del 11/04/2024 ore 11:07

Ma anche commenti dai toni decisamente più accesi come quello riportato di seguito:

Siete da Galera. passo tutto a revolut e grazie e arrivederci (a mai più).

Tweet dell’utente: S.F. del 10/04/2024 ore 16:33

Insomma, la clientela è arrivata esasperata dai problemi e dalla comunicazione della banca che, secondo molti di loro, è stata ritenuta assolutamente inefficace e non addirittura irrispettosa.

Alcuni tweet apparsi su X

Comunicare una crisi

In questo portale, il giorno 19 luglio 2019, è stato pubblicato un articolo chiamato “La Gestione della Comunicazione di un Data Breach”. L’articolo affronta chiaramente le modalità con cui deve essere svolta la comunicazione di un incidente informatico, stabilendo regole esatte che hanno origine dalla comunicazione di crisi.

La comunicazione di un incidente non può essere opaca o imprecisa: nel caso di Banca Sella non può confondere un rallentamento con un blocco. Nè può permettersi, per giorni, di ripetere lo stesso annuncio di comunicazione quando gli utenti non lo trovano soddisfacente e richiedono a gran voce maggiori chiarimenti.

La comunicazione di un incidente deve essere soprattutto tempestiva, chiara e trasparente.

Da un punto di vista tecnico, tra l’altro, i problemi bloccanti hanno un peso, una rilevanza e una modalità di trattamento molto diversa da un rallentamento che, di base, non impedisce la fruizione del servizio ma la rende solo più difficile.

Una nota in merito al comportamento degli utenti

Ma perchè la comunicazione di crisi deve essere fatta seguendo queste regole di trasparenza? Essenzialmente per due motivi: il primo è perchè è dovuta ai clienti. Il secondo motivo è che non tutti gli utenti hanno le medesime reazioni all’incidente. Bisogna riconoscere a Banca Sella l’onere di dover gestire una situazione davvero critica che, per lo più, non è stata tecnicamente compresa (come è giusto che sia) dai clienti. Una situazione in cui nessun tecnico si sarebbe voluto trovare e il coinvolgimento di Oracle dimostra la complessità dello scenario tecnico da gestire.

Pertanto, seppur altamente giustificato dalla frustrazione e dal disservizio, la clientela non ha mai avuto la competenza tecnica per riconoscere la complessità dello scenario. Chiaramente con questo non si vuole attribuire “una colpa” o una responsabilità agli utenti/clienti ma solo far notare che è anche per questo motivo che la comunicazione di un data breach deve essere tempestiva, chiara e trasparente. Per scongiurare la formazione di ulteriori complessità provenienti proprio dai clienti.

Conclusioni

La vicenda accaduta a Banca Sella ha evidenziato una considerevole inefficienza ed inefficacia nella comunicazione con gli utenti; è certamente qualcosa da cui imparare e di cui fare tesoro. S’inserisce, tuttavia, in un contesto più ampio in cui molti soggetti afflitti da data breach, preferiscono continuare a comunicare in modo opaco, spesso derubricando l’accaduto o, quantomeno, non fornendo da subito, gli elementi di chiarezza necessari per acquietare gli animi.

Era così difficile, fin dal primo giorno di disservizio, specificare che il data breach era di carattere colposo e non doloso; fornendo le informazioni sul conflitto software in fase di aggiornamento e chiarendo da subito che i tempi sarebbero stati lunghi e che la banca avrebbe provveduto a fornire dei rimborsi?

Questo non avrebbe risolto il problema, certamente no ma indubbiamente avrebbe certamente comportato due cose:

  1. l’effettiva dimostrazione di rispetto verso la clientela, che sarebbe stata trattata in modo trasparente e chiaro.
  2. una minore rimostranza da parte degli utenti nei confronti dell’istituto di credito.

Comunicare un data breach è parte della fase di gestione dell’incidente informatico: fase oggetto d’ispezione, di valutazione e, nel caso, di provvedimento da parte dell’Autorità Garante.