Il caso dell’attacco cyber in Brasile: una lezione globale sulla gestione dei rischi ICT dei fornitori terzi
🕵️♂️ Panoramica dell’incidente
Data dell’attacco: nella notte tra il 30 giugno e il 1° luglio 2025.
Obiettivo iniziale: l’infrastruttura di un importante fornitore di servizi tecnologici brasiliano (C&M Software), utilizzato da numerose fintech e banche digitali per la connettività al sistema dei pagamenti nazionale (Pix, bonifici, pagamenti digitali).
Modalità dell’attacco
Vettore d’ingresso: phishing, social engineering e furto di credenziali interne, sfruttando vulnerabilità nella supply chain della società target.
Compromissione di credenziali legittime: Gli attaccanti hanno utilizzato accessi validi appartenenti al fornitore, operando come utenti autorizzati senza la necessità di installare malware o violare direttamente sistemi bancari.
Accesso alle riserve presso la banca centrale: Tramite questi accessi, i cybercriminali hanno ottenuto accesso ai conti di riserva utilizzati da diversi istituti per la regolazione interbancaria.
Volume e impatto finanziario
Ammontare totale sottratto: tra 1 e 1,5 miliardi di reais (circa 170–250 milioni di euro).
Perdita principale di una banca coinvolta: circa 400 milioni di reais, di cui oltre 160 milioni già recuperati.
Altre istituzioni coinvolte: anche altri intermediari finanziari hanno segnalato transazioni sospette simili.
Nessun impatto diretto sui clienti finali:
I fondi sottratti provenivano da riserve interbancarie presso la Banca Centrale, senza toccare i conti degli utenti privati.
Risposta delle autorità e delle aziende
Banca Centrale brasiliana:
Ha ordinato la sospensione immediata degli accessi del fornitore compromesso all’infrastruttura finanziaria nazionale.
Ha avviato un’indagine coordinata con la polizia locale.
Fornitore attaccato:
Ha confermato la violazione, sottolineando che non sono stati coinvolti dati sensibili dei clienti finali.
Ha collaborato attivamente alle indagini e ha implementato misure di contenimento.
Principale banca impattata:
Ha rilevato movimenti anomali grazie agli alert automatici.
Ha informato rapidamente i clienti, attivato le procedure di recupero e minimizzato le perdite residue.
Il supporto dei maggiori operatori bancari ha permesso di mantenere la continuità operativa.
Cronologia sintetica
30 giugno – notte Inizio delle transazioni fraudolente
30 giugno – mattina Individuazione del primo movimento sospetto
1 luglio - Identificazione ufficiale dell’attacco e sospensione accessi
1–2 luglio - Proseguimento indagini, prime somme recuperate
3 luglio - Il fornitore riprende le operazioni (convalidato dalla Banca Centrale)
Lezioni e ripercussioni
Rischio sistemico: Un singolo fornitore centrale può compromettere l’intero ecosistema finanziario, amplificando la fragilità dovuta alla dipendenza da terzi.
Importanza della gestione dei rischi di terzi: Occorre rafforzare i controlli di filiera, introdurre autenticazione multifattoriale e monitoraggio costante degli accessi privilegiati.
Regolamentazione più severa: Ci si attende un inasprimento dei requisiti di compliance e cybersecurity da parte delle autorità brasiliane.
Pressione sul modello BaaS (Banking as a Service): L’incidente evidenzia la necessità di rafforzare le barriere tra fintech, fornitori tecnologici e infrastrutture di pagamento nazionali.
Conclusioni
L’attacco è stato un esempio di cybercrime sofisticato:
Ha sfruttato credenziali valide, colpendo il punto più critico della catena (il fornitore tecnologico) e permettendo il trasferimento di ingenti riserve interbancarie senza penetrare direttamente i sistemi delle banche tradizionali o dei clienti finali.
La risposta rapida delle banche coinvolte e delle autorità, insieme al recupero parziale dei fondi, ha permesso di contenere i danni. Tuttavia, l’episodio rappresenta un chiaro campanello d’allarme per tutto il settore: è urgente rafforzare la gestione preventiva dei rischi di terzi, adottare modelli di controllo avanzati e anticipare la regolamentazione, come già richiesto dalle nuove normative europee (DORA).