SitusAMC, un importante fornitore di finanziamenti immobiliari che offre servizi a grandi banche statunitensi, ha rivelato di aver subito un incidente informatico che potrebbe aver esposto dati collegati a diverse istituzioni finanziarie. L’azienda ha segnalato la violazione il 12 novembre e ha dichiarato che gli aggressori hanno ottenuto accesso a sistemi interni che conservano documenti e registri elaborati per conto dei clienti. SitusAMC ha detto alle istituzioni interessate che alcune informazioni relative ai clienti contenute in questi sistemi potrebbero essere state anch’esse accessibili. L’azienda ha dichiarato che la violazione è stata contenuta e che le operazioni sono riprese dopo il ripristino dei controlli tecnici. L’entità dei dati compromessi non è ancora stata confermata.
L’incidente ha attirato l’attenzione perché SitusAMC collabora con molte banche famose, tra cui JPMorgan Chase, Citigroup e Morgan Stanley. Queste organizzazioni si affidano al fornitore per l’elaborazione del mutuo, il supporto alla sottoscrizione e le funzioni contabili legate ai portafogli di prestiti. I documenti gestiti tramite la piattaforma possono includere bilanci, storie di pagamento, documenti legali e informazioni sulla proprietà. Se i dati appartenenti ai clienti bancari fossero archiviati nell’ambiente interessato, l’esposizione potrebbe riguardare dettagli finanziari sensibili. Ogni istituzione sta ora esaminando i propri documenti per determinare se le informazioni dei clienti possano essere state influenzate.
SitusAMC non ha reso noto il numero di clienti interessati né il volume di dati coinvolti. L’azienda ha dichiarato di collaborare con le forze dell’ordine e specialisti esterni. Ha notificato gli enti regolatori come richiesto e ha informato le organizzazioni clienti della potenziale esposizione. Poiché la violazione ha coinvolto un fornitore e non la rete interna di una banca, le istituzioni finanziarie devono fare affidamento sulle conclusioni del fornitore per valutare il rischio. Questa dinamica evidenzia le sfide che le organizzazioni affrontano quando si affidano a fornitori terzi per elaborare o archiviare informazioni critiche.
Gli incidenti di terze parti sono un problema crescente nei settori che dipendono da complesse catene di approvvigionamento tecniche. Le banche spesso utilizzano piattaforme esterne per l’originazione, la gestione e l’analisi dei mutui a causa della grande quantità di documentazione coinvolta. Quando uno di questi fornitori subisce una violazione, il rischio a valle si estende a più istituzioni. Anche se i sistemi interni di una banca rimangono sicuri, i dati archiviati presso un fornitore possono fornire agli aggressori informazioni che supportano furto d’identità, frodi o ingegneria sociale mirata. La natura interconnessa dei servizi finanziari significa che un singolo compromesso può influenzare molte organizzazioni contemporaneamente.
Si consiglia ai clienti che potrebbero essere collegati alle istituzioni coinvolte di prestare attenzione a transazioni sconosciute, cambi di conto o notifiche impreviste. Se gli aggressori ottenevano documenti finanziari o identificatori personali, potevano tentare di impersonare clienti o avviare attività fraudolente. Le persone dovrebbero esaminare gli avvisi del conto, assicurarsi che l’autenticazione multifattore sia attiva ed essere cauti con comunicazioni non richieste relative a mutui o allo stato del conto. Le banche di solito contattano direttamente i clienti se identificano un’esposizione confermata, e gli utenti dovrebbero fare affidamento sui canali ufficiali per gli aggiornamenti.
L’incidente ha suscitato nuove domande su come le istituzioni finanziarie gestiscono la sicurezza e la supervisione dei fornitori. Le banche sono tenute a verificare i fornitori di servizi esterni, ma la visibilità completa dei sistemi dei fornitori può essere difficile da mantenere. La situazione con SitusAMC potrebbe influenzare le future discussioni normative su obblighi di audit, segregazione dei dati e segnalazione degli incidenti. Per ora, l’indagine continua e l’intera entità della violazione rimarrà poco chiara fino al completamento della revisione dell’azienda.