Cos’e successo?
Nel novembre 2025, la Habib Bank AG Zurigo, una banca privata con sede in Svizzera e radici pakistane, e stata vittima di un devastante attacco ransomware da parte del gruppo Qilin (noto anche come Agenda). Gli aggressori hanno penetrato i sistemi informatici della banca ed esfiltrato circa 2,5 terabyte di dati altamente sensibili prima di formulare la richiesta di riscatto.
Qilin e uno dei gruppi ransomware tecnicamente piu competenti e opera un modello Ransomware-as-a-Service (RaaS). Il gruppo e attivo dal 2022 e si e specializzato in attacchi contro organizzazioni con dati particolarmente meritevoli di protezione.
L’attacco e particolarmente grave perche i dati esfiltrati sono stati pubblicati sul sito di leak di Qilin nel Darknet dopo la scadenza del termine di pagamento. Tra i dati:
- Dati dei conti e cronologie delle transazioni di clienti bancari
- Numeri di passaporto e copie dei documenti d’identita (documenti KYC)
- Codice sorgente interno di applicazioni bancarie
- Corrispondenza commerciale riservata e documenti di conformita
- Dati dei dipendenti inclusi i fascicoli del personale
Chi e stato colpito?
La Habib Bank AG Zurigo e una banca privata regolata dalla FINMA con circa 8’000 dipendenti nel mondo.
- Clienti bancari in tutto il mondo: i loro dati dei conti e documenti d’identita sono stati compromessi
- Dipendenti: i fascicoli del personale con informazioni personali sensibili facevano parte dei dati esfiltrati
- La piazza finanziaria svizzera: l’incidente solleva questioni fondamentali sulla cybersicurezza delle banche in Svizzera
- Autorita di regolamentazione: la FINMA e l’IFPDT devono esaminare l’incidente
- Partner commerciali e banche corrispondenti: comunicazioni interbancarie riservate potrebbero essere state compromesse
La pubblicazione di documenti KYC e particolarmente delicata: copie di passaporti e prove d’identita di clienti bancari sul Darknet consentono il furto d’identita su larga scala.
Qual e stata l’entita dei danni?
| Categoria di danno | Costo stimato |
|---|---|
| Risposta all’incidente e forense | CHF 2-5 mio. |
| Ripristino dei sistemi e audit di sicurezza | CHF 3-8 mio. |
| Requisiti regolatori e misure FINMA | CHF 5-15 mio. |
| Consulenza legale e azioni di responsabilita | CHF 5-10 mio. |
| Notifica e monitoraggio clienti | CHF 2-5 mio. |
| Comunicazione di crisi e gestione della reputazione | CHF 1-3 mio. |
| Fuga di capitali clienti (patrimoni in gestione) | CHF 50-200 mio. |
| Danno reputazionale (lungo termine) | Difficilmente quantificabile |
| Danno totale diretto stimato | CHF 18-46 mio. |
Il danno maggiore risulta probabilmente a lungo termine dalla perdita di fiducia. Per una banca privata il cui modello d’affari si basa su discrezione e affidabilita, la pubblicazione dei dati dei clienti sul Darknet e una minaccia esistenziale.
Una cyberassicurazione avrebbe aiutato?
Analisi dei costi e copertura assicurativa
| Voce di costo | Costo stimato | Coperto dalla cyberassicurazione? |
|---|---|---|
| Risposta all’incidente e forense | CHF 2-5 mio. | Si — prestazione chiave |
| Ripristino dei sistemi e audit | CHF 3-8 mio. | Si — generalmente coperto |
| Requisiti regolatori e misure FINMA | CHF 5-15 mio. | Parzialmente — multe spesso escluse |
| Consulenza legale e azioni di responsabilita | CHF 5-10 mio. | Si — componente responsabilita civile |
| Notifica e monitoraggio clienti | CHF 2-5 mio. | Si — obbligo normativo |
| Comunicazione di crisi e RP | CHF 1-3 mio. | Si — spesso incluso |
| Fuga di capitali clienti | CHF 50-200 mio. | No — danno indiretto |
| Compromissione codice sorgente (risviluppo) | CHF 5-15 mio. | Parzialmente — dipende dalla polizza |
| Danno reputazionale (lungo termine) | Difficilmente quantificabile | No — non assicurabile |
| Danno totale stimato | CHF 70-260 mio. | ~20-35% potenzialmente coperto |
Conclusione: Per gli istituti finanziari, una cyberassicurazione e importante ma ben lungi dall’essere sufficiente. I costi diretti si lasciano assicurare bene. I danni maggiori — perdita di fiducia, fuga di clienti e conseguenze regolatorie — non sono tuttavia assicurabili o lo sono in misura molto limitata.
Insegnamenti per le PMI svizzere
-
I dati altamente sensibili richiedono la massima protezione: Le aziende che trattano documenti d’identita, dati finanziari o sanitari sono obiettivi particolarmente attraenti.
-
L’esfiltrazione di 2,5 TB avrebbe dovuto essere rilevata: Un deflusso di dati di questa portata indica gravi lacune nel sistema di Data Loss Prevention (DLP).
-
I documenti KYC sono oro per i criminali: Copie di passaporti sul Darknet permettono abusi d’identita per anni.
-
Il codice sorgente non appartiene alla rete ordinaria: La compromissione del codice sorgente e particolarmente pericolosa.
-
Le conseguenze regolatorie pesano: La FINMA puo imporre misure severe in caso di violazione del dovere di diligenza.
-
La cyberassicurazione protegge il bilancio, non la reputazione: Una polizza ammortizza i costi diretti, ma non puo compensare la perdita di fiducia dei clienti.
Proteggete la vostra azienda
Il caso della Habib Bank dimostra drasticamente cosa succede quando dati altamente sensibili finiscono nelle mani sbagliate. Per ogni azienda che tratta dati dei clienti, la protezione di questi dati e un compito fondamentale.
Richiedete una consulenza senza impegno. Gli esperti di BTAG Versicherungsbroker AG a Berna analizzano il vostro profilo di rischio individuale e trovano la cyberassicurazione adatta alla vostra azienda — in modo indipendente e trasparente.