L’anello debole legale di Wall Street: JPMorgan e Goldman violati tramite l’hack di uno studio legale

Non sono stati i caveau di JPMorgan Chase o Goldman Sachs a essere scassinati dagli hacker - ma i loro avvocati. In un colpo di scena degno di un noir finanziario, entrambe le potenze di Wall Street sono state costrette ad ammettere che dati riservati degli investitori sono sfuggiti ai controlli quando il loro studio legale esterno, Fried, Frank, Harris, Shriver & Jacobson LLP, ha subito un attacco informatico furtivo. La violazione, emersa per la prima volta con la comunicazione di Goldman a dicembre e riecheggiata questa settimana da JPMorgan, mette a nudo il rischio insito nell’affidare dati sensibili a partner terzi dotati di proprie porte digitali.

La violazione è arrivata all’attenzione pubblica tramite una comunicazione obbligatoria depositata presso l’Ufficio del Procuratore Generale del Maine - un requisito legale per qualsiasi azienda la cui fuga di dati coinvolga residenti del Maine. La notifica ha rivelato che una “terza parte non autorizzata” aveva copiato silenziosamente file da un’unità di rete condivisa presso Fried Frank, prestigioso studio legale che rappresenta alcuni dei maggiori attori finanziari al mondo.

I file contenevano una miniera d’oro per i ladri d’identità: nomi, informazioni di contatto, numeri di conto, numeri di Social Security e perfino numeri di passaporto o di documenti d’identità governativi degli investitori in fondi di private equity. Per JPMorgan, almeno 659 persone sono vittime confermate; Goldman Sachs, che ha effettuato una comunicazione simile a fine 2025, non ha reso noto il proprio conteggio.

Pur affrettandosi entrambe a sottolineare che i loro sistemi centrali sono rimasti intatti, la violazione evidenzia una tendenza in crescita: gli aggressori stanno prendendo di mira studi legali e altri “obiettivi morbidi” nella catena di fornitura finanziaria, invece delle banche stesse. Gli studi legali, con i loro archivi di documenti riservati e difese informatiche talvolta meno robuste, sono diventati una redditizia porta sul retro per i criminali informatici.

La risposta ufficiale di Fried Frank è misurata: avrebbero “agito prontamente” per contenere l’incidente, ingaggiato esperti di cybersicurezza di prim’ordine e avvisato le forze dell’ordine. Eppure, lo studio ora deve affrontare cause legali e clienti scettici che chiedono risposte. È significativo che nessun gruppo ransomware abbia rivendicato pubblicamente l’attacco, e Fried Frank sostiene che non vi siano prove che i dati sottratti verranno utilizzati in modo improprio - alimentando la speculazione che un riscatto possa essere stato pagato in silenzio per tenere la violazione lontana dai titoli.

Questo episodio rientra in un quadro più ampio: negli ultimi anni, studi legali e fornitori di servizi professionali hanno segnalato violazioni che hanno colpito centinaia di migliaia di persone. Mentre regolatori e clienti chiedono maggiore trasparenza, la dipendenza del settore finanziario da fornitori terzi è sotto una nuova lente d’ingrandimento. Il messaggio è chiaro: una fortezza è forte solo quanto il suo guardiano più debole.

Mentre Wall Street fa i conti con le conseguenze, la violazione di Fried Frank è un promemoria netto: nell’era digitale, i tuoi segreti sono al sicuro solo quanto le mani meno protette che li custodiscono. Per investitori e istituzioni, il rischio di terze parti non è più un’ipotesi - è una minaccia in prima linea.

WIKICROOK

• Violazione dei dati: Una violazione dei dati si verifica quando soggetti non autorizzati accedono o sottraggono dati privati da un’organizzazione, spesso portando all’esposizione di informazioni sensibili o riservate.
• Terza parte: Una “terza parte” è un soggetto esterno i cui sistemi si collegano alla tua organizzazione, potenzialmente aumentando i rischi di cybersicurezza attraverso nuovi percorsi di integrazione.
• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, richiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.
• Unità di rete condivisa: Un’unità di rete condivisa è uno spazio di archiviazione digitale sicuro su una rete, accessibile da più utenti per archiviare, condividere e gestire file all’interno di un’organizzazione.
• Avviso di divulgazione: Un avviso di divulgazione è una comunicazione ufficiale alle persone riguardo a una violazione dei dati, che dettaglia i dati coinvolti e le azioni consigliate, spesso richiesta dalla legge.