Unicredit ha terminato ieri la prima tappa del programma di acquisto di azioni ordinarie per un totale di 2,5 (2,499) miliardi. Le informazioni sono state fornite da Goldman Sachs International, quale intermediario incaricato. Il programma di riacquisto era partito lo scorso ottobre e a fine 2023 risultavano già acquistati 1,4 miliardi. Nel dettaglio, a seguito dell’annullamento delle azioni proprie avvenuto lo scorso 16 gennaio, l’istituto di credito, guidato da Andrea Orcel, detiene 37.815.422 azioni proprie pari al 2,20% del capitale sociale, che conta di annullare come stabilito dalla delibera dell’assemblea degli azionisti del 27 ottobre del 2023.
Dividendo: valore finale per azione sale a 1,8029 euro, sopra il provvisorio di 1,7950
Ora che è stata completata la prima tranche del programma di buy-back 2023, il valore finale del dividendo per azione riferito all’esercizio 2023 e che verrà pagato nel corso del 2024 è stato fissato a 1,8029 euro, più del dato provvisorio di 1,7950 euro anticipato al mercato il 29 febbraio. L’ammontare complessivo dei dividendi che la banca ha proposto all’assemblea degli azionisti di distribuire è pari 3,014 miliardi di euro.
Nel 2023 iIl programma di buyback della banca ha generato un utile per azione (EPS) di 4,71 euro, triplicando la media del periodo 2017-2019. Il dividendo per azione (DPS) è stato di 1,78 euro, registrando un aumento di nove volte rispetto alla media nel periodo 2017-2019. Inoltre, il Tangible Book Value per azione è salito a 33,3 euro, rappresentando un aumento del 46,0% rispetto alla media nel periodo 2017-2019.
Il titolo in Borsa è in calo. In tarda mattinata quota 36,53 euro con una perdita dell’1,29% contro una crescita dell’intero listino dello 0,02%.
Sanzione da 2,8 milioni dal Garante per la privacy
Secondo gli osservatori, a pesare sulla quotazione può essere anche la notizia della mega sanzione da 2,8 milioni imposta ieri all’istituto di piazza Gae Aulenti dal Garante per la privacy per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti.
Dalle verifiche effettuate dall’Autorità – a seguito della ricezione della notifica di data breach da parte della banca – è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale.
Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione a 2 milioni e 800 mila euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.
UniCredit ha risposto alla sanzione sottolineando che la decisione del Garante riguarda un incidente risalente al 2018 che ha interessato una frazione della clientela italiana senza alcuna compromissione di dati bancari, incidente che peraltro era stato immediatamente risolto e notificato in ossequio alla normativa vigente. La banca impugnerà la decisione dinanzi il Tribunale compente. “La sicurezza dei dati dei clienti è una assoluta priorità per UniCredit, che nell’ambito del piano industriale Unlocked 2022-2024 sta investendo 2,8 miliardi di euro in tecnologia e nuove competenze, con l’obiettivo di rendere sempre più efficaci i propri sistemi informatici, rafforzare ulteriormente la sicurezza e ampliare l’offerta di servizi digitali per la clientela”, si legge in una nota.
Il garante sanziona anche Ntt Data Italia, incaricata di fare i test di sicurezza
Con l’adozione di un secondo provvedimento l’Autorità è intervenuta anche nei confronti di Ntt Data Italia, la società incaricata di effettuare i test di sicurezza, sanzionandola con una multa di 800mila euro. Dalle verifiche effettuate dal Garante, in particolare è emerso che Ntt Data Italia aveva comunicato ad UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno. Inoltre, Ntt Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.
La replica di Ntt Data
Ntt Data Italia dichiara che “non poteva in alcun modo rilevare o essere a conoscenza di una violazione di dati personali sui sistemi del cliente, considerato che i servizi di monitoraggio delle infrastrutture di sicurezza e di rilevazione dei tentativi di attacco informatico (Threat Detection) così come quelli di gestione degli incidenti informatici (Incident Handling) non rientravano tra le attività alla stessa affidate”. Ntt Data Italia, “a seguito di un’approfondita analisi del provvedimento emanato dall’Autorità, ha deciso di impugnare la decisione dinanzi al Tribunale competente”.
