UniCredit ha sottolineato che l'intrusione «è avvenuta attraverso un partner commerciale esterno italiano». Secondo le risultanze della banca, una prima violazione sembra essere avvenuta nei mesi di settembre e ottobre 2016, mentre è stata appena individuata una seconda intrusione avvenuta nei mesi di giugno e luglio 2017.
La banca «ha immediatamente adottato tutte le azioni necessarie volte ad impedire il ripetersi di tale intrusione informatica», e ha messo a disposizione il numero verde dedicato 800 323285 per i clienti che desiderino ulteriori informazioni. Il personale della propria filiale di riferimento è a disposizione per qualsiasi ulteriore informazione. La banca contatterà i clienti interessati mediante canali di comunicazione specifici. Per ragioni di sicurezza non verranno utilizzate la posta elettronica o le telefonate dirette. «La tutela e la sicurezza dei dati dei propri clienti sono per UniCredit una assoluta priorità e nell'ambito del recente piano industriale Transform 2019 il gruppo sta investendo 2,3 miliardi di euro per rafforzare e rendere sempre più efficaci i propri sistemi informatici».
La Procura di Milano ha aperto un'indagine per ora carico di ignoti per accesso abusivo al sistema informatico e violazione della privacy.
L'inchiesta è coordinata dai pm Alberto Nobili, responsabile del pool antiterrorismo deputato ad occuparsi anche di 'cybercrimè, e dal collega Enrico Pavone i quali hanno delegato la Polizia Postale ad effettuare gli accertamenti sull'intrusione relativa ai prestiti personali degli utenti e l'accesso ad alcuni dati anagrafici e codici Iban.