Dat meldt het financiële concern woensdag. De bank zegt in september en oktober van 2016, én in juni en juli van dit jaar te zijn getroffen.
Volgens UniCredit kon de hack plaatsvinden via een externe commerciële partner, die niet bij naam wordt genoemd. De bank is een onderzoek gestart en gaat aangifte doen. Ook neemt UniCredit direct maatregelen om de datalekken te dichten.
Het is niet precies bekend wat voor gegevens de hackers in handen hebben, maar zij kunnen volgens de bank toegang hebben gehad tot persoonlijke en financiële data als IBAN-nummers.
Wachtwoorden, die het mogelijk zouden maken om zonder toestemming van klanten overboekingen te maken, zijn volgens UniCredit niet gestolen.