Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. Lo ha affermato il Garante per la privacy nel sanzionare UniCredit banca per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti.
Dalle verifiche effettuate dallโAutoritร – a seguito della ricezione della notifica di data breach da parte della banca – รจ emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. Lโattacco aveva causato lโacquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti โattaccatiโ, aveva comportato anche lโindividuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.
Nel corso della complessa attivitร istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, lโAutoritร ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire lโimporto della sanzione a 2 milioni e 800 mila euro, il Garante ha considerato lโelevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravitร della stessa e la capacitร economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.
Con lโadozione di un secondo provvedimento lโAutoritร รจ intervenuta anche nei confronti di NTT Data Italia, sanzionando la societร con una multa di 800mila euro. Dalle verifiche effettuate dal Garante, in particolare รจ emerso che NTT Data Italia aveva comunicato ad UniCredit lโavvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.
Inoltre, NTT Data Italia aveva affidato lโesecuzione delle attivitร di vulnerability assessment e penetration testing in subappalto ad unโaltra societร , senza lโautorizzazione preventiva alla banca in qualitร di titolare del trattamento, che invece aveva espressamente vietato lโaffidamento a terze parti di tali attivitร .
Uff. Stampa
GARANTE DELLA PRIVACY
