UniCredit, dal Garante sanzione per 2,8 milioni di euro per violazioni della normativa privacy

Le banche sono tenute ad adottare ogni misura tecnico-organizzativa e di sicurezza al fine di evitare che i dati dei propri clienti possano essere sottratti in modo non lecito. A stabilirlo è il Garante per la privacy, che ha inflitto una sanzione a UniCredit banca per una violazione di dati personali avvenuta nel 2018. Il data breach ha coinvolto migliaia di clienti ed ex clienti. 

A seguito delle verifiche effettuate dall’Autorità, è emerso che la violazione era stata provocata da un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.

Le violazioni riscontrate 

L'attività istruttoria è stata complessa. Il Garante ha rilevato diverse violazioni della normativa privacy, tra cui la non dazione da parte della banca di adeguate misure tecniche e di sicurezza in grado di contrastare eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come quelli composti da sequenze di numeri o coincidenti con la data di nascita). La sanzione è stata definita in 2 milioni e 800 mila euro: il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono state ritenute attenuanti l'adozione tempestiva di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.

Con l’adozione di un secondo provvedimento, l’Autorità è intervenuta anche nei confronti di NTT Data Italia, sanzionando la società con una multa di 800mila euro. Dalle verifiche effettuate dal Garante, è emerso che NTT Data Italia aveva comunicato a UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.

NTT Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto a un’altra società, senza la preventiva autorizzazione alla banca in qualità di titolare del trattamento, che invece aveva vietato in modo esplicito l’affidamento a terze parti di tali attività.