Privacy

AssetProtection. In banca non c’è posto per gli spioni

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

Il controllo indiscriminato dei movimenti di un cliente da parte dei dipendenti di banca può configurare violazione secondo il Garante per la Privacy

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Immaginate che lei sia la dipendente di una banca. Lui, com’è facile pensare, utilizzerà conto corrente, bancomat e carte di credito dello stesso gruppo bancario. Glielo ha suggerito lei; così per qualsiasi eventualità, ogni operazione sarà più facile da gestire.

Le cose tra lui e lei, ad un certo punto, prendono una piega inaspettata.

Lui comincia ad essere più distratto, meno attento nei confronti di lei.

E lei comincia a sospettare della sua migliore amica.

Guarda caso anche lei ha conto corrente, bancomat e carta di credito della stessa banca.

Il dubbio è sempre più forte e probabilmente chiedendo chiarimenti vis à vis, lui negherebbe tutto.

Allora lei decide di dare un’occhiata ai movimenti della carta di lui, per scovare qualche acquisto (magari anche importante) non dichiarato.

Dà un’occhiata anche a quelli dell’amica per vedere se ci sono movimenti che combaciano con quelli di lui: forse si sono concessi un pomeriggio di shopping insieme.

E dalla morbosa curiosità di un giorno, questo controllo si trasforma in una routine ogni volta che lui risulta sfuggente oppure ha il cellulare spento.

Indistintamente dalla correttezza morale del comportamento di lui – non è una questione che ci riguarda –  i controlli che compie lei, secondo il Garante per la Privacy, possono configurare una violazione.

Infatti con il provvedimento 192 del 2011 – Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie – il Garante ha definito anche le regole per impedire che attraverso indebito accesso, verosimilmente da parte di alcuni dipendenti […] dati sensibili dei clienti di una banca (quali movimentazioni di conto correnti e carte di pagamento) venissero utilizzati anche  […] in separazioni giudiziali e procedure esecutive, in particolare, in pignoramenti presso terzi.

Per questa ragione, tra le disposizioni descritte, è prevista anche l’attivazione di un controllo sui sistemi informativi utilizzati che, dal punto di vista tecnico, si articola in due fasi principali.

La prima riguarda la produzione di appositi log relativi al tracciamento delle operazioni dispositive e di consultazione effettuate sulle posizioni dei clienti della banca, registrando il codice identificativo del soggetto che svolge il trattamento (il dipendente), la data e l’ora d’esecuzione dell’operazione (anche solo consultazione), il codice della postazione di lavoro utilizzata, il codice del cliente interessato dall’operazione e la tipologia del rapporto contrattuale.

La seconda invece prevede la capacità del sistema, a fronte dei log raccolti, di individuare eventuali comportamenti anomali.

Questa seconda fase, seppur facilmente comprensibile dal punto di vista concettuale, racchiude una vasta gamma di implicazioni tecniche che spaziano dal tema dei Big Data alle attività di individuazione e correzione dei falsi positivi.

Inoltre, dal punto di vista giuridico, è necessario considerare che, nel caso in cui un potenziale comportamento anomalo venga identificato effettivamente come estraneo rispetto all’ambito dell’autorizzazione al trattamento, questo possa ricadere nel contesto di quanto specificato nell’art. 615 ter del codice penale. Infatti si deduce dall’interpretazione fornita dalle Sezioni Unite (Cass. 7/02/2012, n. 4696) che, indistintamente dalle finalità perseguite dal soggetto che accede legittimamente al sistema, il fatto che vi permanga per uno scopo non strettamente connesso all’incarico attribuito dal titolare dei dati, possa anche rappresentare una permanenza ultronea rispetto alla volontarietà dello stesso.

Qualora effettivamente sussistesse questa relazione, le conseguenze per lei potrebbero essere veramente importanti.

Infatti, prescindendo dall’applicazione del codice disciplinare adottato dalla banca, che potrebbe comportare il licenziamento, il titolare potrebbe anche decidere di presentare una denuncia querela.

Qualora questa dovesse evolversi, fino a comportare una sentenza di condanna (per permanenza ultronea nei sistemi rispetto alla volontarietà del titolare), nella peggiore delle ipotesi, lei rischierebbe il carcere.

L’attuazione di quanto previsto in ambito di tracciamento delle operazioni bancarie è scaduta già da un po’: giugno 2014.

E’ vero, qualche volta l’attuazione di un provvedimento può slittare, ma facciano attenzione gli spioni, perché arrivano le prime richieste di chiarimento sulle consultazioni compiute e, anche se ufficialmente sarà difficile averne notizia, qualche testa è già saltata.

Leggi le altre notizie sull’home page di Key4biz