2,8 milioni di euro. A tanto ammonta la sanzione del Garante Privacy nei confronti di Unicredit per il data breach avvenuto nel 2018, che ha coinvolto circa 778mila clienti ed ex clienti, di cui poi 6.800 hanno anche subìto anche attacchi informatici. Il motivo della sanzione? Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. Questo il principio affermato dal Garante nel recente provvedimento nei confronti della banca.
Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza, NTT Data Italia.
La decisione dell’Autorità è esemplare anche perché è stata sanzionata anche la società incaricata di effettuare i test di sicurezza, NTT Data Italia, con una multa di 800mila euro. Dalle verifiche effettuate dal Garante, in particolare è emerso che NTT Data Italia aveva comunicato ad UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.
Inoltre, NTT Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.
L’indagine del Garante sul data breach, cosa è emerso
e Dalle verifiche effettuate dall’Autorità – a seguito della ricezione della notifica di data breach da parte della banca – è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.
Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione a 2 milioni e 800 mila euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.