Il Garante Privacy ha emesso una sanzione di 2,8 milioni di euro nei confronti di UniCredit per il data breach avvenuto del 2018, che ha coinvolto migliaia di clienti. La novità è che è stata sancita anche una multa di 800.000 euro alla società informatica incaricata dei test di sicurezza.
Questo fatto sottolinea che sia il titolare che il responsabile del trattamento sono chiamati a rispondere e a pagare. La responsabilità, infatti, si estende anche a chi fornisce servizi di sicurezza informatica.
Il Data Breach di UniCredit: fatti e conseguenze
Nel 2018, UniCredit è stata vittima di un massiccio attacco informatico al portale di mobile banking, coinvolgendo circa 778.000 clienti ed ex clienti. I dati personali come nome, cognome, codice fiscale e PIN di accesso al portale, sono stati compromessi.
Il Garante, nel corso dell’istruttoria, ha rilevato diverse violazioni in materia di privacy da parte della banca, che non aveva adottato misure tecniche sufficienti per contrastare gli attacchi informatici e impedito l’uso di PIN deboli. La violazione ha portato alla disponibilità non autorizzata di dati personali tramite la risposta HTTP fornita ai browser degli utenti.
Analisi dell’Istruttoria e delle responsabilità
L’istituto bancario aveva implementato alcune misure di sicurezza come il blocco quantitativo delle connessioni e un meccanismo di identificazione umana, ma queste non sono state sufficienti.
Anche la società incaricata dei test di sicurezza è stata oggetto di istruttoria. Si è scoperto che, nonostante l’effettuazione dei test, erano state individuate diverse vulnerabilità, alcune delle quali con gravità elevata, a cui non è seguita l’implementazione di misure di salvaguardia adeguate.
Le misure di sicurezza adottate
UniCredit ha fornito ulteriori dettagli sulle misure di sicurezza implementate, come il login protetto da username e password separate, il blocco dell’account dopo tre password errate e il monitoraggio delle transazioni per individuare eventuali frodi.
Il Garante ha tuttavia ritenuto che queste misure non fossero sufficienti a proteggere adeguatamente i dati personali.
Le sanzioni e le implicazioni del data breach di UniCredit
La sanzione di 2,8 milioni di euro a UniCredit si è basata sull’elevato numero di persone coinvolte, la gravità della violazione e la capacità economica della banca, mentre la società informatica incaricata dei test di sicurezza è stata multata con 800.000 euro.
Le motivazioni del Garante riguardavano l’illiceità del trattamento dei dati, evidenziando una responsabilità generale del titolare del trattamento nei confronti delle violazioni commesse.
UniCredit ha già annunciato che impugnerà la decisione davanti al Tribunale competente, evidenziando la complessità delle questioni legali e tecnologiche coinvolte.
Conclusioni e Riflessioni
Il data breach di UniCredit mette in evidenza la necessità di misure di sicurezza adeguate che possano proteggere nel modo corretto i dati personali.
Un’azione che risulta fondamentale per molte ragioni, inclusi rispetto della privacy, obblighi legali, sicurezza aziendale, competitività e reputazione. Le aziende, soprattutto le banche, dovrebbero implementare politiche e misure più robuste di cybersecurity per proteggere questi dati preziosi e mantenere la fiducia dei propri clienti.