Il Garante ha rimarcato l’importanza per le banche di adottare misure tecniche e organizzative in grado di proteggere i dati dei clienti da eventuali violazioni. In questo caso si tratta di un cyber attacco massivo risalente al 2018 che ha colpito migliaia di clienti ed ex clienti di UniCredit, sottraendo loro informazioni sensibili come nome, cognome, codice fiscale e codice identificativo. A questi si sommano oltre 6800 clienti di cui venne compromesso il PIN di accesso al portale. Questi dati furono resi disponibili attraverso la risposta HTTP del sistema della banca, accessibile a chiunque provasse ad accedere al portale, anche senza successo.
Nel corso dell’indagine, il Garante ha individuato numerose violazioni della normativa sulla privacy da parte della banca, tra cui la carenza di misure di cybersecurity e la possibilità per gli utenti di usare PIN deboli (come sequenze di numeri o date di nascita). La sanzione di 2.8 milioni è frutto di un calcolo che tiene conto dell’elevato numero di individui coinvolti, delle risorse economiche della banca e della gravità dell’incidente. D’altra parte, sono state considerate attenuanti il tempestivo intervento della banca nell’adottare misure correttive, la creazione di strumenti informativi e di supporto per i clienti e il fatto che la violazione non abbia coinvolto dati bancari.
Il Garante ha anche sanzionato NTT Data Italia, l’azienda incaricata di svolgere i test di controllo della sicurezza, con una multa di 800mila euro. L’azienda aveva comunicato la violazione dei dati personali dei clienti di UniCredit oltre il termine stabilito dal Regolamento e solo dopo che la banca era venuta a conoscenza dell’incidente tramite i suoi sistemi di monitoraggio interni. Inoltre, NTT Data Italia aveva assegnato in subappalto ad un’altra società l’esecuzione dei test di sicurezza, senza l’autorizzazione preventiva di UniCredit, violando le disposizioni della banca in qualità di titolare del trattamento.
A.L.R