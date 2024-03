“Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente”, afferma il Garante privacy nel sanzionare UniCredit banca per un data breach avvenuto nel 2018, che ha coinvolto migliaia di clienti ed ex clienti.

Nel 2018 Unicredit aveva notificato al Garante, come si legge nel provvedimento, la violazione di dati personali verificatasi a seguito di un attacco informatico al sistema di on-line banking per il canale web mobile che ha determinato l’acquisizione illecita di alcuni dati personali di clienti – nome, cognome, codice fiscale e codice identificativo interno della banca, con esclusione dei dati bancari.

Dopo la notifica del data breach, il Garante ha effettuato verifiche dalle quale è emerso che “ la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking – si legge nella newsletter dell’Autorità – L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking”.

Durante l’istruttoria il Garante ha trovato diverse violazioni della normativa privacy. E ha accertato che la banca non aveva adottato misure tecniche e di sicurezza adeguate a contrastare eventuali attacchi informatici e a impedire ai clienti di usare Pin “deboli” – come quelli composti da sequenze di numeri che coincidono con la data di nascita.

La sanzione di 2 milioni e 800 mila euro è stata definita sulla base dell’alto numero di soggetti coinvolti nella violazione dei dati personali, della gravità e della capacità economica della banca, mentre sono state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari. Con un secondo provvedimento il Garante ha multato per 800 mila euro anche la società incaricata di effettuare i test di sicurezza.