L’Autorità Garante per la Protezione dei Dati Personali ha adottato un provvedimento sanzionatorio nei confronti di UniCredit, per via di una violazione di dati personali avvenuta negli anni scorsi, più precisamente nel 2018, che ha coinvolto a detta dell’Autorità migliaia di clienti ed ex clienti.
Nel renderlo noto, nella giornata di ieri, 7 Marzo 2024, il Garante della Privacy ha fatto riferimento al provvedimento adottato lo scorso 8 Febbraio 2024 (ecco il documento completo), attraverso il quale l’Autorità ha comminato al gruppo bancario una sanzione di 2,8 milioni di euro.
UniCredit, in particolare, ha spiegato il Garante, era stata per l’appunto interessata, nel 2018, da un imponente attacco informatico al proprio portale di mobile banking, perpetrato da cybercriminali.
Dalle verifiche effettuate dall’Autorità, a seguito della ricezione della notifica di data breach da parte della banca, era emerso che l’attacco aveva causato l’acquisizione illecita delle informazioni personali, quali nome, cognome, codice fiscale e codice identificativo, di circa 778.000 clienti ed ex clienti. Di questi, per oltre 6.800 clienti l’attacco aveva comportato anche l’individuazione del PIN di accesso al portale.
Secondo quanto riportato dal Garante della Privacy, i dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere al portale di mobile banking, anche senza effettivamente riuscirvi.
Nel corso dell’attività istruttoria, l’Autorità ha quindi rilevato diverse violazioni della normativa sulla privacy, tra cui la mancata adozione, da parte di UniCredit, di misure tecniche e di sicurezza in grado di contrastare eventuali attacchi informatici, oltre che di impedire ai propri clienti l’utilizzo di PIN deboli, composti ad esempio da sequenze numeriche, soprattutto se coincidenti con la data di nascita.
Sul caso UniCredit, il Garante è intervenuto anche nei confronti di NTT Data Italia, la società incaricata di effettuare i test di sicurezza per conto dell’istituto bancario, con l’adozione di un secondo provvedimento (ecco il documento completo), anch’esso risalente all’8 Febbraio 2024, attraverso il quale l’Autorità ha sanzionato NTT Data Italia con una multa di 800.000 euro.
Stando al provvedimento in questione, il Garante della Privacy ha accertato che NTT Data Italia aveva comunicato a UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento, dopo che la banca ne era già venuta a conoscenza tramite i propri sistemi di monitoraggio interno.
Secondo l’Autorità, inoltre, la società aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra azienda, senza l’autorizzazione preventiva di UniCredit in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.
Nei confronti di UniCredit, ad ogni modo, il Garante per la Protezione dei Dati Personali, come già detto, ha provveduto ad irrogare una sanzione di 2.800.000 euro. Un ammontare, ha precisato l’Autorità, stabilito tenendo conto del fatto che la violazione dei dati ha riguardato un numero elevato di soggetti, oltre che della gravità stessa del data breach e della capacità economica della banca.
Il Garante ha invece considerato attenuanti l’adozione tempestiva di misure correttive e le iniziative di informazione e supporto poste in essere nei confronti della clientela colpita, così come la circostanza che la violazione non ha riguardato i dati bancari.
Editing Mattia Castro
NTT DATA Italia dichiara a MondoMobileWeb che non poteva in alcun modo rilevare o essere a conoscenza di una violazione di dati personali sui sistemi del cliente, considerato che i servizi di monitoraggio delle infrastrutture di sicurezza e di rilevazione dei tentativi di attacco informatico (Threat Detection) così come quelli di gestione degli incidenti informatici (Incident Handling) non rientravano tra le attività alla stessa affidate.
NTT DATA Italia, a seguito di un’approfondita analisi del provvedimento emanato dall’Autorità, ha deciso di impugnare la decisione dinanzi al Tribunale Competente.
NTT DATA Italia è fermamente impegnata a garantire il rispetto di elevati standard di conformità agli obblighi in materia di protezione dei dati personali, essenziali per la fiducia che clienti, fornitori e partner ripongono nell’azienda.
Per rimanere aggiornato sulle novità della telefonia seguici su Google News cliccando sulla stella, Telegram, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.
Da alcuni giorni, i nuovi clienti di rete fissa Vodafone che attivano un'offerta della gamma…
A partire da oggi, 15 Luglio 2024, grazie alla nuova Promo Flash disponibile esclusivamente online,…
Nelle ultime ore, WINDTRE ha deciso di prorogare ancora le offerte mobile con minuti, 50…
Con il lancio dei nuovi Samsung Galaxy Z Flip 6 e Z Fold 6, in…
L'operatore virtuale NTmobile ha lanciato il nuovo servizio di eSIM internazionali, in collaborazione con il…
L’operatore virtuale Kena ha deciso nuovamente di prorogare la sua Promo You&Kena, permettendo così ai…
Utilizziamo i cookie per personalizzare i contenuti e gli annunci, fornire le funzioni dei social media e analizzare il nostro traffico. Scorrendo questa pagina, cliccando su un qualunque suo elemento, navigando sul sito e/o utilizzando i nostri servizi acconsenti all'uso dei cookie