UniCredit

È costata cara a UniCredit la violazione di dati personali avvenuta nel 2018 e originata da un attacco informatico al sistema di mobile banking che ha visto il coinvolgimento di migliaia di clienti ed ex clienti.

L’istruttoria nei confronti di UniCredit

Attraverso l’attacco l’Istituto di Credito aveva subito l’illecita acquisizione di dati relativi a nome, cognome, codice fiscale e codice identificativo di circa 778.000 utenti, 6.800 dei quali avevano visto, altresì, violato il PIN di acceso al portale.

Dall’istruttoria emergeva anche che tutti i dati violati venivano resi disponibili all’interno della risposta http fornita dai sistemi informatici della Banca al browser di chiunque tentasse, anche senza riuscirvi, di accedere al portale di mobile banking attraverso la procedura di autenticazione informatica.

Ebbene, le violazioni emerse risultavano essere molteplici.

In particolare, il Garante accertava che UniCredit non aveva implementato misure tecniche e di sicurezza tali da contrastare, in maniera efficace, attacchi informatici e di impedire ai propri utenti l’utilizzo di PIN poco sicuri e deboli.

Il secondo Provvedimento

Inoltre, a seguito delle attività di verifica, l’Autorità adottava un secondo provvedimento nei confronti della società NTT Data Italia, per l’importo di €.800.000,00.

Due le violazioni eccepite al fornitore: dall’indagine emergeva, infatti, il mancato rispetto del termine previsto dal Regolamento per la comunicazione all’Istituto di Credito della violazione dei dati dei propri clienti, circostanza aggravata dal fatto che di ciò la Banca era venuta a conoscenza per il tramite dei propri sistemi di monitoraggio interno; e l’affidamento delle attività di vulnerability assessment e penetration test ad una società terza, cui non era stata fornita preventiva autorizzazione della Banca che, anzi, aveva contrattualmente vietato l’affidamento di tale attività a soggetti terzi.

La sanzione

Nella definizione della sanzione, il Garante ha considerato il numero di soggetti coinvolti, la gravità della violazione subita da questi e la capacità economica dell’Istituto.

Sono state considerate, invece, quali attenuanti, le misure correttive tempestivamente adottate, le informazioni ed il supporto fornito alla clientela durante le fasi immediatamente successive agli attacchi, nonché il fatto che la violazione non abbia riguardato dati bancari.

La risposta di UniCredit

UniCredit ha comunicato di voler impugnare la decisione dinnanzi al Tribunale competente “La decisione del Garante riguarda un incidente risalente al 2018 che ha interessato una frazione della clientela italiana senza alcuna compromissione di dati bancari”  spiega UniCredit, “incidente che peraltro era stato immediatamente risolto e notificato in ossequio alla normativa vigente.”

“La sicurezza dei dati dei clienti è una assoluta priorità per UniCredit” sottolinea la banca, che prosegue affermando come “nell’ambito del piano industriale Unlocked 2022-2024 sta investendo 2,8 miliardi di euro in tecnologia e nuove competenze, con l’obiettivo di rendere sempre più efficaci i propri sistemi informatici, rafforzare ulteriormente la sicurezza e ampliare l’offerta di servizi digitali per la clientela“.

Attendiamo, quindi, gli sviluppi di tale comunicato.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!