Sanzione da 600mila euro a Unicredit per due data breach

La società, pur avendo segnalato al Garante della privacy la violazione subita, non ha evitato la multa

600mila euro. È la sanzione comminata dal Garante della privacy a Unicredit per due data breach. I fatti risalgono al luglio del 2017 quando la società con sede a Milano ha informato l’Autorità Garante di essere stata vittima di una intrusione informatica che ha determinato accessi non autorizzati ai dati personali di circa 762.000 clienti, effettuati con le credenziali di alcuni dipendenti di un partner commerciale esterno attraverso un’applicazione, denominata Speedy Arena,  che consente la gestione delle richieste di finanziamento relative, in particolare, alla cessione del quinto dello stipendio.

La violazione si è verificata in due momenti diversi, tra l’aprile del 2016 e il luglio del 2017 e ha riguardato vari dati personali dei clienti come quelli anagrafici e di contatto, la professione, il livello di studio, gli estremi identificativi di un documento di identità nonché informazioni relative al datore di lavoro, il salario, l’importo del prestito, lo stato del pagamento, l’approssimazione della classificazione creditizia del cliente e l’identificativo Iban.

Avviata immediatamente una approfondita istruttoria, il Garante della privacy ha riscontrato una serie di gravi mancanza del gruppo bancario. Innanzitutto l’inidoneità del sistema di autorizzazione dell’applicazione Speedy Arena. La violazione, come rilevato dall’Autorità garante, è stata infatti resa possibile “da alcune debolezze nella sicurezza dell’applicativo Speedy Arena, sia nella componente di front-end web (che mostrava in chiaro l’identificativo della pratica; era sufficiente modificare questo numero nel corrispondente URL per ottenere la visualizzazione della pratica dal back-end, il database sottostante l’applicazione) che in quella di back-end (che non verificava se la richiesta di accesso ai dati di una pratica fosse generata da un utente autorizzato)”.

Il Garante ha riscontrato anche l’inadeguatezza e la non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicazione Arena, la mancata implementazione di alert per le operazioni svolte attraverso l’applicazione Arena e la mancata esecuzione di opportune attività di audit interno di controllo.

Le misure tecniche e organizzative adottate da Unicredit a seguito dei data breach per evitare il ripetersi di nuove violazioni e l’immediata segnalazione allo stesso Garante, non sono bastate a evitare la sanzione.

Il Garante, infatti, “considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, ha ritenuto necessario l’applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca”.

Tra le motivazioni della sanzione di 600mila euro, si è tenuto conto, tra le varie cose, del fatto che le violazioni sono state commesse nei confronti di un vasto numero di clienti e che la banca, dopo le violazioni stesse, ha adottato diverse misure per rendere più sicuri i propri sistemi informatici.

FONTE: garanteprivacy.it