The Italian Data Protection Authority has heavily sanctioned a leading Italian credit institution in connection with a series of shortcomings in the implementation of minimum security measures discovered after a personal data breach suffered by the bank’s IT systems between 2016 and 2017 and subsequently notified to the authority.
IL FATTO:
Con il provvedimento n. 99 del 10 giugno 2020, l’Autorità di controllo ha concluso il proprio processo sanzionatorio a carico di UniCredit S.p.A. (di seguito “UniCredit” o la Società”) con l’emissione di una sanzione pecuniaria per un valore complessivo di 600.000 euro.
L’istituto bancario era finito nel mirino del Garante ancora nel 2017, a seguito della notificazione, effettuata in data 25 luglio, di un’intrusione informatica subita dai sistemi della Società, sostanziatasi in una serie di accessi non autorizzati, effettuati impiegando le credenziali assegnate al personale di uno dei fornitori della banca, ai dati personali – in particolare dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relativi a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia” e codice Iban – di un elevato numero di clienti (ca. 762.000 soggetti).
Il data breach era già stato oggetto di un primo provvedimento, datato marzo 2019, nell’ambito del quale il Garante, a seguito di una complessa istruttoria, aveva dichiarato illecito il trattamento dei dati personali posto in essere da UniCredit ai sensi della normativa previgente al Regolamento UE 2016/679 perché effettuato in violazione delle misure minime di sicurezza previste dagli artt. 33 e ss. del Codice e dal disciplinare tecnico di cui all’Allegato B) al Codice stesso (oggi abrogati) e delle “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” come elaborate dal garante stesso. In particolare, UniCredit si era vista contestare una serie di rilevanti inadeguatezze e carenze tecniche relative all’applicativo utilizzato per effettuare gli accessi abusivi (denominato “Speedy Arena”), tra cui l’utilizzo di un non idoneo sistema di autorizzazione dell’applicativo utilizzato per effettuare gli accessi abusivi e la non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo.
Nonostante le difese presentate dalla Società, all’esito del procedimento sanzionatorio il Garante ha ritenuto di confermare le violazioni riscontrate e i conseguenti rilevanti profili di illiceità del trattamento già indicati con il provvedimento del 2019, ritenendo indispensabile un proprio intervento correttivo al fine di salvaguardare i diritti e le libertà fondamentali degli interessati a prescindere dalla notificazione della violazione di dati personali effettuata dal titolare del trattamento.
Pertanto, dopo aver ripercorso le criticità rilevate nell’applicativo Speedy Arena da ritenersi alla base dell’accesso non autorizzato ed aver confermato l’ascrivibilità della responsabilità per la mancata adozione di misure di sicurezza adeguate ad UniCredit, pur constatata la presenza di fattori attenuanti quale la l’adozione da parte della Società di misure ed iniziative volte a rafforzare la sicurezza dei propri sistemi informatici, stante la gravità della violazione, l’elevato numero di interessati coinvolti e le condizioni economiche dell’agente, il Garante ha provveduto all’erogazione di una sanzione amministrativa pecuniaria per la somma complessiva di 600.000 di euro.
PERCHÉ È IMPORTANTE:
Il provvedimento in esame è rilevante per due ordini di ragioni. In primo luogo, mette in evidenza – senza mezzi termini – come una tempestiva notifica da parte del titolare, la collaborazione con l’autorità e l’implementazione in un momento successivo al breach di misure idonee a tutelare i diritti degli interessati ed a migliorare la sicurezza dei propri sistemi non siano necessariamente di per sé sufficienti ad evitare sanzioni, anche elevate, da parte dell’autorità. In secondo luogo, getta un’ombra sul livello di attenzione posto da imprese, anche ben strutturate, dedicato alla sicurezza informatica dei propri sistemi, spesso drammaticamente basso in considerazione della quantità e della tipologia di dati trattati.
Il rispetto della riservatezza e la tutela dei dati personali si confermano sempre elementi che devono essere necessariamente tenuti in considerazione a livello di design dell’operatività aziendale, consentendo l’efficientamento dei processi e contribuendo a evitare rilevanti dispersioni economiche in caso di situazioni patologiche.
No Comments