Arriva la sanzione del Garante Privacy per il data breach subito da Unicredit tra il 2016 e il 2017 su 762mila clienti e ammonta a 600 mila euro. Il provvedimento sanzionatorio emesso dal Garante nei confronti di Unicredit[1], pubblicato nella newsletter di ieri dello stesso Garante, non tiene però conto del Gdpr perché fa riferimento a violazioni risalenti ad un periodo antecedente alla sua entrata in vigore.
Il data breach è stato comunicato nel luglio 2017 cui è seguita una complessa attività istruttoria culminata con il provvedimento del 28 marzo 2019[2].
Indice degli argomenti
Il data breach Unicredit
L’evento di violazione ha riguardato gli accessi abusivi ai dati di circa 762 mila clienti in seguito ad un’intrusione nei sistemi dell’applicativo per la gestione delle richieste dei finanziamenti. Le informazioni oggetto di violazione hanno riguardato, a detta della stessa Unicredit dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di identità nonché informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e identificativo Iban.
Dagli accertamenti ispettivi svolti, le vulnerabilità del sistema hanno riguardato più profili di sicurezza e vulnerabilità tanto nella componente di front-end che di back-end.
I problemi di sicurezza Unicredit
Prima di tutto, la mancata gestione degli accessi secondo il criterio del privilegio minimo necessario con la possibilità invece da parte di ciascun incaricato del trattamento di accedere ad ogni pratica di finanziamento e non alle sole pratiche di propria competenza. A tale riguardo, la regola n. 12 del disciplinare tecnico di cui all’all. B Cod. Privacy prescriveva l’adozione di un sistema di autorizzazione nell’ipotesi di incaricati con diversi profili di autorizzazione.
È stato oggetto di rilevazione un errore di programmazione nella gestione dei log di tracciamento delle operazioni effettuate da parte del personale esterno (agenti in attività finanziaria o loro dipendenti/collaboratori), a causa del quale non era effettuata la registrazione del codice del cliente interessato dall’operazione di accesso e l’indisponibilità dei log degli ultimi 24 mesi. Inoltre, sempre con riferimento alle operazioni svolte dal personale esterno, nel periodo antecedente a dicembre 2017 non era stata implementata alcuna funzione di alert per comportamenti anomali o a rischio. La predisposizione delle misure anzidette e il monitoraggio delle stesse attraverso audit interno di controllo sono misure specificamente prescritte dal Provv. 12 maggio 2011 in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie[3].
In seguito alle ispezioni, Unicredit ha adottato le misure per il ripristino del corretto funzionamento dei sistemi di autorizzazione, log e alert, nonché programmato lo svolgimento di attività di audit interno per aumentare la sicurezza dei sistemi informativi e prevenire analoghi eventi di data breach (c.d. “crash program”).
All’esito degli accertamenti svolti, il Garante ha comunque contestato la violazione degli artt. 162 co. 2-bis e co. 2-ter Cod. Privacy per la mancata adozione delle misure minime di sicurezza e inosservanza delle prescrizioni impartite dal Garante, nonché dell’art. 164-bis co. 2 Cod. Privacy per aver commesso le suddette violazioni in relazione a banche dati di particolare rilevanza e dimensione, ed emesso una conseguente sanzione amministrativa pecuniaria per l’importo di 600 mila euro.
Dal momento che sono stati applicati i massimali edittali del previgente Codice, si può ritenere che qualora simili violazioni vengano commesse nel periodo di vigenza del GDPR le sanzioni applicabili potrebbero prevedibilmente raggiungere importi tali da risultare davvero “effettive, proporzionate e dissuasive”.
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9429195
[2] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9104006
[3] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1813953
