Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La guida

La gestione del rischio privacy nel settore banking: tutte le regole

Il settore banking è sottoposto a precisi adempimenti in materia di protezione dei dati, come previsto dalle normative in materia: attuare un piano di gestione del rischio privacy aiuta nella gestione degli obblighi. Ecco come procedere correttamente nell’attività di risk management

02 Gen 2020
N
Matteo Navacci

Data protection counsel, DPO, Co-Founder Privacy Network


Le normative in materia di sicurezza e protezione dei dati personali (GDPR, Direttiva NIS, Direttiva PSD2) hanno indubbiamente aumentato gli obblighi e gli adempimenti imposti ad un settore ad alto rischio come quello del banking, obbligato di fatto ad adottare un piano di gestione del rischio privacy.

È però innegabile che sviluppare un risk management framework in grado di assicurare nel tempo la conformità delle attività di trattamento e adeguati livelli di sicurezza possa portare evidenti vantaggi a tutto l’ecosistema – oltre che aumentare la fiducia delle persone verso un settore che forse più degli altri in questo periodo ne ha bisogno.

Il concetto di rischio

Il rischio è un’unità di misura utile a stimare gli effetti dell’incertezza sulle attività umane. Qualsiasi decisione umana deriva da una valutazione del rischio, spesso inconsapevole. È attraverso questa attività che le persone e le organizzazioni sono in grado di misurare gli effetti dell’incertezza sul raggiungimento dei propri obiettivi futuri. Il rischio può essere definito come una funzione dell’impatto che un certo evento potrebbe avere sugli obiettivi perseguiti e la sua probabilità di accadimento.

Intraprendere una valutazione del rischio non è attività semplice, ed è fondamentale utilizzare la metodologia corretta a seconda del contesto di riferimento. La valutazione del rischio è solitamente inserita all’interno di un più ampio processo di risk management, in grado di guidare le decisioni aziendali nel corso del tempo e migliorare i processi interni.

Prima di intraprendere qualsiasi attività di valutazione del rischio è però necessario definire gli obiettivi su cui diversi rischi possono influire negativamente. Essendo un’attività complessa e costosa, tradizionalmente le organizzazioni tengono in considerazione soltanto quei rischi che in qualche modo possono impattare negativamente sulla mission aziendale, sulle funzioni operative o sulla propria immagine e reputazione.

A questi obiettivi “interni”, si aggiungono poi una serie di obiettivi “normativi”, dettati da leggi, regolamenti, codici di condotta, best practice e standard internazionali. Anche nella prassi, tuttavia, queste fonti tendono a considerare soltanto obiettivi – ed i relativi rischi – che possano andare a vantaggio del settore di riferimento.

Con l’entrata in vigore del GDPR il legislatore europeo ha voluto dare inizio ad un fondamentale cambio di paradigma. Le organizzazioni ora sono tenute a perseguire un nuovo obiettivo, estraneo rispetto alla mission aziendale e trasversale rispetto ad ogni settore di riferimento: la protezione dei dati personali trattati.

Gestione rischio privacy nel settore banking e GDPR

Tutte le attività di trattamento di dati personali sono pericolose. Per la prima volta le organizzazioni devono tenere in considerazione, oltre ai rischi che possono compromettere i propri obiettivi, anche tutti quei rischi che possono compromettere in qualche modo diritti e libertà delle persone fisiche di cui trattano dati personali.

Il principale riferimento normativo in questo senso è l’art. 32 GDPR, che obbliga le organizzazioni a mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio – tenuto conto, tra le altre cose, della natura, dell’oggetto, del contesto del trattamento e delle sue finalità, nonché del rischio per i diritti e libertà delle persone fisiche.

La disposizione è chiara: le organizzazioni sono tenute a adottare ogni misura necessaria a garantire un livello adeguato di sicurezza dei dati trattati. Il concetto di adeguatezza richiama implicitamente il concetto di rischio: non può esserci alcuna valutazione di adeguatezza senza una valutazione del rischio.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

I parametri principali di cui tener conto per la valutazione del rischio in materia di sicurezza delle informazioni sono tre: riservatezza, integrità, disponibilità. A questi tre parametri, devono aggiungersi oggi altri tre elementi, che sintetizzano i principi della protezione dei dati personali: minimizzazione, trasparenza, controllo.

Il GDPR ha consacrato, per la prima volta, la necessità di tener conto sia della sicurezza dei dati, che della loro protezione – così come definito dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea. Ogni persona ha diritto alla protezione dei dati personali che la riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate, e in base al consenso ella persona interessata o a un altro fondamento legittimo previsto dalla legge.

Il settore del banking, le cui attività di trattamento pongono particolari rischi per le persone fisiche, non fa eccezione, ed anzi è oggetto di normativa specifica che richiama espressamente la necessità di assicurare la protezione dei dati personali e la sicurezza delle attività.

Gli artt. 94 e 95 della Direttiva UE 2015/2366 (“PSD2”), recepita in Italia con il D.lgs. 218/2017, prevedono l’espresso obbligo di trattare dati personali in conformità con la direttiva 95/46/CE (ora abrogata e sostituita dal GDPR) e di adottare misure di mitigazione e meccanismi di controllo adeguati a gestire i rischi operativi e di sicurezza relativi ai servizi di pagamento prestati dagli operatori finanziari.

Banking e rischio: i quattro punti fondamentali

Gestire i rischi inerenti alla sicurezza delle informazioni e alla protezione dei dati personali significa esaminare contesti complessi, interconnessi, e spesso eterogenei tra loro. Per farlo è quindi fondamentale implementare un risk management framework completo, adeguato al contesto e che possa garantire un approccio olistico.

Nel settore banking, anche alla luce della rivoluzione portata in campo dalla Direttiva PSD2 ci sono alcuni punti fondamentali da tenere in considerazione:

  • Compliance. Assicurare la conformità delle attività di trattamento di dati personali realizzate non è più una questione meramente burocratica. Compliance post GDPR significa accertarsi che i processi aziendali interni siano in grado di sostenere nel tempo adeguati livelli di protezione e sicurezza dei dati personali trattati, che sono ormai la linfa vitale di qualsiasi organizzazione. Rispettare una normativa come il GDPR significa migliorare la trasparenza, migliorare la sicurezza interna, e aumentare il coinvolgimento delle persone, con beneficio della singola organizzazione e di tutto l’ecosistema in cui questa opera.
  • Supply chain. Oggi più che mai il settore del banking si rivolge a terzi per dare in outsourcing numerosissime attività – dalle campagne marketing all’uso di software as a service, fino all’utilizzo di soluzioni di storage e backup in cloud. La scelta di utilizzare servizi esterni per realizzare attività di trattamento di dati personali comporta numerosi rischi per la sicurezza e per la protezione dei dati personali trattati. In questo senso, nel banking più che in altri settori è possibile notare la rivoluzione portata in campo dal GDPR – che obbliga le imprese a tenere in considerazione anche i rischi derivanti dai fornitori L’art. 28 del GDPR dispone infatti che il titolare del trattamento debba scegliere soltanto responsabili del trattamento in grado di dare congrue garanzie in merito alla conformità delle attività di trattamento e alla loro sicurezza. I risvolti per un settore complesso come quello del banking sono ampi: la valutazione dei fornitori non dovrà interessare soltanto quelli incaricati a realizzare attività rischiose per l’organizzazione, ma soprattutto i fornitori a cui sono demandate attività rischiose per i diritti e libertà delle persone fisiche. In questa categoria rientrano certamente le società di marketing, che non pongono particolari rischi alla mission e operatività aziendale, ma che invece potrebbero essere fonte di rischio meritevole di attenzione per quanto riguarda le persone fisiche.
  • Monitoraggio dei rischi e delle minacce. In un settore delicato come quello del banking è fondamentale essere in grado di monitorare rischi e minacce, migliorando costantemente il proprio risk management framework. Il monitoraggio dovrebbe riguardare anche la capacità di rilevare incidenti di sicurezza e violazioni di dati personali tempestivamente. Purtroppo, anche in settori tecnologicamente avanzati e consapevoli dei rischi come questo, la realtà è che è spesso difficile accorgersi di aver subito una violazione di dati personali (data breach), come dimostra la cronaca attuale. È infatti notizia recente la scoperta, da parte di Unicredit, di un data breach subito nel 2015 e scoperto soltanto nel tardo 2019, che ha comportato il furto di circa 3 milioni di dati personali di clienti. Non riuscire a rilevare tempestivamente un data breach di questa portata è un rischio in sé, sia per l’organizzazione che per i clienti.
  • Condivisione delle informazioni. Un pilastro portante del risk management è la condivisione delle informazioni disponibili con le altre organizzazioni e con la pubblica amministrazione. L’importanza della comunicazione dei rischi, delle minacce, ma soprattutto degli incidenti subiti è sottolineata anche dalla recente Direttiva UE 2016/1148 (Direttiva “NIS”), che prevede l’istituzione di gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) che hanno il compito di monitorare gli incidenti di sicurezza a livello nazionale, emettere allerte, annunci e divulgazione di informazioni alle parti interessate, oltre che cooperare con il settore privato. Allo stesso modo, gli operatori di servizi essenziali, come il settore bancario, hanno obbligo di notificare al CSIRT nazionale ogni incidente avente un impatto rilevante sulla continuità dei servizi essenziali forniti. L’obbligo di condividere informazioni inerenti agli incidenti di sicurezza non finisce però con la Direttiva NIS. Come noto, anche il GDPR obbliga i titolari del trattamento a notificare incidenti da cui deriva una violazione di dati personali all’Autorità competente e, – nel caso in cui ci siano rischi elevati – anche ai soggetti interessati. Il motivo è semplice: comunicare l’incidente ai soggetti interessati permette alle persone di acquisire consapevolezza dei rischi e attuare ogni misura possibile per difendersi da conseguenze negative.

Le principali cyber-minacce per il settore banking

Per sviluppare un risk management framework adeguato a gestire rischi inerenti alla sicurezza e protezione dei dati personali trattati è essenziale individuare le principali minacce per il proprio settore di riferimento e per i soggetti interessati.

Il panorama delle minacce rilevanti per il settore banking è estremamente complesso e variegato, ma alcune di queste colpiscono in modo trasversale sia le organizzazioni che le persone fisiche, e per questo motivo devono ricevere particolare attenzione.

Tra le principali minacce per organizzazioni e persone fisiche il phishing e il social engineering sono certamente al primo posto, sia per diffusione che pericolosità. Da un lato, il phishing e tecniche malevole di social engineering possono avere come target diretto l’organizzazione. Lo dimostrano i recenti casi di c.d. CEO fraud (o truffa del falso CEO), con cui i dipendenti sono indotti ad effettuare bonifici verso i conti dei criminali, pensando che la richiesta venga direttamente dal proprio dirigente o CEO. Non è un caso che sempre più banche riportino nella loro security policy specifiche indicazioni relativamente al CEO fraud.

D’altro canto, il phishing colpisce duramente anche i clienti delle banche. Il metodo preferito per progettare e-mail di phishing è infatti quello di riprodurre, il più fedelmente possibile, comunicazioni derivanti istituti bancari.

Il data breach che ha coinvolto Unicredit nel 2015, recentemente scoperto, ha indubbiamente equipaggiato la cyber criminalità di utili elementi per produrre campagne di phishing ad elevato potenziale di successo. Avendo a disposizione i dati di contatto e la banca di riferimento delle potenziali vittime, è molto semplice produrre e-mail di phishing efficaci – soprattutto se i clienti non sono a conoscenza di essere stati vittima di data breach!

Un’altra minaccia che colpisce sia i clienti che gli istituti bancari, degna di essere presa in considerazione in qualsiasi valutazione del rischio, è il furto d’identità. Secondo i dati raccolti dall’Osservatorio CRIF, ogni anno in Italia ci sono circa 27.000 casi di frodi creditizie perpetrate attraverso il furto d’identità dei clienti, per un costo stimato di circa 135 milioni di euro nel 2018.

Anche in questo caso, è la compliance che può aiutare banche e istituti di pagamento a far fronte ai rischi. La direttiva PSD2 ha infatti introdotto l’obbligo di introdurre meccanismi di multi-factor authentication che aiutano a mitigare i rischi di frode anche nel caso peggiore in cui un cyber criminale riesca ad accedere al conto corrente della vittima.

Gestione del rischio privacy nel settore banking: la DPIA

I rischi che incorrono nel caso di incidente di sicurezza sono certamente i più noti e quelli a cui si fa tradizionalmente più attenzione, perché in qualche modo sono in grado di provocare conseguenze dannose anche per le organizzazioni.

Tuttavia, il GDPR ha introdotto l’obbligo di tenere in considerazione anche i rischi “fisiologici” per le persone fisiche, cioè quelli derivanti dal trattamento di dati personali. Lo strumento per la valutazione dei rischi “fisiologici” del trattamento è la valutazione d’impatto sulla protezione dei dati personali (DPIA).

L’art. 35 GDPR prevede che quando un tipo di trattamento, specie se prevede l’uso di nuove tecnologie, può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il titolare effettua prima di procedere al trattamento una valutazione d’impatto sulla protezione dei dati personali.

Nel settore del banking è relativamente semplice individuare tipi di trattamento che possono presentare un rischio elevato per le persone fisiche. Tra gli altri, l’attività di credit scoring è sicuramente in cima alla lista. Attraverso l’aggregazione, raffronto ed elaborazione di numerosi dati personali dei clienti, raccolti da banche dati pubbliche e private (i Sistemi Informativi Creditizi), gli istituti di credito sono in grado di valutare la solvibilità del cliente e il relativo profilo di rischio.

L’attività di credit scoring è spesso accompagnata da processi decisionali automatizzati senza intervento umano, che sulla base del profilo cliente possono concedere o negare finanziamenti o altri servizi al cliente. I rischi per i diritti e libertà dei clienti sono evidenti: le persone possono vedersi negare dei servizi essenziali sulla base del profilo assegnato in fase di credit scoring.

L’attività di profilazione è per sua natura soggetta ad errori di valutazione, che dipendono in larga parte dalla qualità dei dati di partenza. Per questo motivo è fondamentale che le banche dati pubbliche e private abbiano misure adeguate a garantire l’esattezza e rilevanza dei dati trattati, oltre che la trasparenza delle attività di credit scoring.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5