LexFoniaSicurezza Mobile

UniCredit: multa di 2,8 milioni di euro dal Garante Privacy per data breach del 2018

Redazione MondoMobileWeb8 Marzo 2024
UniCredit Garante Privacy

L’Autorità Garante per la Protezione dei Dati Personali ha adottato un provvedimento sanzionatorio nei confronti di UniCredit, per via di una violazione di dati personali avvenuta negli anni scorsi, più precisamente nel 2018, che ha coinvolto a detta dell’Autorità migliaia di clienti ed ex clienti.

Nel renderlo noto, nella giornata di ieri, 7 Marzo 2024, il Garante della Privacy ha fatto riferimento al provvedimento adottato lo scorso 8 Febbraio 2024 (ecco il documento completo), attraverso il quale l’Autorità ha comminato al gruppo bancario una sanzione di 2,8 milioni di euro.

UniCredit, in particolare, ha spiegato il Garante, era stata per l’appunto interessata, nel 2018, da un imponente attacco informatico al proprio portale di mobile banking, perpetrato da cybercriminali.

Dalle verifiche effettuate dall’Autorità, a seguito della ricezione della notifica di data breach da parte della banca, era emerso che l’attacco aveva causato l’acquisizione illecita delle informazioni personali, quali nome, cognome, codice fiscale e codice identificativo, di circa 778.000 clienti ed ex clienti. Di questi, per oltre 6.800 clienti l’attacco aveva comportato anche l’individuazione del PIN di accesso al portale.

Secondo quanto riportato dal Garante della Privacy, i dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere al portale di mobile banking, anche senza effettivamente riuscirvi.

Nel corso dell’attività istruttoria, l’Autorità ha quindi rilevato diverse violazioni della normativa sulla privacy, tra cui la mancata adozione, da parte di UniCredit, di misure tecniche e di sicurezza in grado di contrastare eventuali attacchi informatici, oltre che di impedire ai propri clienti l’utilizzo di PIN deboli, composti ad esempio da sequenze numeriche, soprattutto se coincidenti con la data di nascita.

Sul caso UniCredit, il Garante è intervenuto anche nei confronti di NTT Data Italia, la società incaricata di effettuare i test di sicurezza per conto dell’istituto bancario, con l’adozione di un secondo provvedimento (ecco il documento completo), anch’esso risalente all’8 Febbraio 2024, attraverso il quale l’Autorità ha sanzionato NTT Data Italia con una multa di 800.000 euro.

Stando al provvedimento in questione, il Garante della Privacy ha accertato che NTT Data Italia aveva comunicato a UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento, dopo che la banca ne era già venuta a conoscenza tramite i propri sistemi di monitoraggio interno.

Secondo l’Autorità, inoltre, la società aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra azienda, senza l’autorizzazione preventiva di UniCredit in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.

Nei confronti di UniCredit, ad ogni modo, il Garante per la Protezione dei Dati Personali, come già detto, ha provveduto ad irrogare una sanzione di 2.800.000 euro. Un ammontare, ha precisato l’Autorità, stabilito tenendo conto del fatto che la violazione dei dati ha riguardato un numero elevato di soggetti, oltre che della gravità stessa del data breach e della capacità economica della banca.

Il Garante ha invece considerato attenuanti l’adozione tempestiva di misure correttive e le iniziative di informazione e supporto poste in essere nei confronti della clientela colpita, così come la circostanza che la violazione non ha riguardato i dati bancari.

Editing Mattia Castro

Aggiornamento del 9 Marzo 2024

NTT DATA Italia dichiara a MondoMobileWeb che non poteva in alcun modo rilevare o essere a conoscenza di una violazione di dati personali sui sistemi del cliente, considerato che i servizi di monitoraggio delle infrastrutture di sicurezza e di rilevazione dei tentativi di attacco informatico (Threat Detection) così come quelli di gestione degli incidenti informatici (Incident Handling) non rientravano tra le attività alla stessa affidate.

NTT DATA Italia, a seguito di un’approfondita analisi del provvedimento emanato dall’Autorità, ha deciso di impugnare la decisione dinanzi al Tribunale Competente.

NTT DATA Italia è fermamente impegnata a garantire il rispetto di elevati standard di conformità agli obblighi in materia di protezione dei dati personali, essenziali per la fiducia che clienti, fornitori e partner ripongono nell’azienda.

Per rimanere aggiornato sulle novità della telefonia unisciti al canale @mondomobileweb di Telegram. Seguici anche su Google News, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.

Redazione MondoMobileWeb8 Marzo 2024

Ti potrebbe interessare

iliad

Iliad informa della nuova Delibera AGCOM sui contratti: ecco cosa cambia dal 1° Luglio 2024

13 Maggio 2024
WINDTRE

WINDTRE, rimborso fatturazione 28 giorni: modalità di richiesta ricordate anche a ex clienti

7 Maggio 2024
Garante Privacy Telefonia Mobile

Garante Privacy multa 2 negozi di telefonia: attivazione illecita di SIM e altri servizi

6 Maggio 2024
Vodafone

Swisscom: avviato iter per l’acquisizione di Vodafone Italia e la sua fusione con Fastweb

2 Maggio 2024
Pulsante per tornare all'inizio
Chiudi

Adblock rilevato

Caro Lettore, grazie per essere qui. Ti informo che con un blocco degli annunci attivo chi ci sostiene non riesce a mantenere i costi di questo servizio gratuito. La politica è di non adottare banner invasivi. Aggiungi mondomobileweb.it tra le esclusioni del tuo Adblock per garantire questo servizio nel tempo.