Nel tumulto digitale del mondo moderno, la sicurezza dei dati personali è diventata una preoccupazione di primaria importanza per le istituzioni finanziarie e le aziende tecnologiche. Un episodio emblematico di questa sfida è rappresentato dalla violazione dei dati personali che ha colpito Unicredit nel 2018, suscitando un’ampia riflessione sull’importanza delle misure di sicurezza e sulla responsabilità delle entità che gestiscono dati sensibili. Il Garante per la privacy è intervenuto con due multe per le entità coinvolte.
La violazione in questione ha avuto proporzioni significative, coinvolgendo migliaia di clienti ed ex clienti dell’istituto di credito. Il Garante ha sanzionato Unicredit con una multa di 2 milioni e 800 mila euro. Sottolineando l’obbligo delle banche di adottare tutte le misure necessarie per proteggere i dati dei propri clienti da accessi illeciti. La violazione è stata scovata dopo un attacco informatico di cybercriminali, rivolto al portale di mobile banking. Questo attacco ha compromesso dati sensibili, tra cui nome, cognome, codice fiscale e codice identificativo di oltre 778 mila clienti. Mentre per più di 6.800 di essi è stato addirittura compromesso il Pin di accesso al portale.
Multe per un incidente informatico del 2018
Il modus operandi dei cybercriminali ha evidenziato gravi lacune nella sicurezza informatica di Unicredit. Il Garante ha constatato che la banca non aveva implementato adeguate misure tecniche e di sicurezza per contrastare gli attacchi informatici e impedire l’uso di Pin deboli da parte dei propri clienti. Questo includeva l’assenza di contromisure efficaci contro gli attacchi informatici. Oltre la mancanza di politiche per scoraggiare l’utilizzo di Pin facili da indovinare, come quelli basati su sequenze numeriche o date di nascita.
Nel valutare l’entità della sanzione, il Garante ha considerato diversi fattori, tra cui il numero elevato di individui colpiti dalla violazione, la gravità dell’incidente e la capacità economica dell’istituto di credito. Sono state riconosciute come attenuanti le azioni correttive tempestive intraprese da Unicredit, insieme agli sforzi per informare e supportare la clientela colpita. È stato inoltre rilevato che la violazione non ha coinvolto dati bancari sensibili.
Le multe del Garante hanno riguardato anche Ntt Data Italia, coinvolta nel provvedimento, con una sanzione di 800 mila euro. Le indagini hanno rivelato che Ntt Data Italia aveva comunicato la violazione dei dati personali di Unicredit oltre il termine previsto, e aveva affidato alcune attività cruciali ad un’altra società senza l’autorizzazione preventiva della banca.
In risposta alle sanzioni, Unicredit e Ntt Data Italia hanno annunciato le proprie intenzioni di impugnare le decisioni davanti al tribunale competente. Unicredit ha ribadito l’impegno per la sicurezza dei dati dei clienti, evidenziando gli investimenti in tecnologie e competenze nell’ambito del piano industriale “Unlocked 2022-2024”. Ntt Data Italia ha sottolineato il proprio impegno per il rispetto degli standard di conformità in materia di protezione dei dati personali.