PRIVACY - LA NOMINA DEL REFERENTE CYBER NELLE AMMINISTRAZIONI

SANZIONE DEL GARANTE PER DATA BREACH

Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. Lo ha affermato il Garante per la privacy nel sanzionare UniCredit banca per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti.

Dalle verifiche effettuate dall’Autorità – a seguito della ricezione della notifica di data breach da parte della banca – è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.

Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione a 2 milioni e 800 mila euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.

ACCEDI ALLA SANZIONE DEL GARANTE

Ottobre 2024

lunedìmartedìmercoledìgiovedìvenerdìsabatodomenica
30 Settembre 2024
1 Ottobre 2024
2 Ottobre 2024
3 Ottobre 2024
4 Ottobre 2024
5 Ottobre 2024
6 Ottobre 2024
7 Ottobre 2024
8 Ottobre 2024
9 Ottobre 2024
10 Ottobre 2024
11 Ottobre 2024
12 Ottobre 2024
13 Ottobre 2024
14 Ottobre 2024
15 Ottobre 2024
16 Ottobre 2024
17 Ottobre 2024
18 Ottobre 2024
19 Ottobre 2024
20 Ottobre 2024
21 Ottobre 2024
22 Ottobre 2024
23 Ottobre 2024
24 Ottobre 2024
25 Ottobre 2024
26 Ottobre 2024
27 Ottobre 2024
28 Ottobre 2024
29 Ottobre 2024
30 Ottobre 2024
31 Ottobre 2024
1 Novembre 2024
2 Novembre 2024
3 Novembre 2024