Con provvedimento emesso lo scorso 8 febbraio – e reso noto il 7 Marzo – il Garante per la protezione dati personali (“Autorità”) ha sanzionato per 2 milioni e 800 mila euro una delle principali banche europee: Unicredit.
Il caso
Il caso in esame, che ha condotto all’ indagine e alla successiva sanzione, ha ad oggetto un attacco informatico massivo (“data breach”) subito -nell'ottobre del 2018- da UniCredit S.p.A. al suo sistema di mobile banking che ha permesso l’acquisizione illecita, di alcuni dati personali in particolare del nome, cognome, codice fiscale e codice identificativo interno della banca di 778 mila clienti ed ex clienti, nonché per oltre 6.800 dei clienti anche l’individuazione del Pin di accesso al portale. L'incidente ha sollevato gravi preoccupazioni per la sicurezza dei dati personali.
Quali le criticità emerse in sede d’ istruttoria?
L’istruttoria posta in essere dall’Autorità ha permesso di far su luce su una serie di criticità nei protocolli di sicurezza adottati da UniCredit. In particolare: (i) la mancata adozione di misure tecniche in grado di limitare l’accesso ai dati personali al solo personale autorizzato nonché ai soggetti interessati, ha determinato la possibilità di libero accesso ai dati da parte di chiunque. (ii) La mancata adozione, nell’ambito della procedura di autenticazione informatica degli utenti del Portale di mobile banking, di alcun meccanismo in grado di contrastare efficacemente attacchi di tipo brute force (ossia attacchi informatici che hanno l’obiettivo di individuare credenziali di autenticazione informatica valide per l’accesso a un determinato sistema o servizio online). Infatti, il sistema di autenticazione informatica precedentemente adottato da UniCredit prevedeva l’utilizzo di credenziali costituite solamente da un User ID e da un PIN, entrambi composti da 8 cifre decimali. Al momento della violazione, UniCredit non aveva adottato alcuna misura tecnica che impedisse agli utenti di utilizzare PIN semplici, quali, ad esempio, quelli composti da ripetizioni o sequenze di numeri oppure coincidenti con la data di nascita o con lo User ID. Nel caso in esame, un’adeguata valutazione dei rischi presentati dai trattamenti effettuati nell’ambito del Portale di mobile banking avrebbe consentito a UniCredit di analizzare e di individuare le debolezze suscettibili di compromettere la sicurezza del trattamento e, conseguentemente, di adottare misure per gestire e mitigare i rischi connessi a tali debolezze, incluse quelle di difesa proattiva da attacchi informatici di reverse brute force.
Responsabilità, violazioni e sanzioni
L'Autorità dunque a latere delle considerazioni - oggetto di un distinto e separato provvedimento - in ordine ai profili di responsabilità di NTT Data, responsabile del trattamento, per aver comunicato ad Unicredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno, ha riconosciuto in capo ad UniCredit S.p.a., titolare del trattamento cui è attribuita la “responsabilità generale” dei trattamenti di dati personali direttamente posti in essere o che altri abbiano effettuato per suo conto – l’omessa verifica, in relazione alla natura, al contesto, alle finalità e ai rischi dei trattamenti realizzati nell’ambito del Portale di home banking, nonché l’effettiva conformità degli stessi ai principi di integrità e riservatezza di cui all’art. 5, par. 1, lett. f), del Regolamento e degli obblighi in materia di sicurezza del trattamento di cui all’art. 32, par. 1 e 2, del Regolamento. Per queste ragioni nonostante UniCredit abbia negli anni implementato misure di sicurezza aggiuntive in risposta all'incidente e non siano stati ricevuti reclami da parte degli interessati, l'Autorità ha emesso ai danni della società una sanzione amministrativa pecuniaria da 2 milioni e 800 mila euro.
Conclusioni
Il caso UniCredit mette in evidenza l'importanza di quelle che sono le sfide tecniche e organizzative a cui anche le istituzioni finanziarie devono far fronte per proteggere i dati personali dei propri clienti e, di pari passo, solleva questioni cruciali riguardanti l’individuazione di profili di responsabilità dei soggetti coinvolti in caso di violazioni e di conseguenza di quelle che sono le misure correttive necessarie da adottare. È essenziale, dunque, che gli istituti di credito investano risorse sempre maggiori nella sicurezza informatica e si conformino rigorosamente alla normativa sulla protezione dei dati personali al fine di meglio garantire la sicurezza e la privacy dei propri clienti.
Avv. Marta Cogode e Dott.ssa Rossella Taddei
