Attenzione al tracciamento dei LOG

Unicredit multata dal Garante a causa di una violazione dei dati avvenuta 3-4 anni fa.

Tra il 2016 ed  il 2017 Unicredit subì una serie di attacchi malevoli che portarono a degli accessi illeciti ai dati personali di circa 700 mila clienti della banca.

All’epoca, non si applicava ancora il Regolamento, ma il “Codice Privacy” 169/2003; è stata la stessa banca a comunicare al garante le violazioni subite.

Mi ricordo intere pagine sui giornali, per spiegare agli interessati il problema.

Quali dati sono stati violati?

I dati coinvolti sono stati i seguenti:

• dati anagrafici e di contatto,
• professione,
• livello di studio,
• estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro,
• salario,
• importo del prestito,
• stato del pagamento,
• “approssimazione della classificazione creditizia del cliente” e codice Iban.

La sanzione

Il Garante Privacy, a fronte di una lunga istruttoria ha sanzionato, pochi giorni fa, la banca imponendole di pagare 600.000 euro.

La multa è stata determinata applicando il Codice Privacy (in vigore prima del GDPR e applicabile fino al 24 maggio 2018), e segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019.

La contestazione è stata originata da un provvedimento adottato dall’Autorità nel marzo 2019, con il quale il Garante aveva accertato che la banca era manchevole in due aspetti:

1. non aveva rispettato le misure minime di sicurezza (Allegato B.) previste dal Codice privacy,
2. non aveva rispettato le regole fissate dall’Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.

In particolare, l’analisi effettuata dal garante, ha evidenziato che i log di tracciamento non erano stati correttamente implementati, infatti:

• i tempi di conservazione dei log era inferiore a 24 mesi a decorrere dalla data di registrazione dell’operazione;
• non  era indicato il codice del cliente interessato dall’operazione di accesso ai dati bancari.

Il Garante, quindi, considerati i rilevanti profili di illiceità del trattamento determinati dalla mancanza di adeguate misure tecniche e organizzative, e valutate le argomentazioni presentate dalla banca, ha ritenuto necessario l’applicazione della sanzione.

In tal modo intende salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca.

L’importo

Nel determinare l’ammontare dell’importo in 600.000 euro, l’Autorità ha tenuto conto di diversi elementi, tra i quali:

• l’elevato numero di interessati coinvolti nelle violazioni;
• la banca a seguito del data breach ha adottato diverse misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici.

La banca è stata “fortunata” perché nel periodo in cui ha subito il data breach,  si applicava ancora il codice della privacy; pensate quanto sarebbe stata più alta la multa se fosse stato applicato il Regolamento Europeo!