EDITORIALE
Gianni Dell’Aiuto
Il Garante per la Protezione dei dati personali (conosciuto anche come Garante Privacy) ha sanzionato Unicredit per 600.000 euro a causa dei data breach subiti dalla banca tra tra Aprile 2016
e Ottobre 2018, accertando che l'accesso non autorizzato ai dati dei clienti sia dipeso anche da falle nel sistema di gestione e protezione dati dell'istituto di credito.
La sanzione è dovuta da due accessi abusivi e in momenti distinti. Il primo nell'autunno 2016 e riguardò oltre 400.000 clienti Unicredit. Il comunicato ufficiale della banca sottolineò che non
erano stati acquisiti dati quali le password per accedere ai conti dei clienti o codici per transazioni non autorizzate.
Ciò che UNICREDIT informava potesse essere accaduto, era l’accesso ad alcuni dati anagrafici e ai codici IBAN.
Nel secondo accesso abusivo, nell'Ottobre 2018, erano stata registrata un’intrusione che avrebbe esposto "solo" nome e cognome, codice fiscale, codice identificativo del cliente e il codice per
l’accesso ai servizi di banca multicanale. Oltre settecentomila i clienti interessati. Oltre seimila clienti vennero inoltre bloccati perché avrebbero subito il furto del PIN. In una prima fase la banca
aveva deciso di contattare soltanto questi clienti con le comunicazioni, ma il Garante aveva ingiunto di contattare tutti i 730.000 correntisti. Dopo questa attività imposta dal Garante, ecco arrivata la sanzione.
Il garante ha accertato le modalità di accesso abusivo; in particolare gli accessi vennero effettuati mediante account di dipendenti di un partner commerciale della banca, quindi un esterno. I dati
sottratti hanno rivelato informazioni sui clienti. Tra gli altri, in particolare iban, eventuali prestiti, dati anagrafici e di contatto e estremi del datore di lavoro. Una miniera d’oro per i ladri di dati.
Alla luce di tutto ciò, il Garante ha emesso la sanzione applicando il GDPR. l’ ammontare della sanzione dipende da fattori quali il numero rilevante di persone coinvolte ma anche del fatto che la banca, a seguito del data breach, ha adottato misure volte a rafforzare la sicurezza dei sistemi informatici.