CYBERSECURITY

Data breach, multa a Unicredit per 2,8 milioni

E per Ntt Data Italia sanzione da 800mila euro. L’incidente informatico risale al 2018 e aveva causato la perdita dei dati personali di migliaia di utenti. Il Garante Privacy: “Rilevate diverse violazioni della normativa di riferimento”. Le due aziende non ci stanno e annunciano ricorso

Pubblicato il 08 Mar 2024

Login,And,Password,,Cyber,Security,Concept,,Data,Protection,And,Secured

Una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti, è costata cara a Unicredit: per quella vicenda, l’istituto di credito è stato sanzionato dal Garante per la privacy per un somma di 2 milioni e 800 mila euro. Nel provvedimento (SCARICA QUI IL TESTO ORIGINALE), l’Authority afferma che “le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente”.

Dalle verifiche effettuate dal Garante, a seguito della ricezione della notifica di data breach da parte della banca, è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778 mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del Pin di accesso al portale. I dati erano resi disponibili nella risposta http fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.

Le violazioni della normativa privacy riscontrate e le attenuanti riconosciute

Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare Pin deboli (come ad esempio quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca.

Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.

Sanzione da 800mila euro anche a Ntt Data Italia

Con l’adozione di un secondo provvedimento l’Autorità è intervenuta anche nei confronti di Ntt Data Italia, sanzionando la società con una multa di 800mila euro. Dalle verifiche effettuate dal Garante, in particolare è emerso che Ntt Data Italia aveva comunicato ad Unicredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno. Inoltre, Ntt Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.

Unicredit: “Sicurezza dei dati una priorità, nessun dato bancario compromesso”

“La decisione del Garante riguarda un incidente risalente al 2018 che ha interessato una frazione della clientela italiana senza alcuna compromissione di dati bancari. Incidente che peraltro era stato immediatamente risolto e notificato in ossequio alla normativa vigente. La banca impugnerà la decisione dinanzi il Tribunale compente”: lo afferma Unicredit dopo la sanzione del Garante. “La sicurezza dei dati dei clienti è una assoluta priorità per Unicredit, che nell’ambito del piano industriale Unlocked 2022-2024 sta investendo 2,8 miliardi di euro in tecnologia e nuove competenze, con l’obiettivo di rendere sempre più efficaci i propri sistemi informatici, rafforzare ulteriormente la sicurezza e ampliare l’offerta di servizi digitali per la clientela”.

Ntt Data: “Fermamente impegnati a garantire il rispetto di elevati standard di conformità”

In una nota Ntt Data Italia fa sapere che la società “non poteva in alcun modo rilevare o essere a conoscenza di una violazione di dati personali sui sistemi del cliente, considerato che i servizi di monitoraggio delle infrastrutture di sicurezza e di rilevazione dei tentativi di attacco informatico (Threat Detection) così come quelli di gestione degli incidenti informatici (Incident Handling) non rientravano tra le attività alla stessa affidate”. A tal proposito “a seguito di un’approfondita analisi del provvedimento emanato dall’Autorità”, l’azienda ha deciso di impugnare la decisione dinanzi al tribunale competente. “Ntt Data Italia è fermamente impegnata a garantire il rispetto di elevati standard di conformità agli obblighi in materia di protezione dei dati personali, essenziali per la fiducia che clienti, fornitori e partner ripongono nell’azienda”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati