Il Garante per la privacy ha inflitto una sanzione di 2,8 milioni di euro a UniCredit a seguito di una violazione dei dati personali (data breach) avvenuta nel 2018, che ha interessato migliaia di clienti ed ex clienti. Un’ulteriore multa di 800mila euro è stata comminata a NTT Data Italia, la società incaricata di effettuare i test di sicurezza.
Contesto della violazione
L’attacco informatico massivo al portale di mobile banking di UniCredit ha causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti. Per oltre 6.800 clienti coinvolti, è stato compromesso anche il PIN di accesso al portale.
Violazioni e sanzioni
Il Garante ha rilevato diverse violazioni della normativa privacy da parte di UniCredit, tra cui la mancata adozione di misure tecniche e di sicurezza adeguate per contrastare gli attacchi informatici e prevenire l’uso di PIN deboli da parte dei clienti. La sanzione da 2,8 milioni di euro riflette il numero elevato di soggetti coinvolti e la gravità della violazione, nonostante le misure correttive adottate in tempi rapidi da UniCredit.
Ruolo di NTT Data Italia
NTT Data Italia è stata sanzionata per aver comunicato la violazione dei dati personali dei clienti di UniCredit oltre il termine previsto dal Regolamento e senza l’autorizzazione della banca per l’affidamento in subappalto delle attività di vulnerability assessment e penetration testing.
Le banche sono tenute a implementare tutte le misure tecniche e organizzative necessarie per proteggere i dati dei propri clienti da accessi illeciti, come ribadito dal Garante in seguito a questa significativa violazione della privacy.