HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Il Garante privacy sanziona una banca per una violazione di dati personali del 2018

Il Garante privacy sanziona una banca per una violazione di dati personali del 2018

PrintMailRate-it

​​​​​​​​​​​​​​Ultimo aggiornamento del 22.03.2024 | Tempo di lettura ca. 5 minuti


Con provvedimento dell’8 febbraio 2024, il Garante per la protezione dei dati personali ha emesso un provvedimento sanzionatorio nei confronti di una nota società del settore bancario (“Società” o “Banca”), per 2,8 milioni di Euro.

La sanzione è intervenuta all’esito di un’istruttoria avviata dall’Autorità in seguito a una violazione di dati personali di cui era stata vittima la Società nell’ottobre 2018.

Nello specifico, la Banca aveva subito una serie di tentativi di accesso al sistema di on-line banking per il canale web mobile tra l’11 e il 21 ottobre 2018, data in cui si era poi effettivamente realizzato un attacco informatico di proporzioni ingenti, che aveva determinato l’acquisizione illecita di un elevato numero di dati riferiti a clienti. In conseguenza dell’attacco, la Banca aveva deciso di notificare la violazione, ai sensi dell’articolo 33 del Regolamento, precisando che:
  • l’attacco era stato attuato utilizzando in maniera massiva codici sequenziali e verificando quali di essi corrispondessero ai codici identificativi al sistema della banca effettivamente esistenti;
  • la violazione ha coinvolto più di settecentomila codici identificativi di accesso, 6.859 dei quali bloccati dalla stessa banca a seguito dell’individuazione delle password da parte degli attaccanti;
  • i dati oggetto di violazione sono stati nome, cognome, codice fiscale e codice identificativo della banca, mentre non sono stati coinvolti dati bancari.
La Banca non aveva inizialmente ravvisato nella violazione un rischio elevato per i diritti e le libertà degli interessati e aveva effettuato la comunicazione solo nei confronti dei 6.859 clienti le cui password erano state individuate dagli attaccanti; nei confronti degli altri soggetti coinvolti non era stata rivolta alcuna comunicazione diretta: la Società si era limitata a pubblicare una comunicazione sul proprio sito web. 

L’Autorità non si è dimostrata tuttavia dello stesso avviso e con Provvedimento del 13 dicembre 2018 ha ingiunto alla Società di comunicare la violazione a tutti gli interessati coinvolti dalla violazione. 

Nel corso delle ulteriori indagini svolte dalla Banca, è inoltre emerso che nel periodo compreso tra il 1 e il 22 ottobre 2018 – lasso di tempo nel quale era intercorsa la violazione – era stato avviato un Penetration Test sul sistema Mobile Site la cui esecuzione era stata affidata a una società esterna, in qualità di responsabile esterno del trattamento, la quale si era avvalsa del supporto di un sub-fornitore, in assenza della previa autorizzazione della Banca.

In data 19 ottobre 2018, peraltro, il fornitore aveva rilevato alcune vulnerabilità, comunicate alla Banca solo il 22 ottobre 2018, a violazione già avvenuta. 

In virtù di quanto rilevato dalla Banca, l’Autorità ha quindi avviato un’istruttoria nei confronti della società fornitrice a cui era stato affidato il penetration test, nel corso della quale l’Autorità ha rilevato che le misure di sicurezza implementate dalla Banca ai sensi dell’articolo 32 GDPR presentavano alcune criticità, e nello specifico che “i sistemi il portale di mobile banking, a causa di una c.d. “condizione applicativa”, rendeva disponibili all’interno del codice HTML restituito, anche in caso di tentativi di autenticazione non riusciti, alcuni dati personali (nome, cognome, codice fiscale, NDG) di clienti ed ex-clienti della Banca che, pertanto, erano suscettibili di essere liberamente consultati e acquisiti da chiunque; non era stato previsto, nell’ambito della procedura di autenticazione informatica degli utenti del predetto portale, alcun meccanismo in grado di contrastare efficacemente attacchi di tipo brute force condotti mediante l’utilizzo dei c.d. bot (programmi informatici che accedono ai siti web attraverso lo stesso canale utilizzato dagli utenti umani simulandone l’operatività)”.

All’esito dell’istruttoria, il 5 febbraio 2020, ha quindi notificato alla Banca l’avvio del procedimento sanzionatorio, in conclusione del quale, ben quattro anni dopo, il Garante ha contestato alla stessa la violazione degli artt. 5, par. 1, lett. f) (principio di integrità e riservatezza) e 32 del GDPR (mancata adozione di misure di sicurezza adeguate), in virtù delle seguenti rilevazioni:
  • rispetto alla circostanza per cui il sistema di mobile banking rendeva disponibili, anche in caso di tentativi di accesso non riusciti, alcuni dati personali dei clienti, la Banca aveva omesso di adottare misure tecniche adeguate ad impedire che solo i soggetti autorizzati – o gli stessi interessati – potessero accedere ai loro dati;
  • la Banca aveva adottato una procedura di autenticazione informatica – che prevedeva l’utilizzo di credenziali di autenticazione costituite solamente da un User ID e da un PIN, entrambi composti da 8 cifre decimali – volta a contrastare attacchi di tipo brute force, di fatto, inadeguata, tantopiù in considerazione del fatto che, al momento della violazione, la Banca non aveva adottato alcuna misura tecnica che impedisse agli utenti di utilizzare PIN semplici.

Al netto delle violazioni contestate e della ricostruzione della responsabilità della Banca, il provvedimento oggetto di commento si presenta sui generis senz’altro per i tempi con i quali è intervenuta la sanzione.
Se è vero che le indagini svolte avevano natura tecnica di particolare complessità – come precisato dallo stesso Garante all’interno del testo del provvedimento – è altrettanto vero che tra la violazione e la sanzione vi è un lasso di tempo di circa sei anni, e ben quattro ne sono trascorsi dalla notifica di avvio del procedimento sanzionatorio, prima dell’esito della vicenda. 

Tale aspetto, sebbene circostanziato dall’Autorità, ci fa domandare se una simile dilatazione dei “tempi di percorrenza” della giurisprudenza del Garante sia compatibile con i più basilari principi sul giusto processo e se, a questo punto, possano dirsi ancora valide le regole del procedimento amministrativo individuate, a suo tempo, dallo stesso Garante.

dalla newsletter
Legal Newsletter​​​​

autore

Contact Person Picture

Flavia Salvatore

Avvocato

Associate

+39 02 6328 841

Invia richiesta

Profilo

Contact Person Picture

Chiara Benvenuto

Avvocato

Senior Associate

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi

​data protection​
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu