Data Breach in banca: sanzione di 600 mila euro


Con il provvedimento n. 99 del 10 giugno 2020 doc. web n. 9429195 il Garante Privacy Italiano ha comminato una sanzione di € 600.000,00 derivante dai data breach avvenuti tra il 2016 e il 2017 coinvolgendo oltre 760.000 utenti.

La violazione

Unicredit S.p.A., in data 25 luglio 2017, ha comunicato al Garante Privacy di aver subito un’intrusione informatica, verificatasi in due occasioni distinte in un arco temporale compreso tra aprile 2016 e luglio 2017. Tale accesso illegittimo, effettuato con le utenze di alcuni dipendenti di un partner commerciale esterno attraverso un applicativo, ha determinato accessi non autorizzati a dati personali riferiti a circa 762.000 interessati.

Gli accessi avevano riguardato:

  • Dati anagrafici e di contatto
  • Professione
  • Livello di studio
  • Estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro,
  • Salario,
  • Importo del prestito,
  • Stato del pagamento,
  • “Approssimazione della classificazione creditizia del cliente” e codice Iban

Il Garante aveva quindi avviato una complessa attività istruttoria culminata in un accertamento ispettivo che si era svolto nell’ ottobre 2018.

All’esito dell’istruttoria l’Autorità Garante in data 28 marzo 2019 con il provvedimento n. 87 (doc. web n. 9104006), ha dichiarato illecito il trattamento dei dati personali posto in essere da Unicredit, in qualità di titolare del trattamento, perché effettuato in violazione delle misure minime di sicurezza previste dagli artt. 33 e ss. del Codice e dal disciplinare tecnico di cui all’All. B) del Codice stesso e delle misure prescritte con il provvedimento n. 192 del 12 maggio 2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” (doc. web n. 1813953);

In particolare il Garante ha rilevato:

  • La violazione delle misure minime di sicurezza ex art. 33 del Codice accertata con riferimento all’inosservanza delle regole nn. 12 e 13 del disciplinare tecnico di cui all’All. B) al Codice, in relazione all’utilizzo di un non idoneo sistema di autorizzazione dell’applicativo utilizzato e all’assenza del “limite di accesso” dei profili di autorizzazione ai soli dati necessari per effettuare le operazioni di trattamento.
  • La violazione delle misure prescritte con il provvedimento n. 192 del 12 maggio 2011 in relazione alla inadeguatezza e alla non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo, con particolare riferimento alla mancata implementazione di alert per le operazioni svolte attraverso il citato applicativo e alla mancata esecuzione di attività di audit interni di controllo.

L’ Istituto di credito in sintesi si difendeva sostenendo:

  • Con riferimento alla violazione delle misure di sicurezza di cui all’art. 33 del Codice, il sistema di autorizzazione adottato, rispetto all’applicativo in questione, era pienamente conforme alle disposizioni contenute nella regola 12 del Disciplinare tecnico di cui all’All. B) al Codice, vigente all’epoca dei fatti, posto che “non si è verificato alcun errore nella definizione dei profili di autorizzazione che erano correttamente impostati ed operativi”. Invece, “l’accesso indebito ai dati personali è stato possibile solo a causa della gestione scorretta delle credenziali di accesso da parte di Penta che hanno consentito il successivo sfruttamento di un baco dell’applicativo”
  • Di aver definito correttamente i livelli di accesso all’applicativo, ma che, a causa di un utilizzo improprio delle credenziali di accesso da parte degli utenti del partners, cui ha fatto seguito lo sfruttamento di un bug informatico dei sistemi di back-end del citato applicativo, è stato possibile superare le restrizioni di visibilità e le segregazioni degli accessi, che invece erano state poste in essere correttamente
  • Di aver adottato un sistema di tracciamento delle operazioni bancarie, ad integrazione e complemento dei sistemi di raccolta dei log per singoli applicativi, che le ha permesso di ricostruire gli eventi legati al data breach.
  • Che in merito implementazione di alert già all’epoca degli eventi contestati, era presente un sistema di firewall che filtrava e valutava l’ammontare del traffico sul complesso degli applicativi della società che, al superamento di soglie particolarmente elevate di traffico, inviava un alert.

La decisione del Garante

Secondo l’Autorità Garante le argomentazioni addotte non erano idonee ad escludere la responsabilità della parte in relazione a quanto contestato. Il Garante ha ritenuto infatti che documentazione acquisita durante la fase istruttoria ed ispettiva, ha evidenziato un’errata progettazione del sistema di autorizzazione dell’applicativo che risultava particolarmente debole sia a livello di front-end che di back-end. Sfruttando alcune debolezze della sicurezza dell’applicativo in questione, soggetti ignoti, attraverso le credenziali assegnate al personale del partner commerciale, hanno avuto accesso ai dati personali presenti in pratiche di finanziamento che non rientravano nell’ambito conferito, determinando in questo modo il data breach oggetto della comunicazione del 25 luglio 2017” (verbale del 22 ottobre 2018, p. 3)

È risultato inoltre che gli operatori del partner, dopo aver superato le procedure di autenticazione informatica, potevano accedere a una qualsiasi pratica di finanziamento (sia di “prestito al consumo” che di “cessione del quinto dello stipendio”), sfruttando le citate debolezze dell’applicativo in questione, semplicemente modificando il numero identificativo della pratica e, soprattutto, indipendentemente dal profilo di autorizzazione a loro attribuito. Laddove, invece, i profili di autorizzazione fossero stati correttamente impostati e configurati con le limitazioni di accesso, ciascun operatore di del partner avrebbe potuto consultare solo i dati relativi alle pratiche di propria competenza. Da ciò l’Autorità ha evinto che le limitazioni all’accesso di accesso, associate ai profili di autorizzazione, non funzionavano correttamente.

Per quanto riguarda l’inosservanza “prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” l’ Autorità ha rilevato che indipendentemente dalla circostanza che l’Istituto sia riuscito a individuare gli aspetti fondamentali legati al data breach e ad adottare le necessarie misure, è indubbio che i log di tracciamento non fossero stati correttamente implementati, sia con riferimento ai tempi di conservazione dei log (che era inferiore a 24 mesi a decorrere dalla data di registrazione dell’operazione) sia con riferimento alla mancata indicazione del codice del cliente interessato dall’operazione di accesso ai dati bancari.

Infatti, rispetto allo specifico episodio di data breach oggetto del procedimento, è emerso che “le pratiche dei clienti sono state consultate con una frequenza sino a 10 al secondo, in ordine consecutivo da un singolo utente”, senza che tale comportamento anomalo venisse rilevato, e che la mancata attivazione di alert è stata una delle condizioni che hanno “contribuito all’esfiltrazione dei dati, la quale è perdurata per almeno 14 mesi senza che venisse individuata” (audit report del 30 novembre 2017).

Considerato quanto sopra il Garante Privacy ha erogato le seguenti sanzioni:

  • Euro 120.000,00 (centoventimila) per la violazione di cui all’art. 162, comma 2-bis, del Codice, in relazione all’art. 33
  • Euro 180.000,00 (centottantamila) per la violazione di cui all’art. 162, comma 2-ter, del Codice, in relazione all’art. 154, comma 1, lett. c)
  • Euro 300.000,00 (trecentomila) per la violazione di cui all’art. 164-bis, comma 2, del Codice

Per un importo complessivo pari a euro 600.000,00 (seicentomila). Tenuto conto che l’Istituto non aveva ricevuto precedenti provvedimenti sanzionatori del Garante a suo carico e che, a seguito del data breach, ha adottato diverse misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici.

Se ti è piaciuto l'articolo condividi: