Il Garante per la privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.
Il caso
La banca si avvale di una società terza per la gestione delle pratiche di finanziamento per la cessione del quinto dello stipendio.
Utilizzando le credenziali di accesso dei dipendenti autorizzati di questa terza parte, ignoti hanno effettuano accessi abusivi. Tutto ciò approfittando di una vulnerabilità dell’applicativo di gestione delle pratiche.
Accessi di oltre 760 mila clienti, relative a istanze di finanziamento sia per cessione del quinto sia per credito al consumo. Gli accessi abusivi avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).
Violazione delle misure minime di sicurezza
L’accertamento ispettivo e l’istruttoria evidenziano che l’esfiltrazione dei dati personali dei clienti da parte di ignoti malintenzionati era stata resa possibile grazie a «un’errata progettazione del sistema di autorizzazione dell’applicativo» di gestione delle pratiche di finanziamento. A causa di ciò, «gli operatori potevano accedere a una qualsiasi pratica di finanziamento (sia di “prestito al consumo” che di “cessione del quinto dello stipendio”) (…) indipendentemente dal profilo di autorizzazione a loro attribuito». In tal modo la banca si è resa responsabile della carente adozione di un adeguato sistema di autorizzazione come previsto dal disciplinare tecnico, allegato B) al codice privacy (regole 12 e 13).
Codice Privacy
L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.
Sanzione
Sulla base delle violazioni riscontrate, l’Autorità ha irrogato la sanzione pecuniaria complessiva di 600.000 euro calcolata come segue:
- euro 120.000 per la violazione delle misure minime di sicurezza (art. 162.2, in relazione all’art. 33)
- euro 180.000 per le trasgressioni relative al provvedimento 192/2011 [art. 162.2-ter, in relazione all’art. 154.1, lett. c)]
- euro 300.000 in applicazione dell’art. 164-bis.2, considerato l’ingente numero di interessati coinvolti.
(Fonte Garante Privacy)