Il Garante Privacy ha sanzionato UniCredit per data breach
Con la newsletter del 7 marzo, il Garante Privacy ha sanzionato UniCredit banca per un caso di data breach risalente al 2018, che ha coinvolto migliaia di clienti ed ex clienti. Le banche devono infatti adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente.
Un attacco informatico massivo al portale di mobile banking ha causato l'acquisizione illecita di dati di circa 778.000 clienti, inclusi PIN di accesso per oltre 6.800 clienti. La banca è stata accusata di non adottare adeguate misure di sicurezza e per consentire PIN deboli.
Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come, ad esempio, quelli composti da sequenze di numeri o coincidenti con la data di nascita).
La sanzione, di 2,8 milioni di euro, è stata determinata considerando il numero elevato di soggetti coinvolti, la gravità dell'evento e la capacità economica della banca.
Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.
La società NTT Data Italia è invece stata multata con 800.000 euro per ritardo nella comunicazione della violazione e per aver affidato attività a terze parti senza autorizzazione.