Il Garante Privacy ha emesso una sanzione di 600 mila euro per il Data Breach (per approfondimento leggi Che cos'è un "Data Breach") subìto da Unicredit per l’evento di violazione che, tra il 2016 e il 2017, ha riguardato gli accessi abusivi ai dati di circa 762 mila clienti.
L’intrusione è avvenuta nei sistemi dell’applicativo per la gestione delle richieste dei finanziamenti e le informazioni oggetto di violazione hanno riguardato:
-dati anagrafici e di contatto;
-dati riguardanti la professione;
-dati riguardanti il livello di studio;
-estremi identificativi del documento di identità;
-informazioni relative a datore di lavoro;
-informazioni riguardo il salario percepito;
-dati riguardanti l'importo del prestito;
-informazioni sullo stato del pagamento;
-“approssimazione della classificazione creditizia del cliente”
-identificativo Iban del cliente.
Dagli accertamenti ispettivi svolti, le vulnerabilità del sistema hanno riguardato diversi profili di sicurezza e vulnerabilità sia nella componente di front-end che di back-end.
I problemi di sicurezza
Come primo aspetto, la mancata gestione degli accessi, secondo il criterio del privilegio minimo necessario, ha contribuito ad amplificare la violazione, dando così la possibilità a ciascun Incaricato al trattamento dati di accedere a tutte le pratiche di finanziamento e non alle sole di propria competenza. Inoltre è stato rilevato un errore di programmazione nella gestione dei log di tracciamento delle operazioni effettuate da parte del personale esterno (agenti in attività finanziaria o loro dipendenti/collaboratori), a causa del quale non veniva effettuata la registrazione del codice del cliente interessato dall’operazione di accesso e non c'era quindi disponibilità del file dei log degli ultimi 24 mesi di attività.
In aggiunta, non era stata implementata alcuna funzione di alert per comportamenti anomali o a rischio.
La predisposizione di tutte queste misure di sicurezza e il monitoraggio delle stesse dovevano essere attuati attraverso un audit interno di controllo così come specificamente prescritto dal Provvedimento del 12 maggio 2011 in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie. (Leggi anche l'articolo GDPR: l'importanza dell'audit)
A seguito dell'esito degli accertamenti svolti il Garante ha perciò emesso una sanzione amministrativa pecuniaria per l'importo di 600 mila euro per la mancata adozione delle misure minime di sicurezza e per l'inosservanza delle prescrizioni impartite dal Garante, nonché per aver commesso le suddette violazioni in relazione a banche dati di particolare rilevanza e dimensione.
Unicredit si è vista così costretta ad adottare le misure per il ripristino del corretto funzionamento dei sistemi di autorizzazione, log ed alert, nonché a programmare lo svolgimento di attività di audit interno per aumentare la sicurezza dei sistemi informativi e prevenire analoghi eventi di Data Breach.
I controlli ispettivi sono sempre dietro l'angolo e rischiare elevate sanzioni solo per la negligenza di non aver attuato le misure di sicurezza richieste in termini di protezione di dati personali e di cybersecurity aziendale non vale davvero la pena.
Contatta i nostri esperti e ricevi la tua consulenza gratuita, metti al riparo la tua attività da possibili violazioni GDPR!
Cel. +39 371 46 371 45 - 371 46 30 129
E-mail: info@enterprise-solutions.net
oppure tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." nella versione Mobile.