Estratto SIG – Sanzione a Unicredit a seguito di data breach

 In Editoriale - Rss, Puntate 2019 - Rss
Print Friendly, PDF & Email

Sanzione a Unicredit a seguito di data breach

La vicenda oggetto dell’ordinanza ingiunzione del Garante privacy riguarda un fatto avvenuto prima della piena applicazione del GDPR, per cui ad esso trova applicazione il codice privacy previgente.

Dopo una complessa istruttoria, attraverso la quale sono state rilevate violazioni all’adozione delle misure minime di sicurezza ed alle prescrizioni del provvedimento del Garante n. 192 del 2011, l’istituto bancario si vede ora irrogare una sanzione amministrativa pecuniaria per un importo complessivo di 600.000 euro.

Sintesi 

 

Vicenda

La banca si avvale di una società terza per la gestione delle pratiche di finanziamento per la cessione del quinto dello stipendio. 

Utilizzando le credenziali di accesso dei dipendenti autorizzati di questa terza parte, ignoti – profittando di una vulnerabilità dell’applicativo di gestione delle pratiche – effettuano accessi abusivi a quelle di oltre 760 mila clienti, relative a istanze di finanziamento sia per cessione del quinto sia per credito al consumo. Accortasi della violazione, durata per un lasso temporale di 14 mesi, la banca: 

  • ne dà notifica al Garante privacy
  • sporge denuncia alla procura della Repubblica
  • comunica l’avvenuta violazione ai clienti interessati, mediante lettera, sms, pop-up di sportello e numero verde dedicato
  • risolve il contratto di mandato con l’agente finanziario, a causa dell’accertata carenza di misure di sicurezza presso quest’ultimo
  • adotta una serie di misure correttive.

Fatti anteriori al GDPR

I fatti oggetto della vicenda riguardano una serie di violazioni intervenute tra l’aprile 2016 e il luglio 2017, vale a dire prima della piena applicazione del GDPR (25 maggio 2018), per cui la disciplina ad esso applicabile è quella dettata dal codice privacy previgente alle modifiche intervenute con la legge di adeguamento al regolamento (Dlgs. n. 101/2018). 

Per questo motivo, uno degli addebiti sollevati nei confronti della banca si riferisce alla mancata adozione di alcune misure minime di sicurezza, allora vigenti, e le sanzioni pecuniarie irrogate sono state applicate in base ai minimi e massimi previsti dagli articoli 162, commi 2-bis e  2-ter, e 164-bis, comma 2, del testo previgente del codice privacy.

Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Illeggibile? Cambia il testo. captcha txt
0