L’Autorità Garante per la protezione dei dati personali ha comminato ad un importante istituto bancario una sanzione amministrativa pecuniaria dell’ammontare di 600 mila euro a seguito dell’accertamento di violazioni commesse nell’ambito di un episodio di data breach.
La vicenda ha riguardato episodi di intrusione informatica a danno della banca verificatasi in due momenti distinti in un arco temporale compreso tra aprile 2016 e luglio 2017. In complesso risulta che si siano determinati accessi non autorizzati a dati personali riferiti a circa 762.000 interessati. A seguito dell’istruttoria dell’Autorità tali episodi erano stati ricondotti ad accessi abusivi al sistema informatico della banca effettuati con le utenze di alcuni dipendenti di un partner commerciale (una società finanziaria con cui la banca aveva in essere un contratto monomandatario di gestione delle pratiche di cessione del quinto dello stipendio). Gli accessi erano avvenuti per mezzo di un applicativo esterno capace di filtrare ed incrociare i dati dei clienti presenti nei database dell’istituto bancario, apparentemente senza alcun tipo di autorizzazione in fase di accesso.
In particolare, era risultato che i dati oggetto della violazione consistevano sia in dati anagrafici, sia in dati sul patrimonio che in dati cosiddetti bancari (IBAN, classificazione creditizia e simile).
La banca aveva provveduto nel luglio 2017alla comunicazione della violazione all’Autorità (in applicazione del “Provvedimento sulla circolazione delle informazioni riferite a clienti all’interno dei gruppi bancari e ‘tracciabilità’ delle operazioni bancarie”). L’Autorità aveva quindi avviato la fase istruttoria e aveva constatato il mancato adempimento, da parte della banca, di alcune delle misure di sicurezza tecniche e logiche stabilite dall’allora vigente Disciplinare Tecnico (Allegato B) del Codice in materia di protezione dei dati personali (d.lgs. 196/2003), nonché delle prescrizioni di cui al medesimo Provvedimento.
Nel dettaglio, con Provvedimento n. 87 emesso il 28 marzo 2019, l’Autorità Garante aveva quindi contestato alla banca:
- la mancanza di un idoneo sistema di autorizzazione e l’assenza del “limite di accesso” dei profili di autorizzazione – individuati per l’accesso all’applicativo esterno in grado di comunicare con i database della banca – ai soli dati necessari per effettuare le operazioni di trattamento. In altri termini, i soggetti ignoti venuti in possesso delle credenziali di accesso all’applicativo appartenenti ai dipendenti del partner finanziario, sfruttando una debolezza del sistema, avevano potuto accedere ai dati dei clienti della banca presenti in pratiche di finanziamento semplicemente modificando il numero identificativo della pratica presente all’interno dell’indirizzo web. Il sistema inoltre mostrava una palese debolezza sul fronte back-end in quanto non verificava se la richiesta di accesso ai dati di una pratica fosse generata da un utente autorizzato;
- l’inadeguatezza e non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo oggetto della violazione, stante la mancata registrazione del codice del cliente interessato dall’operazione di accesso ai dati bancari all’interno del log di tracciamento delle operazioni effettuate da alcune tipologie di incaricati del trattamento (agenti in attività finanziaria o loro dipendenti/collaboratori). A ciò si aggiunge la conservazione per un periodo inferiore a 24 mesi dalla data di registrazione dell’operazione dei log di tracciamento delle operazioni effettuate, attraverso l’applicativo esterno, dagli incaricati del trattamento, in contrasto con quanto statuisce il Provvedimento in materia n. 192 del 12 maggio 2011;
- la mancata implementazione e attivazione di specifici alert capaci di individuare comportamenti anomali o a rischio relativi alle operazioni di inquiry svolte attraverso l’applicativo esterno in uso al partner finanziario;
- la mancata esecuzione di specifiche attività di audit periodiche, atte a valutare il processo e il sistema di gestione dei log dell’applicativo di tracciamento delle operazioni.
Sulla base delle risultanze istruttorie l’Autorità aveva pertanto rilevato l’illiceità del trattamento di dati personali posto in essere dall’istituto bancario. Recentemente, con un secondo provvedimento (ordinanza ingiunzione n. 99 del 10 giugno 2020), l’Autorità ha irrogato allo istituto una sanzione amministrativa pecuniaria, il cui ammontare – pari a 600 mila euro – è stato stimato tenuto conto del fatto che la banca, successivamente al data breach, ha adottato diverse misure a protezione dei dati, unitamente a diverse iniziative volte a rafforzare la sicurezza dei propri sistemi informatici quali, ad esempio, il ripristino del corretto funzionamento del sistema di autorizzazione dell’applicativo mediante il quale era stato effettuato l’accesso illegittimo ai dati trattati, il ripristino del corretto tracciamento delle operazioni svolte attraverso l’applicativo medesimo e della corretta conservazione dei log, l’implementazione di alert per le operazioni svolte attraverso l’applicativo, l’esecuzione di attività di audit interno di controllo e adozione di altre misure di sicurezza. A tali fattori hanno fatto da contraltare il rilevante numero di soggetti interessati coinvolti nella violazione (circa 700 mila) e la mancata adozione delle misure minime di sicurezza previste dalla normativa in materia di protezione dei dati personali.
La fattispecie in esame conduce a riflettere attentamente sul fondamentale ruolo che i concetti di privacy by design e by default (ai sensi dell’articolo 25 del Regolamento (UE) 2016/679) giocano nel determinare la responsabilità del Titolare nei riguardi dei trattamenti di dati gestiti nonché nella forte attualità del paradigma dell’efficace e idonea attuazione di misure di sicurezza tecniche, logiche e organizzative a protezione del modello organizzativo privacy.
La sola comunicazione di un data breach all’Autorità Garante non pone il Titolare del trattamento al riparo da contestazioni, nel momento in cui lo stesso non abbia responsabilmente messo in campo tutte le azioni necessarie per salvaguardare i diritti e le libertà dei soggetti interessati.
(Fonte newsletter n. 466 del 26 giugno 2020 del Garante per la protezione dei dati personali)