Non stupisce la sanzione emessa dal Garante per la privacy, con l’ordinanza di ingiunzione, nei confronti del noto istituto di credito. Il Garante, nel provvedimento adottato lo scorso 10 giugno, ricostruisce come negli anni la Banca non abbia adottato misure per la tutela dei dati sensibili idonee alla mole dei dati immagazzinati.
Intorno al 2016 è stato registrato un accesso abusivo ai dati sensibili di 700.000 clienti, il suddetto data breach è stato denunciato dall’istituto di credito a luglio 2017. Nel provvedimento si evince come il Garante dia merito alla Banca per la tempestiva denuncia ma, ai fini della sanzione pari a 600.000 euro, non può tenerne conto in quanto le violazioni accertate integrano:
- la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 33, con riferimento alla mancata adozione delle misure minime di sicurezza;
- la violazione amministrativa prevista dall’art. 162, comma 2-ter, del Codice, in relazione all’art. 154, comma 1, lett. c), con riferimento all’inosservanza delle prescrizioni impartite dal Garante con il provvedimento n. 192 del 12 maggio 2011;
- infine, la violazione prevista dall’art. 164-bis, comma 2, del Codice, in riferimento alla circostanza che le violazioni commesse sono riferite a banche date di particolare rilevanza o dimensioni;
I dati oggetto del data breach riguardano una molteplicità di informazioni come: dati anagrafici, livello di studio e professione, estremi identificativi di un documento di riconoscimento ed informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban dei correntisti. Nello specifico l’accesso ai dati, come rilevato dall’istruttoria del Garante, è stato realizzato mediante l’accesso non autorizzato tramite delle utenze di alcuni dipendenti di un partner commerciale esterno alla banca denominata società Penta Finanziamenti Italia srl attraverso un applicativo denominato Speedy Arena.
Il Garante, in attuazione del provvedimento del 2019 n. 87, ha dichiarato l’illiceità del trattamento dei dati personali emessi dalla banca in qualità di titolare perché effettuato in violazione delle misure minime di sicurezza di tutela della privacy e delle misure prescritte dal provvedimento n. 192 del 12 maggio 2011, recante prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie. Inoltre, dall’istruttoria, si evince che la società Penta non ha realizzato una corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo Speedy Arena e vi è stata una mancata implementazione di alert per le operazioni svolte attraverso il citato applicativo ed una mancata esecuzione di attività di audit interni di controllo. Evidenziando come il succitato applicativo risultasse particolarmente debole sia a livello di front-end che di back-end tale da consentire l’accesso abusivo per 10 secondi a pratica prima di rilevare la violazione. La sanzione irrogata, tenendo conto del numero delle violazioni ma anche dell’ultimo bilancio della società ci fa capire l’importanza della tutela dei dati personali. Inoltre, permette di inquadrare l’operato del Garante in un’ottica di concretezza e mostra come prontamente l’istituto di credito abbia modificato e adottato misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici.
Maria Laura Micucci
