Nel 2018 UniCredit ha subito un attacco informatico massivo al portale di mobile banking.
L’attacco ha causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti e aveva comportato anche l’individuazione del PIN di accesso al portale.
Un simile evento viene qualificato, dalla normativa di settore, un data breach. Considerata la particolare gravità dell’evento, il numero delle persone coinvolte, e le caratteristiche dei dati personali violati, la banca ha dato notizia dell’evento in questione alle persone coinvolte ed ha provveduto alla prescritta notifica all’Autorità Garante.
Quest’ultima, nella fase di indagine, ha accertato che la banca non aveva adottato tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente, impedendo, ad esempio, ai propri clienti, di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita).
L’Autorità è intervenuta anche nei confronti di NTT Data Italia, nella qualità di responsabile del trattamento ai sensi dell’art. 28 GDPR, espressamente nominato dalla banca.
A NNT è stata comminata una sanzione di 800mila euro.
NTT è stata ritenuta responsabile di aver comunicato ad UniCredit il data breach, ossia l’avvenuta violazione dei dati personali dei propri clienti, oltre il termine previsto dal Regolamento e peraltro solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.
NTT, inoltre, aveva a sua volta affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.
La mappatura della c.d. catena delle responsabilità operata dall’Autorità ha fatto quindi emergere trattamenti svolti in subappalto, senza la necessaria preventiva autorizzazione da parte del titolare del
trattamento.
Si raccomanda dunque la massima attenzione alla formulazione degli atti di nomina che spesso includono clausole standard che vietano di esternalizzare anche solo alcuni dei servizi resi.