bourbiza mohamed
L’Autorità Garante for each la Protezione dei Dati Personali ha adottato un provvedimento sanzionatorio nei confronti di UniCredit, for each by means of di una violazione di dati personali avvenuta negli anni scorsi, più precisamente nel 2018, che ha coinvolto a detta dell’Autorità migliaia di clienti ed ex clienti.
Nel renderlo noto, nella giornata di ieri, 7 Marzo 2024, il Garante della Privateness ha fatto riferimento al provvedimento adottato lo scorso 8 Febbraio 2024 (ecco il documento completo), attraverso il quale l’Autorità ha comminato al gruppo bancario una sanzione di 2,8 milioni di euro.
UniCredit, in particolare, ha spiegato il Garante, period stata per l’appunto interessata, nel 2018, da un imponente attacco informatico al proprio portale di mobile banking, perpetrato da cybercriminali.
Dalle verifiche effettuate dall’Autorità, a seguito della ricezione della notifica di knowledge breach da parte della banca, era emerso che l’attacco aveva causato l’acquisizione illecita delle informazioni personali, quali nome, cognome, codice fiscale e codice identificativo, di circa 778.000 clienti ed ex clienti. Di questi, for every oltre 6.800 clienti l’attacco aveva comportato anche l’individuazione del PIN di accesso al portale.
Secondo quanto riportato dal Garante della Privacy, i dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse advert accedere al portale di cellular banking, anche senza effettivamente riuscirvi.
Nel corso dell’attività istruttoria, l’Autorità ha quindi rilevato numerous violazioni della normativa sulla privacy, tra cui la mancata adozione, da parte di UniCredit, di misure tecniche e di sicurezza in grado di contrastare eventuali attacchi informatici, oltre che di impedire ai propri clienti l’utilizzo di PIN deboli, composti advert esempio da sequenze numeriche, soprattutto se coincidenti con la info di nascita.
Sul caso UniCredit, il Garante è intervenuto anche nei confronti di NTT Data Italia, la società incaricata di effettuare i take a look at di sicurezza for every conto dell’istituto bancario, con l’adozione di un secondo provvedimento (ecco il documento completo), anch’esso risalente all’8 Febbraio 2024, attraverso il quale l’Autorità ha sanzionato NTT Info Italia con una multa di 800.000 euro.
Stando al provvedimento in questione, il Garante della Privateness ha accertato che NTT Knowledge Italia aveva comunicato a UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal Regolamento, dopo che la banca ne era già venuta a conoscenza tramite i propri sistemi di monitoraggio interno.
Secondo l’Autorità, inoltre, la società aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration screening in subappalto ad un’altra azienda, senza l’autorizzazione preventiva di UniCredit in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.
Nei confronti di UniCredit, advertisement ogni modo, il Garante for every la Protezione dei Dati Personali, come già detto, ha provveduto ad irrogare una sanzione di 2.800.000 euro. Un ammontare, ha precisato l’Autorità, stabilito tenendo conto del fatto che la violazione dei dati ha riguardato un numero elevato di soggetti, oltre che della gravità stessa del knowledge breach e della capacità economica della banca.
Il Garante ha invece considerato attenuanti l’adozione tempestiva di misure correttive e le iniziative di informazione e supporto poste in essere nei confronti della clientela colpita, così appear la circostanza che la violazione non ha riguardato i dati bancari.
Editing Mattia Castro
Aggiornamento del 9 Marzo 2024
NTT Data Italia dichiara a MondoMobileWeb che non poteva in alcun modo rilevare o essere a conoscenza di una violazione di dati personali sui sistemi del cliente, considerato che i servizi di monitoraggio delle infrastrutture di sicurezza e di rilevazione dei tentativi di attacco informatico (Threat Detection) così arrive quelli di gestione degli incidenti informatici (Incident Dealing with) non rientravano tra le attività alla stessa affidate.
NTT Knowledge Italia, a seguito di un’approfondita analisi del provvedimento emanato dall’Autorità, ha deciso di impugnare la decisione dinanzi al Tribunale Competente.
NTT Data Italia è fermamente impegnata a garantire il rispetto di elevati standard di conformità agli obblighi in materia di protezione dei dati personali, essenziali for every la fiducia che clienti, fornitori e lover ripongono nell’azienda.
Seguici su Telegram
For each rimanere aggiornato sulle novità della telefonia unisciti al canale @mondomobileweb di Telegram.
Seguici anche su Google News, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.
I prezzi sono validi alla pubblicazione. Potremmo ricevere un compenso for each click on o acquisti.
