Il Garante per la privacy, con provvedimenti n. 65 e 66, entrambi dell’8 febbraio 2024, ha sanzionato una banca per una violazione di dati personali (data breach) e una società informatica responsabile del trattamento dei dati per la banca, alla quale quest’ultima aveva appaltato la fornitura di servizi di “Banking Application Penetration Test & Vulnerability Assessment”.
Dalle verifiche effettuate dall’Autorità – a seguito della ricezione della notifica di data breach da parte della banca – è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking.
L’attacco, in particolare, aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di migliaia di clienti ed ex clienti dell’istituto di credito; inoltre, per moltissimi clienti, ciò aveva comportato anche l’individuazione del PIN di accesso al portale.
I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.
Nel corso dell’attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy da parte della banca.
In particolare, l’Autorità ha accertato che:
- non erano state adottate misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici
- non era stato impedito ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita);
Il garante, nel comminare la sanzione, ha comunque tenuto conto di alcune attenuanti, come:
- la tempestiva adozione di misure correttive
- le iniziative di informazione e supporto poste in essere nei confronti della clientela
- la circostanza che la violazione non ha riguardato i dati bancari.
Inoltre il Garante, con il provvedimento n. 66 dell’8/02/2024, ha sanzionato pure la società responsabile del trattamento, poiché aveva comunicato alla banca l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dal GDPR, e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.
Inoltre, la società aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca in qualità di titolare del trattamento, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.