Il Garante per la Protezione dei Dati Personali (GPDP) ha comminato una sanzione pecuniaria ammontante a 2,8 milioni di euro ad UniCredit Banca per un furto di dati subito nel 2018.
La pena è arrivata dopo accurate verifiche da cui è emerso che il data breach ai danni del portale Mobile Banking aveva portato al furto di nomi, cognomi, codici fiscali e codici identificativi di circa 778mila persone tra clienti ed ex clienti.
Inoltre, per quasi 7mila clienti, aveva comportato anche la compromissione del codice PIN per l’accesso all’applicazioni.
Tra le negligenze contestate ad UniCredit, il GPDP ha notato una mancata adozione di misure tecniche specifiche per affrontare eventuali attacchi informatici, oltre ad una scarsa sensibilizzazione dei propri clienti, per esempio riguardo alla questione della complessità delle password.
L’elevato importo della multa è relativo al vasto numero delle vittime, alla gravità della violazione e alla disponibilità economica della banca. Al contrario, sono state riconosciute le attenuanti della tempestività dell’adozione di misure correttive, del servizio di supporto e di informazione nei confronti dei clienti e del non coinvolgimento del furto di dati bancari.
Leggi anche: Assintel concede il patrocinio a CYBSEC-EXPO
Non solo UniCredit
Il GPDP ha deciso di sanzionare anche NTT Data Italia, multinazionale che si occupa di system integration, ovvero servizi professionali e consulenza strategica nei mercati delle telecomunicazioni, dei servizi, delle multi-utility, finanziari, pubblico, manifatturiero e della sanità.
NTT Data, che fornisce i propri servizi ad UniCredit, è stata accusata di non aver comunicato al proprio cliente dell’attacco subito con la dovuta tempestività, ma di averlo fatto solamente quando il gruppo bancario ne era già venuto a conoscenza.
Inoltre, la stessa multinazionale, aveva subappaltato le attività di vulnerability assestment e penetration testing ad un’altra azienda senza aver prima avvertito o richiesto l’autorizzazione di UniCredit. Secondo il GPDP, la banca aveva espressamente vietato la delegazione di queste attività a terzi.
La sanzione comminata a NTT Data ammonta a 800mila euro.
Cybsec-news.it vi invita alla prima edizione della CYBSEC-EXPO, a Piacenza dal 29 al 31 Maggio 2024.