.jpg)
.jpg)
Unicredit è stata multata per una somma di 2 milioni e 800 mila euro dal Garante per la privacy a seguito di una violazione di dati personali (data breach) che ha coinvolto migliaia di clienti ed ex clienti nel 2018.
L'Authority ha dichiarato che le banche devono adottare misure tecniche e organizzative per evitare illeciti accessi ai dati dei clienti. La violazione è avvenuta tramite un attacco informatico massivo al portale di mobile banking perpetrato da cybercriminali.
Circa 778 mila clienti ed ex clienti hanno subito l'acquisizione illecita di dati come nome, cognome, codice fiscale e codice identificativo, e oltre 6.800 di loro hanno avuto compromesso anche il Pin di accesso al portale.
Il Garante ha rilevato diverse violazioni della normativa privacy, evidenziando che Unicredit non aveva implementato misure tecniche e di sicurezza adeguate per contrastare attacchi informatici e impedire l'uso di Pin deboli.
La sanzione tiene conto dell'elevato numero di soggetti coinvolti, della gravità della violazione e della capacità economica della banca. Tuttavia, sono state riconosciute come attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto alla clientela, e il fatto che la violazione non ha coinvolto dati bancari.
Inoltre, Ntt Data Italia è stata sanzionata con una multa di 800 mila euro poiché ha comunicato l'avvenuta violazione dei dati personali di clienti di Unicredit oltre il termine previsto e senza l'autorizzazione preventiva della banca.
Ntt Data Italia aveva anche affidato in subappalto attività di vulnerability assessment e penetration testing a un'altra società senza l'autorizzazione della banca, che invece aveva espressamente vietato tale pratica.
Unicredit ha dichiarato che la sicurezza dei dati dei clienti è una priorità assoluta, sottolineando che l'incidente è stato risolto immediatamente nel 2018 e notificato secondo la normativa vigente. La banca ha annunciato l'intenzione di impugnare la decisione dinanzi al Tribunale competente.