Il Garante per la Protezione dei dati personali ha sanzionato Unicredit per 600.000 euro per i data breach subiti tra Aprile 2016 e Ottobre 2018, avendo ritenuto, al termine di una lunga istruttoria, che l'accesso non autorizzato ai dati sia dipeso anche da alcune falle nel sistema di gestione e protezione dati dell'istituto di credito.

I breach in breve
La sanzione è conseguente a due diversi accessi abusivi, avvenuti in momenti distinti. Il primo accesso non autorizzato risale al periodo dell'autunno 2016 - estate 2017. In questo caso i dati esposti riguardavano oltre 400.000 clienti Unicredit. Il comunicato ufficiale della banca specificava che “non è stato acquisito nessun dato, quali le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN”.

Nel secondo accesso abusivo, individuato nell'Ottobre 2018, erano stati 731.519 i clienti interessati dal breach, che Unicredit stessa aveva denunciato al Garante. Un tentativo di intrusione che, secondo la banca, è stato sventato e che avrebbe esposto "solo" nome e cognome, codice fiscale, codice indentificativo del cliente e il codice identificativo per l'accesso ai servizi di banca multicanale. 6.859 furono i clienti bloccati perchè, secondo le indagini di Unicredit, avevano subito il furto del PIN. In prima battuta la banca aveva deciso di contattare soltanto i clienti riguardati dal furto PIN, ma il Garante aveva ingiunto ad Unicredit di contattare tutti i 730.000 correntisti coinvolti, ritenendo che il furto di dati personali non fosse meno grave del furto del PIN e che quindi la comunicazione fosse dovuta. Nel provvedimento del Garante, risalente al Dicembre 2019, si legge che questi dati:

“possono essere utilizzati come chiavi di ricerca per individuare in rete l’interessato e conseguentemente accedere anche ad altre informazioni allo stesso riferibili; tali informazioni potrebbero essere utilizzate per rivolgere agli interessati comunicazioni telefoniche o messaggi di phishing a scopo fraudolento, grazie alla conoscenza di dati personali da parte dei soggetti terzi che hanno condotto l’attacco fraudolento”.

La sanzione
La sanzione ha tenuto prima di tutto conto del tipo di dati esposti e delle modalità di accesso abusivo. Gli accessi sono stati effettuati usando gli account di dipendenti di un partner commerciale della banca, quindi un esterno. I dati esposti hanno rivelato una molteplicitià di informazioni:

• iban del cliente
• importo di eventuali prestiti
• salario
• dati anagrafici e di contatto
• professione
• titolo di studio
• documenti di riconoscimento
• estremi del datore di lavoro

Alla luce di tutto questo il Garante ha emesso la sanzione tenendo conto della disciplina prevista dal GDPR e facendo seguito alla contestazione di violazione amministrativa notificata alla banca nel Maggio 2019. Il Garante aveva, in quella occasione, accertato la violazione da parte di Unicredit delle misure minime di sicurezza previste dal GDPR, ma anche delle regole fissate nel provvedimento 192/2011 in materia di tracciamento delle operazioni bancarie.

L'ammontare della sanzione dipende da molteplici fattori, tra i quali il numero rilevante di persone riguardate ma anche del fatto che la banca, a seguito del data breach, ha adottato misure volte a rafforzare la sicurezza dei sistemi informatici.