UniCredit: multa per violazione della privacy
Topic
Approfondimenti
Trending
tutti

UniCredit: multa per violazione della privacy

Il Garante della Privacy ha inflitto una multa di 2,8 milioni di euro a UniCredit per non aver protetto i dati dei clienti contro l'intrusione del 2018.
UniCredit: multa per violazione della privacy
Sicurezza Privacy
Il Garante della Privacy ha inflitto una multa di 2,8 milioni di euro a UniCredit per non aver protetto i dati dei clienti contro l'intrusione del 2018.
Unsplash

Il Garante per la protezione dei dati personali ha inflitto una multa di 2,8 milioni di euro a UniCredit per la violazione del GDPR (Regolamento generale sulla protezione dei dati) in seguito al data breach avvenuto ad ottobre 2018. La complessa attività istruttoria ha permesso di accertare l’assenza di misure di sicurezza efficaci per contrastare gli attacchi informatici.

UniCredit non ha protetto i dati

La notifica del data breach è stata inviata da UniCredit al Garante il 22 ottobre 2018. Dopo i primi tentativi di accesso effettuati tra l’11 e il 20 ottobre 2018, i cybercriminali hanno portato a termine l’attacco il 21 ottobre 2018. Utilizzando una rete Tor per nascondere l’indirizzo IP sono stati trovati i codici REB (identificativo per l’accesso al servizio di banca multicanale) di quasi 778.000 clienti.

A partire dal codice REB, i cybercriminali hanno scoperto nome, cognome e codice fiscale dei clienti. Per circa 6.800 di essi è stato scoperto anche il PIN di accesso al portale di mobile banking. Durante l’istruttoria, il Garante ha accertato che i suddetti dati erano visibili in chiaro all’interno del codice HTML di risposta ai tentativi di accesso. Inoltre non è stata prevista nessuna protezione contro gli attacchi “brute force”.

Considerando l’elevato numero di utenti coinvolti, la gravità della violazione e le tempestive misure correttive adottate, il Garante ha inflitto una multa da 2,8 milioni di euro.

Un secondo provvedimento è stato adottato nei confronti di NTT Data Italia. La società era stata incaricata di effettuare un penetration test sulla piattaforma mobile (app e web). Nonostante UniCredit avesse vietato il coinvolgimento di terze parti, NTT Data Italia ha “subappaltato” tale attività a Truel IT.

Quest’ultima ha individuato 10 vulnerabilità, due delle quali hanno portato al data breach. Il Garante ha quindi inflitto a NTT Data Italia una multa di 800.000 euro per aver affidato l’esecuzione del penetration test a Truel IT senza autorizzazione da parte di UniCredit e per aver comunicato in ritardo alla banca la violazione dei dati degli utenti.

Fonte: Garante Privacy

Pubblicato il 8 mar 2024

Link copiato negli appunti

Ti potrebbe interessare

Smetti di essere tracciato online! Ecco come fare

Smetti di essere tracciato online! Ecco come fare
Data breach: Intesa Sanpaolo deve informare i clienti

Data breach: Intesa Sanpaolo deve informare i clienti
Proteggi i tuoi dati da minacce invisibili!

Proteggi i tuoi dati da minacce invisibili!
Offerta Black Friday Incogni: cancella i dati online al 58% di sconto

Offerta Black Friday Incogni: cancella i dati online al 58% di sconto
Smetti di essere tracciato online! Ecco come fare

Smetti di essere tracciato online! Ecco come fare
Data breach: Intesa Sanpaolo deve informare i clienti

Data breach: Intesa Sanpaolo deve informare i clienti
Proteggi i tuoi dati da minacce invisibili!

Proteggi i tuoi dati da minacce invisibili!
Offerta Black Friday Incogni: cancella i dati online al 58% di sconto

Offerta Black Friday Incogni: cancella i dati online al 58% di sconto
Luca Colantuoni
Pubblicato il
8 mar 2024
Link copiato negli appunti