I fatti risalgono ad alcuni anni or sono ma la questione si chiude ufficialmente soltanto oggi con la chiosa del Garante Privacy: per l’istituto bancario Unicredit è stata comminata una sanzione pari a 600 mila euro a seguito del doppio data breach registrato tra l’autunno del 2016 e l’estate del 2017. Questi i fatti nelle cronache di allora.
La violazione avvenne sfruttando gli account dei dipendenti di alcuni partner commerciali dell’istituto: molti e di particolare importanza i dati trafugati: “dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, approssimazione della classificazione creditizia del cliente e codice Iban“.
Questa la conclusione del Garante, con cui la somma della sanzione è stata stabilita e la sentenza controfirmata:
Il Garante quindi, considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, ha ritenuto necessario l’applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca. Nel determinare l’ammontare dell’importo in 600mila euro, l’Autorità ha tenuto conto di diversi elementi, tra i quali il fatto che le violazioni sono state commesse nei confronti di un rilevante numero di persone e che la banca – che non ha subito precedenti provvedimenti sanzionatori del Garante – a seguito del data breach ha adottato diverse misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici.
La segnalazione al Garante della violazione subita, insomma, non ha salvato Unicredit da una sanzione che è stata in seguito proporzionata alla gravità delle mancanze in termini di sicurezza, ma anche alla buona volontà dimostrata in seguito per migliorare la situazione.