Le ultime novità del garante della privacy dopo l’attacco all’istituto di credito, spiegate dall’esperta di informatica giuridica Pamela La Farciola
di Pamela La Farciola
MEDIA&TECNOLOGIA. Il 21 ottobre 2018 Unicredit è stata colpita da un tentativo di Data Beach, ovvero la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, per forzare il sistema di online banking. Il tentativo di Data Beach che ha interessato i dati personali di ben 731.519 dei suoi correntisti è stato notificato al Garante Privacy il giorno successivo, come previsto dalla normativa vigente in materia di protezione dati personali.
Un tentativo di intrusione che secondo la banca in questione è stato sventato e che, sempre secondo quanto comunicato da Unicredit ai clienti interessati, avrebbe potuto carpire nome, cognome, codice fiscale, NDG (codice identificativo cliente) e il REB (codice identificativo per l’accesso ai servizi di banca multicanale). Dei 731.519 clienti oggetto dell’attacco, sono stati 6.859 quelli bloccati subito dalla banca a seguito della individuazione della password (vale a dire il PIN), mentre per i restanti non era stata ravvisato un rischio elevato.
Ma il Garante Privacy ha ingiunto a Unicredit di contattare tutti i 731.519 correntisti coinvolti, visto che l’acquisizione dei “citati dati personali è da ritenere già di per sé fonte di potenziale grave pregiudizio per gli interessati, in considerazione dell’abitudine diffusa tra gli utenti dei servizi online di utilizzare password e PIN facilmente memorizzabili e, dunque, della concreta possibilità che diversi interessati, ancorché Unicredit fornisca ai propri clienti ‘indicazioni utili su come creare e aggiornare il PIN’, non abbiano tenuto conto di tali consigli”.
Il provvedimento dell’Autorità garante privacy è stato firmato il 13 dicembre scorso e, considerati i 30 giorni di tempo concessi a Unicredit per contattare tutti i correntisti coinvolti, il periodo di comunicazione massiccia di quanto avvenuto a tutti gli interessati dovrebbe essere ormai scaduto. I dati potenzialmente trafugabili dagli attaccanti, come sostenuto anche dal Garante privacy, possono essere utilizzati come chiavi di ricerca per individuare in rete l’interessato e conseguentemente accedere anche ad altre informazioni allo stesso riferibili quali, ad esempio, un recapito telefonico o un indirizzo di posta elettronica; tali informazioni potrebbero essere utilizzate per rivolgere agli interessati comunicazioni telefoniche o messaggi di phishing a scopo fraudolento, grazie alla conoscenza di dati personali da parte dei soggetti terzi che hanno condotto l’attacco fraudolento.
Si rileva che il mancato riscontro è passibile di sanzione amministrativa ai sensi del combinato disposto di cui agli articoli 83, par. 5, lett. e), del Regolamento europeo 679/2016 e 166 del Codice privacy. Nel comunicato ufficiale della Banca, si legge: “non è stato acquisito nessun dato, quali le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN”.
In conclusione, resta alta l’attenzione sui possibili attacchi ai dati personali dei correntisti, ricordando che segnalare quanto accaduto all’Autorità garante privacy e agli stessi interessati risulta essere una prerogativa non derogabile.
Unisciti al gruppo Whatsapp di isNews per restare aggiornato in tempo reale su tutte le notizie del nostro quotidiano online: salva il numero 3288234063, invia ISCRIVIMI e metti “mi piace” al nostro gruppo ufficiale