Data breach di Unicredit: rischio violazione dati personali per migliaia di correntisti coinvolti

Data breach di Unicredit: rischio violazione dati personali per migliaia di correntisti coinvolti

Valutazione attuale: 5 / 5

Stella attivaStella attivaStella attivaStella attivaStella attiva
 

Le ultime novità del garante della privacy dopo l’attacco all’istituto di credito, spiegate dall’esperta di informatica giuridica Pamela La Farciola


di Pamela La Farciola

MEDIA&TECNOLOGIA. Il 21 ottobre 2018 Unicredit è stata colpita da un tentativo di Data Beach, ovvero la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, per forzare il sistema di online banking. Il tentativo di Data Beach che ha interessato i dati personali di ben 731.519 dei suoi correntisti è stato notificato al Garante Privacy il giorno successivo, come previsto dalla normativa vigente in materia di protezione dati personali.     

Un tentativo di intrusione che secondo la banca in questione è stato sventato e che, sempre secondo quanto comunicato da Unicredit ai clienti interessati, avrebbe potuto carpire nome, cognome, codice fiscale, NDG (codice identificativo cliente) e il REB (codice identificativo per l’accesso ai servizi di banca multicanale). Dei 731.519 clienti oggetto dell’attacco, sono stati 6.859 quelli bloccati subito dalla banca a seguito della individuazione della password (vale a dire il PIN), mentre per i restanti non era stata ravvisato un rischio elevato.

Ma il Garante Privacy ha ingiunto a Unicredit di contattare tutti i 731.519 correntisti coinvolti, visto che l’acquisizione dei “citati dati personali è da ritenere già di per sé fonte di potenziale grave pregiudizio per gli interessati, in considerazione dell’abitudine diffusa tra gli utenti dei servizi online di utilizzare password e PIN facilmente memorizzabili e, dunque, della concreta possibilità che diversi interessati, ancorché Unicredit fornisca ai propri clienti ‘indicazioni utili su come creare e aggiornare il PIN’, non abbiano tenuto conto di tali consigli”.

Il provvedimento dell’Autorità garante privacy è stato firmato il 13 dicembre scorso e, considerati i 30 giorni di tempo concessi a Unicredit per contattare tutti i correntisti coinvolti, il periodo di comunicazione massiccia di quanto avvenuto a tutti gli interessati dovrebbe essere ormai scaduto. I dati potenzialmente trafugabili dagli attaccanti, come sostenuto anche dal Garante privacy, possono essere utilizzati come chiavi di ricerca per individuare in rete l’interessato e conseguentemente accedere anche ad altre informazioni allo stesso riferibili quali, ad esempio, un recapito telefonico o un indirizzo di posta elettronica; tali informazioni potrebbero essere utilizzate per rivolgere agli interessati comunicazioni telefoniche o messaggi di phishing a scopo fraudolento, grazie alla conoscenza di dati personali da parte dei soggetti terzi che hanno condotto l’attacco fraudolento.

Si rileva che il mancato riscontro è passibile di sanzione amministrativa ai sensi del combinato disposto di cui agli articoli 83, par. 5, lett. e), del Regolamento europeo 679/2016 e 166 del Codice privacy. Nel comunicato ufficiale della Banca, si legge: “non è stato acquisito nessun dato, quali le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici IBAN”.

In conclusione, resta alta l’attenzione sui possibili attacchi ai dati personali dei correntisti, ricordando che segnalare quanto accaduto all’Autorità garante privacy e agli stessi interessati risulta essere una prerogativa non derogabile.

Unisciti al gruppo Whatsapp di isNews per restare aggiornato in tempo reale su tutte le notizie del nostro quotidiano online: salva il numero 3288234063, invia ISCRIVIMI e metti "mi piace" al nostro gruppo ufficiale

Privacy Policy