Il 22 ottobre 2018, la UniCredit S.p.A. (in qualità di titolare del trattamento) ha notificato al Garante un data breach avvenuto nel periodo compreso tra l’11 ottobre e il 21 ottobre 2018. La violazione si è verificata a causa di un attacco informatico al portale di mobile banking. Gli hacker hanno cercato di accedere ai conti correnti dei clienti attraverso l’inserimento di PIN generati automaticamente. Il portale presentava due gravi vulnerabilità che hanno facilitato la violazione.
In primo luogo, rendeva disponibili i dati personali dei clienti (nome, cognome, codice fiscale e codice identificativo interno della banca) nelle risposte HTML ai tentativi di autenticazione, anche quando i tentativi non andavano a buon fine. In secondo luogo, il titolare non aveva limitato l’uso di PIN deboli, rendendo così i conti correnti vulnerabili agli attacchi informatici volti a identificare tutte le informazioni di accesso dei clienti (c.d. brute force attacks). A causa della vulnerabilità del portale, ogni tentativo di accesso ha consentito agli hacker di accedere ai nomi, ai codici fiscali e ai codici di identificazione bancaria interna di 777.765 clienti. Nel caso di 6.959 di questi clienti, gli hacker sono riusciti anche a ottenere le password di accesso al portale.
Nella memoria difensiva, UniCredit ha sostenuto che la violazione si è verificata a causa della negligenza di NTT Data Italia S.p.A. Il responsabile del trattamento, infatti, non ha considerato la violazione come “ad alto rischio” ai sensi dell’articolo 34 del GDPR. Ha semplicemente pubblicato un avviso generale sul suo sito web e ne ha dato comunicazione diretta solo ai 6.959 interessati le cui password erano state compromesse. Il Garante, ovviamente, non è stato dello stesso avviso e, a seguito di un’indagine preliminare, ha ritenuto che la violazione presentasse un rischio elevato per i diritti degli interessati.
Il responsabile del trattamento, tra l’altro, aveva eseguito i test di sicurezza sulla pagina web e sul mobile banking insieme a Truel IT S.r.l., un suo sub-responsabile del trattamento. Tuttavia, tale sub-responsabile era stato assunto senza previa autorizzazione da parte del titolare.
In ogni caso è stata proprio la Truel IT S.r.l. a scoprire l’attacco il 10 ottobre 2018 segnalandolo a NTT Data Italia S.p.A.. Ciononostante, la società responsabile non ha, a sua volta, segnalato le suddette violazioni al titolare fino al 22 ottobre 2018.
Il Garante Privacy ha respinto la difesa di UniCredit, ritenendo ad ogni modo censurabile anche la condotta di NTT Data Italia S.p.A., ed ha riscontrato, dunque, la violazione degli articoli 5, paragrafo 1, lettera f), 32, paragrafo 1 e 32, paragrafo 2, del GDPR.
In primo luogo, ha osservato che rendere i dati personali disponibili a chiunque tenti l’autenticazione, indipendentemente dal successo del tentativo, è intrinsecamente rischioso nel settore bancario, dove i clienti identificati possono essere presi di mira in tentativi di phishing o attacchi simili.
In secondo luogo, ha ritenuto che, nonostante la violazione sia stata scoperta dal sub-responsabile, l’obbligo di informare il titolare del trattamento ai sensi dell’articolo 33, paragrafo 2, del GDPR, rimane in capo al responsabile del trattamento iniziale. Secondo il Garante, il responsabile del trattamento avrebbe dovuto informare il titolare del trattamento non appena fosse venuto a conoscenza dell’attacco (11 o 12 ottobre). Dalle verifiche effettuate dal Garante, in particolare è emerso che NTT Data Italia aveva comunicato ad UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dall’art. 33 del Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.
Inoltre, NTT Data Italia aveva affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività. Per tali motivi, il Garante ha sanzionato UniCredit per 2,8 milioni di euro e comminato una ulteriore sanzione di 800mila euro anche alla società responsabile del trattamento incaricata di effettuare i test di sicurezza.
Il provvedimento del Garante ribadisce un concetto da ponderare con attenzione al fine di trarne le opportune conseguenze nelle clausole contrattuali, ricordandoci che non solo il titolare del trattamento è responsabile della violazione, ma lo è anche il responsabile del trattamento, che dunque potrà essere chiamato a risponderne e a pagare per i danni arrecati.