Il Garante Privacy esamina il caso degli accessi non autorizzati ai dati personali dei clienti Unicredit e approfondisce il profilo degli accertamenti nel caso di data breach.
Unicredit Spa, il 27 luglio 2017, ha reso noto con comunicato stampa di essere stato oggetto di attacchi informatici che hanno determinato l’accesso non autorizzato ai dati personali di circa 400.000 persone. Gli accessi abusivi si sarebbero verificati tra settembre e ottobre 2016 e fra giugno e luglio 2017. Unicredit ha comunicato, il 25 luglio 2017, all’Autorità Garante per la protezione dei dati personali di avere subito un’intrusione informatica - che ha determinato l’accesso non autorizzato ai dati personali di circa 400.000 persone - e ha sporto denuncia-querela presso la Procura della Repubblica di Milano. Il Garante per la Protezione dei Dati Personali ha aperto, nell’agosto e nel settembre 2017, a seguito di diverse segnalazioni di Unicredit, una specifica istruttoria al fine di verificare la presenza o meno di violazioni del diritto alla privacy connesse al trattamento dei dati all’interno dell’istituto bancario. Gli accessi abusivi hanno riguardato, come precisato da Unicredit il 22 ottobre 2018 dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di identità nonché informazioni relative a datore di lavoro, salario, importo del prestito, stato del stato del pagamento, approssimazione della classificazione creditizia del cliente” e identificativo IBAN. Occorre considerare che l’accesso abusivo non ha riguardato le credenziali di autenticazioni degli utenti né i codici di autorizzazioni per l’effettuazione delle operazioni bancarie. Il data breach subito da Unicredit inoltre si è verificato prima del 24 maggio 2018, data di diretta applicazione del regolamento privacy europeo 679/2016 e la normativa di riferimento nel caso in esame è costituito, pertanto dal Codice della Protezione dei dati personali prima del decreto di armonizzazione d.lgs. 101/2018. Il data breach in esame rappresenta, per ora, il più grave security breach subito in ambito bancario nel nostro paese. Secondo le ricostruzioni e indagini gli accessi abusivi non autorizzati ai dati personali di un rilevante numero di clienti - inizialmente stimato a 400.000 unità e successivamente accertato nella misura di circa 762.000 – sarebbero stati effettuati con le credenziali di alcuni dipendenti di un partner commerciale esterno Penta Finanziamenti Italia s.r.l., di seguito anche Penta” o Penta Finanziamenti” attraverso un’applicazione, denominata Speedy Arena”, che consente la gestione delle richieste di finanziamento relative, in particolare, alla cessione del quinto dello stipendio. Dagli accertamenti effettuati è stato ricostruito come all’epoca della violazione dei dati personali, gli incaricati del trattamento abilitati all’accesso all’applicazione Arena, dopo aver effettuato l’autenticazione potevano accedere a una qualsiasi pratica di finanziamento sia di cessione del quinto dello stipendio che di prestito al consumo semplicemente modificando il numero identificativo della pratica presente all’interno dell’indirizzo web. Il sopra citato accesso era possibile indipendentemente dal profilo di autorizzazione assegnato agli incaricati, che avrebbe invece dovuto limitare l’accesso ai soli dati relativi alle pratiche di loro competenza. Omessa adozione delle misure minime di sicurezza. Le sopra esposte modalità di accesso configurano, pertanto, l’omessa adozione da parte di UniCredit delle misure minime di sicurezza previste dagli artt. 33 e ss. del d.lgs. n. 196/2003, Codice in materia di protezione dei dati personali” e dal disciplinare tecnico di cui all’allegato B al Codice medesimo, con specifico riguardo all’utilizzo di un non idoneo sistema di autorizzazione cfr. regola n. 12 del disciplinare tecnico e all’assenza del limite di accesso” dei profili di autorizzazione – individuati per l’accesso all’applicazione Arena – ai soli dati necessari per effettuare le operazioni di trattamento” cfr. regola n. 13 del disciplinare . Unicredit ha comunicato che il contratto di agenzia in attività finanziaria stipulato con Penta Finanziamenti era stato, medio tempore , risolto ancor prima della formalizzazione dell’atto di nomina della società medesima quale responsabile del trattamento ai sensi dell’art. 29 del Codice . Unicredit ha specificato che in proposito, nel corso del successivo accertamento ispettivo che Penta, quale agente monomandataria per suo conto, ha svolto la sua attività in qualità di autonomo titolare del trattamento cfr. verbale del 22 ottobre 2018, pagg. 3 e 4 . Gli accertamenti ispettivi e le valutazioni del Garante hanno riguardato i seguenti profili di criticità inidoneità del sistema dell’applicazione Speedy Arena l’inadeguatezza e non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicazione Arena la mancata implementazione di alert per le operazioni svolte attraverso l’applicazione Arena la mancata esecuzione di opportune attività di audit interno di controllo. Le verifiche condotte dall’Autorità analisi della documentazione trasmessa e attività in loco hanno consentito di accertare come la società, a seguito del data breach in questione, abbia adottato le necessarie misure tecniche e organizzative atte ad evitare il ripetersi di accadimenti similari. Il Garante illustra e approfondisce le aree di intervento sulle quali UniCredit si è concentrato ripristino del corretto funzionamento del sistema di autorizzazione dell’applicazione Arena il ripristino del corretto tracciamento delle operazioni svolte attraverso l’applicazione Arena e della corretta conservazione dei log, implementazione di alert per le operazioni svolte attraverso l’applicazione Arena l’ esecuzione di attività di audit interno di controllo e adozione di altre misure di sicurezza. Specifica attività di audit. Il Garante ha preso atto che a seguito della violazione dei dati personali in esame, UniCredit ha avviato una specifica attività di audit interno al fine di chiarire le circostanze in cui si è determinata la violazione, di individuare le aree di responsabilità nonché di identificare e pianificare, nell’ambito di un c.d. crash program ”, una serie di interventi volti a incrementare il livello di sicurezza dei propri sistemi informativi e a prevenire violazioni dei dati personali simili a quella occorsa. Nel corso dell’ispezione la società ha rappresentato di aver portato a compimento la maggior parte degli interventi previsti nell’ambito del predetto crash program ”. Il provvedimento del Garante richiama l’attenzione sul principio di responsabilizzazione di cui all’art. 24 del Regolamento privacy europeo che implica come ogni impresa, organizzazione sia tenuta a valutare autonomamente la conformità dei trattamenti che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia ed individuando misure a protezione dei dati sin dalla fase di progettazione dei sistemi informativi con cui si realizzano i trattamenti art. 25 Regolamento . Il Garante Privacy, ai sensi dell’art. 58 del Regolamento UE 2016/679, ha rilevato l’illiceità del trattamento posto in essere da UniCredit S.p.a. in vigenza del d.lgs. n. 196/2003 nei termini descritti sui sopra citati profili di criticità. Il provvedimento è di interesse nella parte in cui descrive le azioni intraprese da Unicredit in materia di misure tecniche e organizzative finalizzate ad evitare il ripetersi di accadimenti similari. In riferimento al profilo relativo al ripristino del corretto funzionamento del sistema di autorizzazione dell’applicazione Arena Unicredit, ha confermato di aver concluso l’intervento di cifratura dell’identificativo della pratica ed ha fornito prova dell’avvenuta eliminazione di tale identificativo dalla URL dell’applicativo Speedy Arena [], che allo stato viene comunicato come parametro POST” cfr. verbale anzi citato, pag. 3 . Tale misura è finalizzata a evitare che un utente esterno possa creare nuove pratiche di finanziamento o consultare esclusivamente le pratiche del suo portafoglio clienti e che un utente esterno può effettuare solo alcune tipologie di ricerca pratiche sulla base dell’identificativo clienti, codice fiscale, numero pratica . Sotto il profilo del ripristino del corretto tracciamento delle operazioni svolte attraverso l’applicazione Arena e della corretta conservazione dei log. Unicredit ha assicurato che dall’agosto 2017 Arena sta rilasciando i log, inclusi anche gli user-id esterni agenti a conferma di ciò ha fornito all’Autorità i log di tracciamento relativi alle operazioni effettuate sull’applicazione Arena durante le attività ispettive cfr. allegato 4 alla nota del 7 novembre 2018 . Implementazione di alert. Sotto il profilo dell’implementazione di alert per le operazioni svolte attraverso l’applicazione Arena Unicredit ha implementato specifici alert per individuare comportamenti anomali o a rischio nell’ambito delle operazioni che gli incaricati del trattamento pongono in essere attraverso l’applicazione Arena. UniCredit ha rappresentato che sono stati definiti differenti tipologie di alert in funzione della tipologia di utenti sono stati, ad esempio, creati alert distinti per gli utenti interni che operano nell’ambito delle funzioni di governance e per quelli che operano presso la rete delle filiali Unicredit. Sono stati creati alert specifici per gli utenti esterni. Nel corso del tempo, sono state effettuate una serie di attività di fine tuning volte a migliorare l’efficacia degli alert ed esiste un sistema di business intelligence, denominato Memento”, su cui confluiscono i log di tracciamento raccolti dal sistema Splunk ”. Il sistema Memento” è configurato per generare specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry eseguite dagli utenti interni e esterni cfr. verbale del 24 ottobre 2018, p. 2 . Il provvedimento in esame dimostra quanto sia ancora complesso il mondo delle applicazioni e programmi informatici in ambito bancario e come il provvedimento del Garante del 12 maggio 2011, n. 82 ad oggetto Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie presenti ancora, nel caso in esame, delle criticità poi superate dall’istituto bancario sotto il profilo dell’adozione delle misure di sicurezza in relazione alla mancata registrazione del codice cliente” interessato all’operazione di accesso ai dati bancari da parte dell’incaricato cfr. punti 1 lett. b del provvedimento e in relazione alla conservazione per un periodo inferiore a 24 mesi dalla data di registrazione dell’operazione cfr. punto 1 lett. c del provvedimento dei log di tracciamento delle operazioni effettuate, attraverso l’applicazione Arena, da alcune tipologie di incaricati al trattamento agenti in attività finanziaria o loro dipendenti/collaboratori . Il Garante si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per la contestazione delle sanzioni amministrative di cui all’art. 162, comma 2- bis e 2- ter del codice vigenti al momento dei fatti descritti ma ora abrogati dal d.lgs. 101/2018 . Il provvedimento è di interesse anche se non approfondisce il profilo delle possibili conseguenze sugli utenti degli accessi abusivi e dell’attività informativa svolta da Unicredit per sensibilizzare gli utenti dai pericoli del phising e dall’utilizzo fraudolento dei dati.
GarantePrivacy_data_breach