Il CERTFin lo scorso maggio ha pubblicato il rapporto 2019 Sicurezza e Frodi informatiche in Banca”. Il rapporto affronta come prevenire e contrastare attacchi informatici e frodi su Internet e Mobile banking e deve senza dubbio essere letto alla luce del Provvedimento del Garante n. 499 del 13 dicembre 2018.
Fra le osservazioni oggetto del rapporto è interessante quella relativa al trend contrapposto tra la clientela Retail e quella Corporate mentre la prima vede diminuire del 30% le perdite nette in seguito a frodi, per la seconda raddoppiano arrivando a quota 2 milioni di euro. Il caso. Nel rapporto si osserva dunque come l’utenza media abbia sviluppato una maggiore consapevolezza della minaccia informatica sì migliorando la propria resilienza, mentre le società palesano ancora una certa inefficienza all’interno delle proprie organizzazioni. L’importanza della notifica del data breach anche agli interessati. Tutto ciò deve interpretarsi anche alla luce di quanto espresso dal Garante lo scorso dicembre in materia di notifica del data breach agli interessati. Nell’ottobre del 2018 Unicredit aveva subìto un data breach per forzare il sistema di online banking di 731.519 utenti. In seguito l’istituto di credito aveva correttamente adempiuto nel notificare al Garante e ad una parte degli interessati 6.859 l’avvenuta violazione. Gli interessati erano stati selezionati sulla base del fatto che per quelle specifiche utenze era stata individuata anche la password e per questa ragione erano stati bloccati i profili. A tal proposito deve evidenziarsi che il Garante con il proprio provvedimento ha imposto la notifica anche alla restante parte degli utenti interessati dalla violazione dei dati al fine di tutelarne al meglio i diritti e le libertà fondamentali, considerando che è stato ritenuto insufficiente a tutelare gli utenti il comunicato pubblico, rilasciato da UniCredit S.p.a. in data 22 ottobre 2018, laddove afferma che per motivi di sicurezza le credenziali di circa 10.000 clienti sono state bloccate e che UniCredit si sta occupando di contattare i clienti interessati per procedere con il reset della password , lascia intendere che la violazione dei dati personali ha riguardato solamente tali clienti. Emerge, in conclusione, la specifica attenzione che le autorità di controllo come il Garante ed il CERTFin stanno dedicando al delicato tema del data breach e degli adempimenti privacy ad esso connessi in capo ai titolari del trattamento dei dati e quindi aziende e professionisti, evidentemente al fine di accrescere il livello di awareness e resilienza rispetto alle minacce informatiche.