La banca risponde dell’accesso non autorizzato alla banca dati clienti da parte dei dipendenti di un partner commerciale esterno

La banca risponde dell’accesso non autorizzato alla banca dati clienti da parte dei dipendenti di un partner commerciale esterno

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione del 10 giugno 2020 – Registro dei provvedimenti n. 99 del 10 giugno 2020.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

Stefano Comellini, 2020, Maggioli Editore

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle...



Il fatto

Nell’estate del 2017 una banca italiana aveva comunicato al Garante di aver riscontrate due episodi di data breach del proprio data base clienti.

In particolare, la banca aveva evidenziato che tra l’aprile 2016 e il luglio 2017 si erano verificate due ipotesi in cui del personale non autorizzato aveva effettuato degli accessi ai dati di oltre settecentomila clienti della banca ed aveva preso visione di numerosi dati personali di questi ultimo, fra i quali: dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relativi a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban.

All’esito del controllo da parte della banca era emerso che i due accessi erano stati effettuati da personale dipendente di una società esterna partner della banca, utilizzando le utenze che erano state loro concesse per l’utilizzo dell’applicativo informatico della banca di gestione del database clienti. In altri termini, la banca aveva concesso alla società esterna, propria partner commerciale, l’utilizzo dell’applicazione informatica usata dalla banca per gestire la banca dati e alcuni dipendenti di tale società esterna avevano usato le proprie credenziali per prendere visione dei dati di oltre 700.000 clienti della banca rispetto ai quali non aveva autorizzazione all’accesso.

Dopo aver effettuato la propria istruttoria, il Garante per la protezione dei dati personali aveva ritenuto illecito il trattamento dei dati posto in essere dalla banca, configurata quale titolare del trattamento stesso, in quanto era stato effettuato in violazione delle misure di sicurezza minime previste dal codice privacy e dal relativo disciplinare tecnico.

In particolare, secondo il Garante la violazione era consistita nel fatto che la banca non aveva adottato un idoneo sistema di autorizzazione per l’accesso e l’utilizzo dell’applicativo informatico e per il fatto che tale non fossero previsti dei limiti di accesso che circoscrivessero ai vari profili autorizzati all’accesso la visibilità e consultabilità dei soli dati necessari per compiere le operazioni per cui erano autorizzati ad accedere ai dati stessi. In altri termini, l’applicativo informatico usato dalla banca avrebbe dovuto, da un lato, prevedere un sistema di autorizzazione all’accesso idoneo ad impedire l’accesso al sistema da parte di qualunque dipendente della società esterna e, dall’altro lato, prevedere un sistema che permetteva ai soggetti autorizzati all’accesso di consultare soltanto i dati che sarebbero loro serviti per svolgere l’attività per la quale avevano ricevuto l’autorizzazione ad accedere all’applicativo.

In secondo luogo, secondo il Garante, la violazione della banca era consistita altresì nel fatto che il sistema di conservazione del log di tracciamento degli accessi nell’applicativo informatico era inadeguato e non erano previsti dei sistemi di alert che segnalassero il compimento di operazioni attraverso detto applicativo.

 

Le difese della banca

A fronte di dette contestazioni, la banca ha svolto le proprie difese sostenendo che il sistema di autorizzazione per l’accesso all’applicativo informatico era conforme alle norme in materia di privacy vigenti all’epoca dei fatti e che nel caso di specie non si era verificato alcun accesso abusivo al sistema (cioè di soggetti non autorizzati all’accesso), ma si era verificato un accesso indebito da parte di personale autorizzato della società esterna che aveva sfruttato un bug del sistema per prendere visione di dati che non riguardavano pratiche in loro gestione.

In secondo luogo, la banca rilevava come la stessa avesse correttamente definito anche i criteri di profondità degli accessi, avendo definito preventivamente all’inizio del trattamento quali dati ogni soggetto autorizzato a accedere all’applicativo avrebbe potuto consultare e cioè i soli dati necessari per svolgere le operazioni e l’attività per cui aveva ottenuto l’accesso. Mentre nel caso di specie, l’accesso a dati ulteriori da parte del personale della società esterna era avvenuto perché detto personale aveva sfruttato una falla informatica nell’applicativo e aveva così eluso le restrizioni di visibilità dei dati.

Infine, per quanto riguarda i log di tracciamento, la banca rilevava come il fatto che gli stessi non contenessero alcuni dati relativi agli accessi non rendeva il sistema di log totalmente inadeguato; mentre, rispetto alla adozione degli alert, la banca evidenziava come sussistesse un sistema di firewall che al superamento di un certo traffico elevato, inviava degli alert, ma che nel caso di specie tali segnalazioni non erano state effettuate dal firewall perché il numero di accessi effettuati era in linea con il normale uso dell’applicativo ad parte della banca e assolutamente non anomalo.

In conclusione la banca chiedeva l’archiviazione del procedimento sanzionatorio in considerazione di tutte le proprie difese e soprattutto in considerazione del fatto che gli interessati non avessero subito alcun pregiudizio in conseguenza degli accessi ai propri dati.

Il parere del Garante

Il Garante ha preliminarmente evidenziato che, nonostante l’eventuale mancanza di pregiudizi a carico degli interessati, l’intervento del Garante è comunque necessario stante l’illeicità del trattamento dovuta alla inadeguatezza delle misure di sicurezza e stante la necessità di salvaguardare i diritti e le libertà degli interessati coinvolti nel data breach.

L’autorità di controllo ha ritenuto che le difese della banca non fossero idonee ad escludere la responsabilità di quest’ultima in considerazione del fatto che dall’istruttoria è emerso che l’Impostazione dei sistemi di autorizzazione per l’accesso all’applicativo informatico erano non in linea con la normativa in materia di protezione die dati personali, i quali risultavano deboli e progettati in maniera non corretta: tant’è che il sistema di segregazione dei dati non era stato in grado di impedire ai dipendenti della società partner di prendere visione dei dati rispetto ai quali non erano autorizzati ad accedere. Infatti, nonostante le misure di sicurezza adottate, del personale ignoto della società partner della banca aveva utilizzato le credenziali che erano state loro assegnate dalla banca e avevano preso visione di dati che non rientravano nelle pratiche che erano state assegnate alla società partner.

Secondo il Garante, quindi, tali debolezze dell’applicativo informatico utilizzato dalla banca sono responsabilità della banca stessa, in quanto titolare del trattamento, e pertanto la stessa deve rispondere per non avere garantito l’efficacia del sistema.

Nel caso in cui i profili di autorizzazione fossero stati correttamente impostati e configurati con le limitazioni di accesso, ciascun operatore della società partner esterna avrebbe potuto consultare solo i dati relativi alle pratiche di propria competenza, in quanto il sistema di autorizzazione avrebbe bloccato ogni accesso su pratiche gestite da altri soggetti. Soltanto in tal caso, i sistemi di sicurezza sarebbero stati adeguati: in mancanza di ciò, la banca è responsabile del fatto che detti soggetti abbiano avuto la possibilità di visionare anche pratiche non di propria competenza.

In conclusione, il Garante, tenuto conto della gravità del pericolo e del pregiudizio derivati dal data breach nonché dal comportamento tenuto dalla banca, ha sanzionato quest’ultima con il pagamento di un importo pari a Euro 600.000.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

Stefano Comellini, 2020, Maggioli Editore

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle...



 

 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!