MILANO (Reuters) - Il Garante per la privacy ha sanzionato UniCredit (BIT:CRDI) per 2,8 milioni di euro per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti.
La banca ha annunciato che impugnerà la decisione dinanzi il Tribunale competente e sottolinea che l'incidente non aveva portato ad alcuna compromissione di dati bancari e che era stato immediatamente risolto.
"Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente", dice l'Authority in una nota.
Secondo le verifiche effettuate dal garante, è emerso che la violazione era avvenuta a causa di un attacco informatico massivo al portale di mobile banking. L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti colpiti, aveva comportato anche l’individuazione del Pin di accesso al portale.
Nel corso dell'istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l'Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare Pin deboli.
La sanzione tiene conto da un lato dell'elevato numero dei soggetti coinvolti dalla violazione dei dati personali e della sua gravità, dall'altro della tempestiva adozione di misure correttive, si legge.
"La sicurezza dei dati dei clienti è una assoluta priorità per UniCredit, che nell'ambito del piano industriale Unlocked 2022-2024 sta investendo 2,8 miliardi di euro in tecnologia e nuove competenze, con l'obiettivo di rendere sempre più efficaci i propri sistemi informatici, rafforzare ulteriormente la sicurezza e ampliare l'offerta di servizi digitali per la clientela", dice UniCredit.
(Claudia Cristoferi, editing Sabina Suzzi)