Data breach: il Garante Privacy sanziona un primario istituto bancario e un suo fornitore IT
Nella newsletter istituzionale del 7 marzo, il Garante Privacy dà notizia di un’importante sanzione elevata a carico di un grande istituto bancario e di un suo fornitore di servizi IT, per violazione dei dati personali di ben 778mila tra clienti ed ex clienti, dei quali 6800 sono i clienti in relazione a cui i breach hanno riguardato anche il pin di accesso al portale web dell’istituto. Si è trattato di un data breach verificatosi a seguito di un attacco massimo perpetrato da cybercriminali. A motivare l’elevata sanzione del Garante (2,8 milioni di euro), oltre all’elevato numero dei soggetti colpiti dalla perdita dei dati, alla gravità del fatto e alla capacità economica della banca, è stata la circostanza che, dalle verifiche effettuate, l’istituto “non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli”. L’ammontare della sanzione è stato però mitigato dal ricorrere, nel caso di specie, di circostanze attenuanti consistite nella tempestiva adozione di misure correttive e di iniziative di informazione e supporto nei confronti della clientela, e nel non avere, la violazione, riguardato i dati bancari.
Il procedimento sanzionatorio ha altresì riguardato anche un fornitore di servizi IT della banca, il quale aveva tardato a comunicare all’istituto, superando il limite temporale previsto dal GDPR, l’avvenuta violazione dei dati personali (e soltanto dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno).
Il data breach e la sua corretta gestione saranno approfonditamente esaminati nell’apposito evento formativo di Paradigma “La gestione dei data breach tra data protection e cybersecurity” previsto il 19 aprile, in modalità on line.
Potrebbe interessare anche
Trasferimento dati UE-USA: l’EDPB conclude il primo riesame del framework regolatorio
12 Novembre 2024
Videosorveglianza “intelligente”, arriva la sanzione del Garante
30 Gennaio 2024