Tra i diversi data breach che hanno occupato le cronache del 2020, quello di UniCredit ha colpito non tanto per le modalità di attacco o per le dinamiche con cui si è verificato, ma per aver condotto a sanzioni privacy di un ammontare sì consistente (600 mila euro), ma ben al di sotto di quanto sarebbe stato in era GDPR.
Per una volta, infatti, conviene partire dalla fine: il 10 giugno 2020, il Garante per la Protezione dei Dati Personali ha emesso un’Ordinanza di ingiunzione nei confronti di UniCredit con tanto di sanzione amministrativa pecuniaria di 600.000 euro. È il momento finale di un complesso iter iniziato con il data breach subito dall’istituto bancario tra il 2016 e il 2017 e avente per oggetto i dati personali di 762 mila clienti, cui seguì un’attenta attività istruttoria conclusasi con il provvedimento di marzo 2019 che, di fatto, sanciva l’illiceità dell’operato di UniCredit.
I fatti: il Data Breach UniCredit
Il provvedimento del Garante Privacy datato 28 marzo 2019 è un ottimo punto di partenza per ricostruire fedelmente l’accaduto. Nel documento si parla in modo chiaro di un’intrusione informatica che ha determinato accessi non autorizzati ai dati personali di 762.000 clienti mediante l’impiego di credenziali di dipendenti di un partner commerciale e attraverso un’applicazione dedicata alla gestione delle richieste di cessione del quinto dello stipendio.
Gli accessi sarebbero avvenuti in due momenti e avrebbero portato alla sottrazione di: “dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di identità nonché informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e identificativo Iban”. Sotto questo profilo, UniCredit ha subito specificato che non sono stati oggetto di sottrazione informazioni ulteriori come i numeri di Carta di Credito, firme, contratti, copie di documenti o altro.
Sanzioni Privacy e l’illiceità del trattamento posto in essere da UniCredit
Le sanzioni privacy, comminate a più di un anno di distanza, seguono la conclusione degli accertamenti ispettivi e la dichiarazione di illiceità, da parte del Garante stesso, del trattamento posto in essere da UniCredit.
Gli accertamenti rilevarono infatti svariate vulnerabilità nel sistema in questione, vulnerabilità menzionate in modo dettagliato nel Provvedimento, cui rimandiamo per ogni approfondimento. Le autorità rilevarono importanti debolezze sia nella componente front-end che nel back-end, tra cui una sostanziale inidoneità del sistema di autorizzazione dell’app Speedy Arena (la cui violazione è alla base del data breach in questione), che non gestiva gli accessi sulla base di criteri di privilegio minimo permettendo quindi a tutti gli incaricati del trattamento “accedere a una qualsiasi pratica di finanziamento (sia di cessione del quinto dello stipendio che di prestito al consumo) semplicemente modificando il numero identificativo della pratica presente all’interno dell’indirizzo web. Ciò accadeva indipendentemente dal profilo di autorizzazione assegnato agli incaricati, che avrebbe invece dovuto limitare l’accesso ai soli dati relativi alle pratiche di loro competenza”.
Sempre nel Provvedimento di marzo 2019, il Garante rilevò una cattiva gestione dei log di tracciamento delle operazioni svolte sull’applicazione nonché l’assenza dei log degli ultimi 24 mesi, oltre alla mancanza di funzionalità di alert per comportamenti a rischio e la mancata esecuzione di opportune attività di audit interno di controllo. UniCredit, come risulta dal provvedimento, ha peraltro subito adottato le misure tecniche e organizzative necessarie per evitare il ripetersi di un evento analogo, ripristinando il corretto funzionamento del sistema di autorizzazione, il tracciamento, la conservazione dei log e gli alert per le operazioni svolte.
Ciò non ha ovviamente dispensato UniCredit da un danno d’immagine piuttosto importante e dalla sanzione amministrativa pecuniaria di 600 mila euro, il cui ammontare è stato determinato dalla mancata adozione di misure minime di sicurezza ma anche dalla dimensione del breach.
Come anticipato, resta il fatto che la sanzione, corposa in termini assoluti, è di molto inferiore a quanto sarebbe stata in era di GDPR. Per questo, ogni azienda dovrebbe considerare il caso UniCredit come una lezione appresa e approcciare la sicurezza in termini olistici e assolutamente prioritari, così da evitare che situazioni analoghe portino a conseguenze ben peggiori.
