Update | Data breach, il Garante Privacy sanziona un noto istituto di credito e il suo fornitore di servizi
Il Garante Privacy italiano ha sanzionato un noto istituto di credito e il suo fornitore di servizi (rispettivamente con provvedimento n. 65 e n. 66 dell’8 febbraio 2024) a seguito di un data breach, rilevando la mancata adozione di adeguate misure di sicurezza da parte del primo e il mancato rispetto della normativa nonché delle istruzioni contenute nell’accordo per il trattamento dei dati personali da parte del secondo.
Il fatto
Il procedimento ha avuto inizio a seguito della notifica del data breach, a pochi mesi dalla piena applicabilità del Regolamento UE 2016/679 (“GDPR” o “Regolamento”), subìto a causa di un sofisticato attacco hacker che ha coinvolto numerosi dati di clienti ed ex clienti dell’istituto di credito.
L’attacco ha interessato il sito di mobile banking sul quale sono stati rilevati un gran numero di tentativi di login, resi possibili dalla presenza di due vulnerabilità classificate di livello “high”.
In particolare, la prima vulnerabilità consentiva di acquisire alcuni dati personali di tipo comune (quali nome, cognome e codice fiscale) associati a user ID anche senza conoscere il PIN di accesso; la seconda vulnerabilità, invece, consentiva di effettuare un numero illimitato di tentativi di autenticazione al portale utilizzando user ID senza mai essere bloccato.
Subito dopo essere venuto a conoscenza della violazione, il Titolare ha provveduto ad effettuare la notifica all’Autorità, a pubblicare un comunicato sul proprio sito web e ad avvisare i clienti per i quali era stato necessario bloccare la password, in quanto individuata dagli attaccanti.
I principi violati e le sanzioni comminate
Il Garante ha rilevato da parte del Titolare del trattamento la violazione del principio di integrità e riservatezza (di cui all’art. 5, paragrafo 1, lettera f), GDPR) e degli obblighi di sicurezza del trattamento (di cui all’art. 32, paragrafi 1 e 2, GDPR). Questo perché, da un lato, il portale rendeva disponibili all’interno del codice HTML alcuni dati personali di clienti ed ex clienti anche nelle ipotesi di tentativi di autenticazione non riusciti, che potevano quindi essere consultati da chiunque; dall’altro perché non erano stati installati meccanismi in grado di contrastare attacchi di brute force.
Come noto, infatti, il principio sancito dall’art. 5 sopracitato prevede che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).
Il Titolare aveva argomentato indicando una serie di misure di sicurezza preventive adottate per evitare il verificarsi di data breach. Per garantire un’efficace protezione da attacchi condotti da bot automatici, ad esempio, il sistema bloccava l’utenza dopo quattro tentativi di accesso errati; inoltre, le credenziali di autenticazione venivano consegnate separatamente agli utenti in filiale e venivano bloccate qualora fossero state individuate in data leak online da parte dei servizi antifrode. L’istituto di credito, inoltre, consentiva la protezione delle transazioni e la modifica dei dati personali tramite un doppio meccanismo di autenticazione e metteva a disposizione degli utenti, che lo richiedessero, un servizio di notifica via SMS di attività come quella di rilevazione degli accessi online dal proprio account. In aggiunta, l’istituto ha reso noti all’Autorità gli ingenti investimenti in attività di vulnerability assessment e penetration test (“VA/PT”) (che per il triennio 2017-2019 sono stati quantificati in oltre 2 milioni di euro) e ha inoltre rappresentato che, all’epoca dei fatti, non aveva ancora adottato la two factor authentication, dal momento che tale modalità di autenticazione standardizzata è stata riconosciuta solamente a partire dal 14 settembre 2019 a seguito dell’entrata in vigore della Direttiva europea sui Servizi di Pagamento (PSD2), quindi dopo circa un anno dal verificarsi del breach.
Quanto rappresentato dalla banca non è stato tuttavia ritenuto sufficiente dall’Autorità per prevenire il data breach, che ha pertanto comminato una sanzione pecuniaria di € 2.800.000, valutando la natura, la gravità, la durata della violazione, la tipologia di dati coinvolti, la fattiva collaborazione da parte del Titolare nell’ambito del procedimento nonché l’esistenza di provvedimenti precedenti adottati nei confronti del medesimo istituto di credito.
Il Garante ha inoltre rilevato da parte del Responsabile del trattamento – cui nel caso di specie era stata affidata la conduzione di attività di vulnerability assessment e penetration test sul sistema di mobile banking – la violazione degli articoli 28, paragrafo 2, GDPR e 33, par. 2, GDPR.
Nello specifico, il Fornitore aveva affidato le attività in questione a una società terza, in assenza di preventiva autorizzazione scritta da parte del Titolare del trattamento. Il Fornitore, pur avendo designato la società terza sub-responsabile ha contravvenuto agli obblighi contrattuali che prevedevano da un lato il divieto espresso di affidare a terze parti l’esecuzione, parziale o totale, delle attività di vulnerability assessment e penetration testing; dall’altro l’obbligo, qualora fosse stato necessario il ricorso a una terza parte per l’esecuzione di talune attività, di informarne il Titolare al fine di ottenerne la specifica autorizzazione.
Inoltre, il Fornitore ha informato tardivamente il Titolare dell’avvenuta violazione di dati personali poiché aveva appreso delle vulnerabilità dalla società terza senza comunicarle tempestivamente al Titolare nel rispetto di quanto disposto dal Regolamento. Ciò ha conseguentemente determinato il ritardo nell’applicazione di misure correttive volte a rimuovere le vulnerabilità sfruttate dagli attaccanti.
Nell’ambito delle proprie difese, il Fornitore ha precisato di aver sempre rispettato i principi del GDPR: questo perché la maggior parte delle attività di VA/PT sono eseguite su credenziali e conti correnti di test, preservando così l’integrità e la confidenzialità dei clienti della banca, mentre solo per un breve lasso di tempo vengono eseguite su dati reali, provvedendo poi alla successiva cancellazione nel rispetto del principio di limitazione della conservazione.
Nei confronti del Responsabile, l’Autorità ha irrogato una sanzione di € 800.000 tenendo in considerazione la natura, la gravità, la durata della violazione, la tipologia di dati trattati e la fattiva collaborazione prestata.
In entrambi i casi, l’Autorità ha altresì disposto la sanzione accessoria della pubblicazione dei provvedimenti sul proprio sito web.