1. Il Provvedimento Del Garante In Breve

Il Garante per la Protezione dei Dati Personali (o il “Garante”) è intervenuto con il provvedimento n. 499 del 13 dicembre 2018 (o il “Provvedimento”) in merito alla violazione di dati personali (il “Data Breach”) conseguente ad un attacco informatico al sistema di online banking di Unicredit S.p.A. (o “Unicredit”). Il Data Breach ha interessato i REB code (codice identificativo personale per l’accesso al sistema di online banking) di 731.519 clienti della banca (o gli “Interessati”). A seguito del Data Breach il Garante ha ingiunto all’istituto bancario (i) di comunicare il Data Breach dei dati personali agli Interessati a cui non era ancora stata comunicata; (ii) di dare riscontro al Garante in merito a tale comunicazione nonché riguardo alle misure adottate per attenuare i possibili effetti negativi del Data Breach nei confronti degli Interessati.

2. Il contesto fattuale

Il 22 ottobre 2018 Unicredit ha notificato al Garante un Data Breach di dati personali ai sensi dell’art. 33 del Regolamento (UE) n. 2016/679 (o il “GDPR”). In particolare il Garante veniva informata che il giorno precedente alla notifica (21 ottobre 2018) i sistemi di controllo interno di Unicredit avevano rilevato dei tentativi, provenienti dall’esterno, di forzare il sistema di online banking dell’istituto bancario. L’attacco informatico avrebbe avuto quale scopo quello di accedere ai conti dei clienti attraverso l’accesso illegale alla loro area riservata online.

Per quanto attiene alle modalità dell’attacco − perpetrato tramite rete anonimizzata (“TOR”) −, esso si è caratterizzato per il tentativo di accesso al sistema di online banking mediante l’utilizzo massivo di codici sequenziali, al fine di individuare il REB code degli Interessati. Ciò ha portato all’identificazione da parte degli attaccanti, come anticipato, di 731.519 di questi codici, dei quali 6.859 sono stati bloccati in quanto, oltre al REB code, era stata anche individuata la password dell’Interessato. Aspetto estremamente rilevante riguarda una non meglio specificata “condizione applicativa” che avrebbe portato il sistema di accesso all’online banking di Unicredit a “restituire” informazioni personali degli Interessati assegnatari dello specifico REB code − in particolare: nome, cognome, codice fiscale, NDG (ossia il codice identificativo del cliente) − anche nel caso di fallita autenticazione (e, cioè, nel caso in cui la password utilizzata per tentare l’accesso con uno specifico codice REB non fosse risultata essere quella corretta).

Unicredit ha successivamente dichiarato, inoltre, che i propri sistemi di monitoraggio avevano anche evidenziato una fase preliminare all’attacco informatico, volta, verosimilmente, a perfezionare quest’ultimo.

Per quanto attiene, infine, le contromisure adottate a fronte dell’attacco informatico e del Data Breach subita Unicredit ha disposto: (i) il blocco delle connessioni provenienti da rete TOR e potenzialmente configurabili un attacco informatico; (ii) il blocco quantitativo delle connessioni che oltrepassino una soglia entro un intervallo temporale definito; (iii) l’utilizzo dei cd. test “captcha” volto all’identificazione umana dell’utente che esegue la richiesta di login per bloccare connessioni automatiche o script informatici; (iv) l’adozione di un meccanismo per forzare l’utilizzo di password complesse da parte degli Interessati.

3. mancata comunicazione agli Interessati: prescrizioni del Garante

Nonostante le circostanze che hanno caratterizzato l’aggressione informatica ai sistemi di Unicredit – e che approfondiremo tra breve −, l’istituto bancario non ha ritenuto di comunicare a tutti gli Interessati l’avvenuto Data Breach (come prescritto, a fronte di specifiche circostanze, dall’art. 34 GDPR, sul quale v. subito sotto), pubblicando, invece, un comunicato sul proprio sito. Comunicazione diretta dell’accesso illegale ai dati personali dei clienti è avvenuta, invece, nei confronti dei 6.859 Interessati dei quali era stato individuato − oltre al codice REB – anche il codice PIN utilizzato per l’accesso alla propria area riservata del servizio di online banking.

Il Garante, mediante il Provvedimento in commento, si oppone alla scelta di Unicredit di non dare corso alla comunicazione del Data Breach agli Interessati coinvolti. Appare opportuno soffermarsi sulle ragioni di tale decisione del Garante.

Innanzitutto il Garante, all’interno del proprio Provvedimento, ha richiamato le disposizioni rilevanti per la valutazione del caso di specie.

In primo luogo, l’art. 34 GDPR. Tale articolo obbliga il titolare del trattamento a comunicare senza ingiustificato ritardo all’interessato la violazione dei dati personali ogniqualvolta tal ultima possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche[1].

In secondo luogo, il Garante menziona i considerando 75 e 76 relativi ai rischi per i diritti e le libertà degli interessati insiti nel trattamento di dati personali. In particolare, il considerando 76 afferma che nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbe essere determinati in base a una valutazione oggettiva.

Infine, fondamentale il richiamo “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017 (le “Linee Guida”). Tali Linee Guida identificano chiaramente i fattori da considerare nella valutazione del rischio in caso di violazione dei dati personali e, in particolare, per l’individuazione di un rischio che possa qualificarsi quale “rischio elevato” per i diritti e le libertà degli interessati (un rischio che, pertanto, dovrebbe portare alla comunicazione di cui all’art. 34 GDPR, come detto sopra). Tali fattori sono: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione delle persone fisiche; gravità delle conseguenze per le persone fisiche; caratteristiche particolari dell’interessato; caratteristiche particolari del titolare del trattamento dei dati; numero di persone fisiche interessate; altri aspetti generali.

Richiamate le norme sopra evidenziate, il Garante procede alle proprie valutazioni di merito sulla base di queste ultime.

In particolare, il Garante, applicando i fattori di valutazione del rischio contenuti nelle Linee Guida, perviene ad una conclusione opposta rispetto ad Unicredit: il Data Breach di dati personali subita dall’istituto bancario a seguito dell’attacco informatico presentava un rischio elevato per i diritti e le libertà delle persone fisiche. Pertanto, ai sensi dell’art. 34 GDPR, essa andava comunicata a tutti i 731.589 Interessati colpiti, e non solo ai 6.859 rispetto ai quali era stata violata – oltre al codice REB – anche la password per l’accesso al servizio di online banking.

Come detto, il Garante perviene a tale considerazione attraverso l’utilizzo dei fattori di valutazione del rischio in caso di data breach indicati nelle Linee Guida, evidenziando, in particolare:

  • l’elevato numero di Interessati (731.589) a cui si riferiscono i dati personali oggetto del Data Breach (numero delle persone fisiche coinvolte nella violazione);
  • la particolare qualità ed esattezza dei dati personali oggetto del Data Breach – nome, cognome, codice fiscale, codici NDG e REB – e conseguente immediatezza nell’identificazione degli Interessati (facilità di identificazione delle persone fisiche);
  • che il Data Breach si è verificato a seguito di un massiccio attacco al sistema di online banking di Unicredit preceduto, peraltro, da una fase preliminare, volta probabilmente a perfezionare la tecnica di attacco (tipo di violazione);
  • il particolare contesto nell’ambito del quale Unicredit (titolare del trattamento) svolge le operazioni di trattamento, ossia quello dell’attività bancaria, considerando che il gruppo bancario è uno dei maggiori gruppi in Europa (caratteristiche particolari del titolare del trattamento);
  • la particolare gravità e permanenza delle possibili conseguenze della Violazione per gli Interessati, quali, ad esempio: furto o l’usurpazione di identità, perdita di controllo da parte degli Interessati sui dati personali che li riguardano, anche idonei a rivelare la loro situazione economica, nonché l’utilizzo dei dati personali degli Interessati a scopo di phishing (gravità delle conseguenze per le persone fisiche).

Il Garante ha escluso, inoltre, che ricorra una delle condizioni che rendono non necessaria la comunicazione agli interessati della violazione anche nel caso di rischio elevato per i loro diritti e libertà[2].

Alla luce delle considerazioni sopra esposte – ed in particolare del fatto che il Garante ha rilevato un rischio elevato per i diritti e le libertà delle persone fisiche conseguente al Data Breach – La comunicazione della Violazione agli Interessati era dovuta. Unicredit ha, quindi, erroneamente ritenuto di non esservi tenuta.

Data l’urgenza di comunicare la Violazione agli Interessati, il Garante, esercitando i poteri riconosciutigli dal GDPR ai sensi dell’art. 58, ha ingiunto ad Unicredit:

  • nell’esercizio dei propri poteri correttivi di cui all’art. 58, par. 2, lett e)
  • di comunicare senza ritardo e comunque non oltre 30 giorni la Violazione dei dati personali a tutti i propri clienti colpiti da quest’ultima che non rientrino tra i 6.859 rispetto ai quali tale comunicazione è già stata compiuta;
  • nell’esercizio dei propri poteri di indagine ai sensi dell’art. 58, par. 1, lett a) nonchè dell’art. 157 del D.Lgs. 196/2003 come integrato dal D.Lgs. 101/2018

di fornire entro 7 giorni riscontro al Garante che documenti adeguatamente le iniziative intraprese al fine di comunicare il Data Breach dei dati personali ai propri clienti colpiti nonché le eventuali ulteriori misure adottate per attenuare i possibili effetti negativi del Data Breach su questi ultimi.

4. Considerazioni conclusive

Il mancato rispetto dell’obbligo di comunicazione si configura come una violazione particolarmente grave della normativa in materia di dati personali e, in particolare, del GDPR.

Infatti, l’obbligo di comunicazione agli interessati della violazione dei dati personali ai sensi dell’art. 34 GDPR costituisce espressione del principio di trasparenza di cui agli artt. 5, par. 2, lett. a) e 12 GDPR. Quest’ultimo rappresenta un principio cardine all’interno del GDPR ed impone al titolare del trattamento di fornire all’interessato informazioni e comunicazioni relative al trattamento dei dati personali di quest’ultimo che siano facilmente accessibili e comprensibili, utilizzando un linguaggio semplice e chiaro. Ciò vale in particolar modo per la comunicazione di una violazione di dati personali agli interessati (come indicato, in particolare, dall’art. 34, par. 2 e dall’art. 12, par. 1 GDPR). Pertanto, il fatto che Unicredit non abbia comunicato il Data Breach a tutti i clienti colpiti – come invece avrebbe dovuto, dato il rischio elevato legato al Data Breach medesima – ha comportato una mancanza di trasparenza da parte dell’istituto bancario, che non ha reso accessibile agli Interessati una informazione fondamentale relativa al trattamento dei dati personali di questi ultimi e, cioè, l’avvenuto Data Breach.

Inoltre, a fronte della violazione del principio di trasparenza (per la mancata comunicazione da parte di Unicredit della violazione dei dati personali a tutti gli Interessati) si potrebbe ritenere violato un altro principio cardine del GDPR, ossia il principio di accountability (o “responsabilizzazione”, art. 24 GPDR). Secondo tale principio infatti, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento di dati personali effettuato dal titolare medesimo rispetti i principi sanciti all’interno del GPDR. È evidente, allora, che ove il titolare non sia stato in grado di garantire che il trattamento dei dati personali posto in essere dal medesimo abbia rispettato uno dei principi fondamentali dell’assetto normativo in materia di privacy – quale è il principio di trasparenza – ciò comporterà non solo una violazione di quest’ultimo principio ma anche di quello di accountability.

Sarà ora opportuno ora seguire gli sviluppi della vicenda in oggetto, anche a fronte dell’istruttoria aperta dal Garante sul caso.

[1] È utile precisare che all’interno del concetto di “rischio per i diritti e le libertà delle persone fisiche” sono ricomprese tutte quelle circostanze nelle quali la violazione di dati personali può portare ad un danno fisico, materiale o immateriale all’interessato come nel caso di discriminazione, furto o usurpazione di identità, perdite finanziarie, pregiudizio alla reputazione, etc..

[2] In particolare tali condizioni prevedono che la comunicazione agli interessati non sia richiesta quando (i) il titolare prima della violazione ha messo in atto misure tecniche ed organizzative adeguate a proteggere i dati personali; (ii) il titolare, subito dopo la violazione, ha adottato contromisure per scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati coinvolti nella violazione; (iii) la comunicazione richiede uno sforzo sproporzionato per il titolare del trattamento.