Data breach di Unicredit S.p.A.: il Garante Privacy irroga una sanzione pari a 600 mila Euro

Con ordinanza ingiunzione del 10 giugno 2020, a conclusione di una complessa attività istruttoria avviata a seguito di un data breach subìto e notificato da UniCredit S.p.A. (la “Banca” o “UniCredit”), l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”) ha inflitto nei confronti della Banca una sanzione pari a 600 mila Euro in ragione degli accertati accessi abusivi ai dati personali superiore a 760 mila clienti.

Gli accessi abusivi rilevati in due momenti temporalmente distinti, tra l’aprile del 2016 e il luglio del 2017, sono stati posti in essere utilizzando le utenze di alcuni dipendenti della società Penta Finanziamenti Italia S.r.l. (mandataria di UniCredit per il prodotto di cessione del quinto dello stipendio) attraverso un applicativo denominato “Speedy Arena”.

La violazione riscontrata ha riguardato dati personali di tipo anagrafico e di contatto, dati relativi alla professione lavorativa e al livello di studio, estremi identificativi di documenti di riconoscimento, nonché informazioni dell’interessato relative al proprio datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban.

ATTIVITA’ ISPETTIVA DEL GARANTE

A seguito della notifica del data breach da parte della Banca, il Garante Privacy ha avviato un’istruttoria, terminata con il provvedimento n. 87 del 28 marzo 2019. Tale provvedimento aveva dichiarato illecito il trattamento dei dati personali posto in essere da UniCredit in qualità di titolare del trattamento, in quanto effettuato in violazione delle misure minime di sicurezza previste dagli artt. 33 e ss. del D.lgs. 196/2003 (“Codice Privacy”) e dal disciplinare tecnico di cui all’Allegato B) al Codice Privacy stesso, nonché delle misure prescritte con il provvedimento n. 192 del 12 maggio 2011, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”.

In estrema sintesi, la violazione delle misure minime di sicurezza previste dall’art. 33 del previgente Codice Privacy è stata accertata con riferimento all’inosservanza delle regole di cui a paragrafi nn. 12 e 13 del disciplinare tecnico di cui all’Allegato B) al Codice Privacy, le quali prescrivevano (i) l’adozione di un sistema di autorizzazione in presenza di incaricati con diversi profili di autorizzazione e (ii) la previsione di limiti di accesso, per i singoli incaricati, ai soli dati necessari per effettuare le operazioni di trattamento.

La violazione delle misure prescritte con il provvedimento n. 192 del 12 maggio 2011, è stata invece accertata in relazione all’inadeguatezza e alla non corretta conservazione dei log di tracciamento delle operazioni svolte sull’applicativo ”Speedy Arena”, alla mancata implementazione di alert per le operazioni svolte attraverso il citato applicativo nonché alla mancata esecuzione di attività di audit interni di controllo.

SANZIONE E CRITERI DI VALUTAZIONE

Nel provvedimento n. 87 del 28 marzo 2019, il Garante Privacy si era riservato di verificare, tramite autonomo procedimento, la sussistenza dei presupposti per la contestazione, nel caso di specie, delle sanzioni amministrative di cui all’art. 162, comma 2-bis e 2-ter del Codice Privacy.

Giova segnalare che la fattispecie in esame è stata sanzionata in base alla disciplina applicabile alla data della commissione dei fatti illeciti e non in virtù di quanto previsto dal Regolamento UE 2016/679 (comunemente noto come “GDPR”).

In particolare, con atto n. 15976/119444 del 14 maggio 2019, l’Autorità ha contestato a UniCredit le violazioni amministrative previste dalle seguenti disposizioni del previgente Codice Privacy:

  • 162, comma 2-bis ai sensi del quale, in caso di violazione delle misure minime di sicurezza di cui all’art. 33 del Codice Privacy, era prevista una sanzione amministrativa da 10 mila e 120 mila Euro;
  • 162, comma 2-ter, ai sensi del quale era prevista una sanzione amministrativa da 30 mila a 180 mila Euro, nel caso in cui il titolare del trattamento non promuovesse l’adozione di regole deontologiche e non denunciasse un fatto configurabile come reato perseguibile d’ufficio del quale fosse venuto a conoscenza nell’esercizio o a causa delle funzioni; nonché
  • 164-bis, comma 2, del Codice Privacy per il quale, in caso di violazione riguardanti banche dati di particolare rilevanza o dimensioni era prevista una sanzione amministrativa da 150 mila a 300 mila Euro.

Considerando che, ai sensi della legge sulla depenalizzazione n. 689/1981 e, in particolare, dell’art. 11 della stessa, “nella determinazione della sanzione amministrativa pecuniaria fissata dalla legge tra un limite minimo ed un limite massimo e nell’applicazione delle sanzioni accessorie facoltative, si ha riguardo alla gravità della violazione, all’opera svolta dall’agente per la eliminazione o attenuazione delle conseguenze della violazione, nonché alla personalità dello stesso e alle sue condizioni economiche”, nel caso in esame, l’Autorità ha effettuato le seguenti valutazioni:

  • in ordine all’aspetto della gravità, gli elementi relativi all’intensità dell’elemento psicologico e all’entità del pericolo e del pregiudizio sono stati valutati tenendo conto che le violazioni dei dati personali sono state commesse in relazione ad un rilevante numero di interessati;
  • ai fini della valutazione dell’opera svolta dall’agente, la Banca, successivamente al data breach, ha adottato diverse misure e ha avviato iniziative volte a rafforzare la sicurezza dei propri sistemi informatici;
  • circa la personalità dell’autore della violazione, è stata considerata la circostanza per la quale non vi erano precedenti procedimenti sanzionatori nei confronti di UniCredit;
  • in merito alle condizioni economiche dell’agente (dunque della Banca), è stato preso in considerazione il bilancio di esercizio per l’anno 2018.

Pertanto, in ragione di quanto rilevato e accertato, l’Autorità ha ritenuto necessario salvaguardare i diritti e le libertà degli interessati coinvolti attraverso l’irrogazione della sanzione pari a 600 mila Euro, determinata in base alla somma delle singole sanzioni amministrative di cui sopra, quantificate rispettivamente in:

  • 120 mila Euro, per la violazione dell’art. 162, comma 2-bis del Codice Privacy;
  • 180 mila Euro, per la violazione dell’art. 162, comma 2-ter del Codice Privacy;
  • 300 mila Euro, per la violazione dell’art. 164 bis, comma 2 del Codice Privacy.

Alla luce di quanto sopra, si evince che nonostante l’approccio attivo tenuto dalla Banca nel comunicare all’Autorità la violazione subita, l’Autorità ha dato maggior peso alla mancata adozione di misure volte a salvaguardare i diritti e le libertà dei soggetti interessati.

Considerato, inoltre, che la sanzione amministrativa di cui sopra è stata comminata applicando i massimi edittali previsti dal previgente Codice Privacy, non si può non domandarsi quanto elevata sarebbe risultata la stessa sanzione se si fosse dovuto considerare l’attuale regime sanzionatorio derivante dal combinato disposto del GDPR, del decreto di armonizzazione delle leggi nazionali al Regolamento Ue e delle norme del Codice Privacy sopravvissute.