Data Breach Unicredit: interviene il Garante

1. Il Provvedimento Del Garante In Breve Il Garante per la Protezione dei Dati Personali (o il “Garante”) è intervenuto con il provvedimento n. 499 del 13 dicembre 2018 (o il “Provvedimento”) in merito alla violazione di dati personali (il “Data Breach”) conseguente ad un attacco informatico al sistema di online banking di Unicredit S.p.A. (o “Unicredit”). Il Data Breach ha interessato i REB code (codice identificativo personale per l’accesso al sistema di online banking) di 731.519 clienti della banca (o gli “Interessati”). A seguito del Data Breach il Garante ha ingiunto all’istituto bancario (i) di comunicare il Data Breach dei dati personali agli Interessati a cui non era ancora stata comunicata; (ii) di dare riscontro al Garante in merito a tale comunicazione nonché riguardo alle misure adottate per attenuare i possibili effetti negativi del Data Breach nei confronti degli Interessati. 2. Il contesto fattuale Il 22 ottobre 2018 Unicredit ha notificato al Garante un Data Breach di dati personali ai sensi dell’art. 33 del Regolamento (UE) n. 2016/679 (o il “GDPR”). In particolare il Garante veniva informata che il giorno precedente alla notifica (21 ottobre 2018) i sistemi di controllo interno di Unicredit avevano rilevato dei tentativi, provenienti dall’esterno, di [...]