Skip to content

Garante Privacy metaverso

Caso Coviello, perché il Garante pizzica Intesa Sanpaolo

L'authority impone a Intesa Sanpaolo di informare i clienti della violazione dei dati entro 20 giorni. Tutti i rilievi del Garante della Privacy a Intesa e la nota-precisazione del gruppo bancario guidato da Messina

Il Garante della Privacy strattona Intesa Sanpaolo sulla gestione del caso Coviello ritenendo “diversamente da quanto valutato” dall’Istituto bancario, che “la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare. Come per esempio la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale”.

IL PROVVEDIMENTO DEL GARANTE DELLA PRIVACY CONTRO INTESA SANPAOLO

È questo il passaggio più importante del provvedimento col quale, nelle more della definizione di una più ampia istruttoria, tuttora in corso (finalizzata alla definizione di tutti gli aspetti connessi all’evento occorso), il Garante della Privacy presieduto da Pasquale Stanzione (nella foto) ha imposto a Intesa Sanpaolo di informare i clienti coinvolti entro 20 giorni nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente della banca stessa.

LA BANCA AVEVA SOTTOSTIMATO I RISCHI?

“Diversamente da quanto valutato dal Titolare – si legge infatti nel provvedimento del Garante della Privacy sul caso che ha interessato il gruppo guidato da Carlo Messina (nella foto) -, l’Autorità ritiene che la violazione dei dati personali in questione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, tenuto conto della natura della violazione dei dati personali – che alle condizioni previste dal Codice penale, art. 615-ter, può configurare un’ipotesi di reato – delle categorie dei dati personali oggetto di violazione, della gravità e persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione nonché del settore di attività del Titolare, che richiede un elevato grado di responsabilizzazione da parte dei propri incaricati, al fine di garantire la fiducia nei propri confronti da parte dei clienti, soddisfacendo, in particolare, le loro legittime aspettative di riservatezza e di sicurezza del trattamento”.

LA COMUNICAZIONE AGLI INTERESSATI NON È SOLO “BUONA PRATICA”

Inoltre, il Garante della Privacy sottolinea come la comunicazione agli interessati sia una buona pratica e un fattore di mitigazione in presenza di un attacco ransomware con esfiltrazione poiché “la violazione riguarda non solo la disponibilità dei dati, ma anche la riservatezza, in quanto l’autore dell’attacco può aver modificato e/o copiato i dati dal server. Pertanto, il tipo di violazione comporta un rischio elevato” e che “la natura, la sensibilità e il volume dei dati personali aumentano ulteriormente i rischi, poiché il numero di persone interessate è elevato, così come la quantità complessiva di dati personali compromessi” (cfr. parr. 42 e 43) e, laddove coinvolga dati di diversa natura, fra cui quelli finanziari, può causare un danno più elevato: “Le violazioni che coinvolgono dati sanitari, documenti di identità o dati finanziari come i dettagli della carta di credito possono causare danni di per sé, ma se utilizzate insieme potrebbero essere utilizzate per il furto di identità. Una combinazione di dati personali è in genere più sensibile di un singolo dato personale.” (cfr. par. 108).

“Alla luce di quanto sopra – scrive il Garante della Privacy – il Titolare del trattamento è tenuto a comunicare la violazione agli interessati, considerata la particolare delicatezza dei dati personali oggetto di violazione, obbedendo a un principio di precauzione che, pur nella incertezza sugli effettivi utilizzi ulteriori dei dati cui il dipendente ha avuto accesso (che non è dato sapere, al momento, se siano stati oggetto di acquisizione come dati informatici o come immagini o siano stati semplicemente consultati e, possibilmente, trascritti manualmente su supporti cartacei o elettronici), impone di adottare comunque le maggiori cautele possibili a fronte della potenzialità lesiva recata dalle ripetute azioni poste in essere dal dipendente e che sono tuttora al vaglio dell’Autorità giudiziaria competente”.

IL RISCHIO PER GLI INTERESSATI

“La decisione del Titolare – ammonisce l’Autorità per Intesa – di non effettuare la comunicazione agli interessati non consente loro di assumere gli idonei comportamenti cautelativi in considerazione della natura dei dati personali oggetto di violazione che li riguardano”. Anche perché “La comunicazione non appare, inoltre, comportare uno sforzo sproporzionato in ragione del numero di interessati a cui si dovrebbe rivolgere, numero che, per ammissione della stessa Banca, rappresenta “…un numero esiguo di interessati rispetto – per la Banca – al totale della clientela”.

I TERMINI IN CUI ADEMPIERE

Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, ha inoltre ingiunto a Banca Intesa Sanpaolo di trasmettergli, entro trenta giorni, un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto.

LA BANCA HA SMINUITO IL CASO?

Tale provvedimento, spiegano dall’Autorità a difesa della Privacy, si è reso necessario poiché “nelle prime comunicazioni inviate dalla Banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti”.

LA NOTA DI INTESA SANPAOLO

Intesa Sanpaolo ha replicato rimarcando, di contro, “il valore prioritario che attribuisce all’assicurare il massimo livello di sicurezza per i dati dei propri clienti”, a quanto si legge in una nota. “Con questo spirito – prosegue il gruppo creditizio – la Banca ha già introdotto ulteriori sistemi e processi di controllo e assicura la massima collaborazione alle Autorità competenti, nella convinzione che, anche grazie a questa collaborazione, il livello di sicurezza possa ulteriormente migliorare. La Banca conferma inoltre di aver già avviato le attività per rispondere alle richieste del Garante”

Intesa aggiunge poi un dato per ridurre la portata dell’evento: “Intesa Sanpaolo ha potuto svolgere nel frattempo ulteriori verifiche e analisi riguardo agli accessi ai dati di clienti effettuati da parte del dipendente, poi licenziato, da cui emerge che il numero di clienti interessati da accessi anomali è sensibilmente inferiore rispetto al numero sin qui diffuso dalla stampa”. Non fornisce però questo numero, osserva Repubblica. “Inoltre, era già stato verificato ed è tuttora confermato che non ci sono evidenze di trasferimento di dati all’esterno della Banca, ed in particolare di comunicazioni a terzi, né di anomalia al sistema IT, che non è stato impattato”, conclude l’istituto capeggiato da Messina.

Torna su