Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro

Scritto il 23 Marzo 2024

Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza

Le banche devono adottare tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente. Lo ha affermato il Garante per la privacy nel sanzionare UniCredit banca per una violazione di dati personali (data breach) avvenuta nel 2018, che ha coinvolto migliaia di clienti ed ex clienti.

Dalle verifiche effettuate dall’Autorità - a seguito della ricezione della notifica di data breach da parte della banca - è emerso che la violazione era avvenuta a causa di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking.

L’attacco aveva causato l’acquisizione illecita del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti “attaccati”, aveva comportato anche l’individuazione del PIN di accesso al portale. I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking. Nel corso della complessa attività istruttoria, il Garante ha rilevato diverse violazioni della normativa privacy. In particolare, l’Autorità ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione a 2milioni e 800 mila euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.

Leggi tutto

Sanità: sanzionato un centro di medicina estetica per violazione della privacy

Scritto il 23 Febbraio 2024

Sul profilo social della struttura il volto riconoscibile di un paziente

Riconosce il proprio volto in un video postato sul profilo social del centro di medicina estetica dove si era sottoposto ad alcuni trattamenti al naso. Si rivolge al Garante Privacy che sanziona il centro medico con una multa di 8mila euro per trattamento illecito di dati sanitari.

L’Autorità ha accertato che effettivamente il video, postato dal centro medico per scopi divulgativi, riprendeva il volto riconoscibile del paziente per più di 30 secondi, senza che l’interessato avesse rilasciato uno specifico consenso alle riprese e alla relativa diffusione. Inoltre, il filmato era rimasto online accessibile a chiunque per 45 giorni, prima di venire rimosso dal centro medico a seguito della richiesta di cancellazione del paziente.

Leggi tutto

Ricette mediche all’esterno dello studio: sanzionato un medico

Scritto il 23 Febbraio 2024

Lasciava le ricette per i suoi pazienti in un contenitore posto sul muro esterno dello studio medico, senza neppure proteggerle con buste chiuse. In questo modo, chiunque poteva liberamente aprire il contenitore e conoscere il contenuto delle prescrizioni. Per questo motivo è scattata la multa del Garante per la protezione dei dati personali che ha sanzionato un medico per 20.000 euro.

L’istruttoria dell’Autorità ha preso il via da un accertamento dei N.A.S. che hanno raccolto anche le testimonianze di alcuni assistiti del medico, alcuni dei quali individuati tra quelli che avevano ritirato le ricette dal contenitore.

Alla richiesta di informazioni del Garante, il medico si era giustificato affermando che la modalità di consegna delle ricette era stata attuata durante il periodo del Covid ed era stata poi mantenuta per alcuni mesi, con il consenso degli assistiti, allo scopo di agevolare il ritiro delle prescrizioni e limitare gli accessi dei pazienti allo studio medico.

Leggi tutto

Dating online: il Garante Privacy sanziona per 200mila euro un sito di incontri

Scritto il 23 Febbraio 2024

Il Garante privacy sanziona per 200 mila euro il gestore di un noto sito di dating online, per aver violato i dati personali di circa 1milione di iscritti. È la prima volta che l’Autorità adotta un provvedimento nei confronti di un sito di incontri.

La decisione, assunta a seguito di una complessa attività istruttoria che ha richiesto anche un accertamento ispettivo in loco, ha rilevato l’illiceità dei trattamenti dei dati degli utenti, tra cui quelli relativi alle preferenze e agli orientamenti sessuali.

La registrazione nella piattaforma, che conta circa 5 milioni di iscritti in tutto il mondo (di cui oltre un milione con e-mail validata e quasi 10 mila con abbonamento attivo a pagamento), prevedeva l’inserimento di numerosi dati (interesse di incontro, nazione, regione, città di residenza, data di nascita, e-mail) e di foto, che i clienti caricavano all’interno del profilo pubblico o nell’area riservata, senza che venisse fornita loro adeguata informativa sull’uso che di quei dati sarebbe stato fatto. Nell’informativa presente sulla piattaforma non veniva infatti riportata alcuna indicazione rispetto ai molteplici e ulteriori trattamenti effettuati dalla società che gestisce la piattaforma per la fruizione dei servizi offerti, né informazioni sulla possibilità per gli interessati di esercitare i diritti previsti dalla normativa privacy, compreso quello di proporre reclamo al Garante.

Leggi tutto