Estratti conto inviati a destinatari errati, maximulta a una banca dal garante per la protezione dei dati personali
0
Un malfunzionamento di un software ha causato il ‘data breach’ che è costato caro a un istituto di credito con filiali anche a Lucca, Pisa e Livorno
È costato molto caro un errore di un istituto di credito, con filiali a Lucca, Pisa e Livorno, luoghi dove si è verificata la maggior parte dei casi riguardanti gli invii di estratti conto bancari di oltre 300 clienti a destinatari errati.
Il garante per la protezione dei dati personali, dopo due anni di attività istruttorie, infatti, ha irrogato due maxi-sanzioni amministrative pecuniarie nei confronti della banca per un totale di 1 milione e 965mila euro.
Il data breach, come viene definitivo in gergo tecnico, e cioè la diffusione intenzionale o non intenzionale, in un ambiente non affidabile, di informazioni protette o private e confidenziali, sarebbe avvenuto il 7 novembre del 2019. La direzione regionale Toscana ha avvisato il giorno stesso dell’errata emissione, avvenuta via pec, con conseguente invio di circa 310 estratti conto bancari a persone diverse da quelle intestatarie del proprio conto corrente. I clienti destinatari di estratti conto non di pertinenza sono stati prontamente contattati già nelle giornate del 7, 8 e 9 novembre del 2019, tramite pec o anche personalmente ad opera delle direzioni regionali interessate “al fine di scusarsi per quanto occorso, rendersi disponibili per maggiori informazioni e domande ed invitare i clienti a non prendere visione e a cancellare quanto indebitamente ricevuto”.
Sono state anche costituite task force straordinarie per coordinare la relazione con la clientela, per esaminare, riga per riga, gli estratti conto coinvolti nell’invio errato e per rilevare la destinazione degli estratti conto circolati erroneamente ed avere il quadro della tipologia di dati personali coinvolti e la destinazione degli estratti conto. In particolare, sono state inviate due tipologie di comunicazione agli interessati: una destinata ai clienti che non hanno ricevuto estratti conto di altri clienti ma il cui estratto conto è stato oggetto di disguido con invio ad altri clienti, una destinata ai clienti che hanno ricevuto estratti conto di altri clienti e il cui estratto conto è stato inviato a terzi e a tutti i clienti coinvolti sono state azzerate le spese di tenuta conto per l’ultimo trimestre 2019 e per il primo trimestre 2020.
La società ha dichiarato che le violazioni in questione sono state causate da un “malfunzionamento del software per l’invio di mail attraverso posta elettronica certificata e a seguito del data breach, proprio al fine di prevenire simili violazioni dei dati personali in futuro, e sono state adottate misure di sicurezza ulteriori che hanno risolto definitivamente il problema”. Ma all’esito dell’istruttoria “è emerso con chiarezza che, nel caso in esame si è verificato un utilizzo improprio di un’utenza tecnica”, secondo il garante, e “pertanto, visti i poteri correttivi attribuiti, dispone nei confronti dell’istituto e della società che gestisce le comunicazioni ai clienti, in aggiunta alla misura correttiva, una sanzione amministrativa pecuniaria, commisurata alle circostanze del caso concreto”.
Un errore milionario ma che servirà in futuro a non far succedere più cose del genere, almeno in questo istituto di credito.