- Diritto della privacy:
GARANTE PRIVACY:
ACCESSO NON AUTORIZZATO A DATI BANCARI E MISURE DI SICUREZZA
L'importanza di una attenta applicazione delle misure di sicurezza ed in particolare di una politica di privilegi che gestisca le credenziali di accesso ai sistemi informatici in maniera rigorosa risulta evidente dalla lettura di un recente provvedimento del Garante, su segnalazione promossa da una cointestataria di un conto corrente le cui somme sono state pignorate da un creditore, nonostante fosse stato acceso da poco tempo, a seguito dell'estinzione di un precedente rapporto.
Il Garante ha precisato che "nell'ambito di controlli ispettivi disposti dall'Autorità nei confronti delle banche coinvolte, al fine di verificare (tra l'altro) gli accessi che hanno interessato il menzionato conto corrente, ... sono risultati effettuati accessi indebiti, compiuti da un terminale posto presso la filiale di Pomigliano D'Arco, agenzia presso la quale il conto corrente era già stato estinto. In particolare, tali accessi, relativi all'"esposizione movimenti da data e saldo", sono stati effettuati immotivatamente con le credenziali del direttore pro-tempore della filiale, che risulta "collocato a riposo a far data dal 31 dicembre 2007. Gli accertamenti hanno altresì permesso di appurare che tali accessi sono stati effettuati da un terminale "che consente l'interoperabilità tra filiali della stessa area geografica (nella fattispecie Napoli e provincia)"; tale interoperabilità "di norma è assegnata esclusivamente all'unità organizzativa di area territoriale" e non alle filiali come quella di Pomigliano d'Arco. Rispetto alla rilevata anomalia i rappresentanti della banca hanno dichiarato essere stati intrapresi "ulteriori accertamenti in ordine alle cause dell'errata configurazione del terminale"".
Nel caso di specie è pertanto risultato evidente che "è stato effettuato, in assenza di consenso dell'interessata o di altro legittimo presupposto, un trattamento illecito di dati riferiti alla segnalante (artt. 11, lett. a), 23 e 24 del Codice), nelle forme della consultazione effettuata, in tre distinte circostanze (in data 26 febbraio e 12 marzo 2007) mediante le credenziali di autenticazione dell'allora direttore di filiale, discostandosi dalle istruzioni impartite (artt. 4, comma 1, lett. h), 30, 167 e 169 del Codice). Tale trattamento illecito è peraltro stato possibile, nelle forme in cui è avvenuto, anche grazie all'utilizzo di una postazione erroneamente configurata (che consentiva la visualizzazione anche a livello di filiale di informazioni relative alla clientela prevista per i terminali utilizzati presso unità organizzative di "area territoriale"), tenuto conto del modello tecnico-organizzativo interno predisposto dalla banca: ciò in violazione degli artt. 3 e 31 ss. del Codice, norme che prescrivono misure (organizzative e di sicurezza) finalizzate alla riduzione di accessi non autorizzati o non conformi alle finalità del trattamento".
Pur rilevando che la banca ha adottato le misure di sicurezza "minime" a protezione dei dati dei clienti trattati con l'ausilio di strumenti elettronici conformi a quanto prescritto dagli artt. 33 e 34 del Codice e dalle regole 1-26 dell'Allegato B) al Codice, il Garante ha prescritto "alla banca di adottare idonee misure organizzative e, ai sensi dell'art. 31 del Codice, di sicurezza, tese sia a garantire la scrupolosa vigilanza sull'operato degli incaricati, sia a sensibilizzare gli incaricati al rispetto delle istruzioni ricevute anche nel corso delle iniziative formative (prescritte dalla regola 19.6 dell'Allegato B) al Codice)".
(Garante per la protezione dei dati personali, Provvedimento 23 luglio 2009: accesso non autorizzato a dati bancari e misure di sicurezza).
Nessun commento:
Posta un commento