Garante per la protezione
    dei dati personali

Newsletter

E-BANKING E PRIVACY DEI CLIENTI

Una banca denunciata alla magistratura per un "buco" nei sistemi di sicurezza

Si è conclusa con l’ordine di adottare rigorose misure di sicurezza e con la comunicazione degli atti alla magistratura la complessa serie di accertamenti avviata a gennaio 2003 dall’Autorità Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) sull’operato di una banca che offriva servizi on line. Gli accertamenti erano stati disposti a seguito del ricorso di un cliente che, nel consultare via Internet la propria posizione contabile, aveva accidentalmente avuto accesso ad informazioni riservate (numeri di conti correnti e carte di credito, operazioni bancarie, bonifici, emolumenti, assegni, titoli, polizze assicurative) di altri ignari correntisti. Il caso assume particolare rilievo e interesse pubblico alla luce dell’evoluzione delle attività bancarie e finanziarie svolte per via telematica e tale da incidere sul rapporto di correttezza e fiducia instaurato con i clienti.

Dagli accertamenti è emerso che la banca, pur essendovi tenuta anche sul piano penale, non aveva adottato le misure minime di sicurezza previste dalla normativa, in grado di ridurre il rischio di accesso non autorizzato ai dati personali da parte di terzi su reti telematiche (art.3, comma 1, lett. b) del d.P.R. 318/1999).

Il servizio di e-banking consentiva a ciascun cliente abilitato — previo inserimento di codici di autenticazione - di consultare via Internet i movimenti del proprio conto corrente, di visualizzare i dati che lo riguardavano e gli estratti conto, creando un prospetto delle ultime operazioni effettuate, da memorizzare o stampare.

La vicenda affrontata dal Garante riguarda un cliente che, ricollegandosi a distanza di poco tempo da una precedente consultazione al sito della sua banca e digitando un indirizzo "parziale" (cioè senza riferimento al file da visualizzare), aveva attivato una sessione che gli consentiva - senza che gli venisse chiesto di inserire nuovamente i codici di accesso - di leggere un’altra cartella con i file dei prospetti contabili degli altri clienti, non disponibile mediante le ordinarie modalità di consultazione.

A giustificazione del proprio operato la banca aveva dichiarato che l’accesso anomalo ai dati dei correntisti si sarebbe verificato solo per pochi giorni durante i quali erano in corso alcune attività tecniche connesse all’affidamento della gestione del sito web della banca ad una società esterna, ed era in funzione un cosiddetto server di back up. L’erronea configurazione dei programmi installati su questo server (il cosiddetto "browsing"), alla quale è stata attribuita la visualizzazione dei dati dei correntisti, sarebbe stata poi corretta tempestivamente.

Contestualmente alla denuncia alla magistratura, il Garante con uno specifico provvedimento ha ordinato di adottare adeguate misure di sicurezza per prevenire il ripetersi di tali illeciti. L’adempimento di tale prescrizione infatti consente alla banca di beneficiare dell’ammissione al pagamento di una ammenda (da 10.000 a 50.000 euro) con la conseguente estinzione del reato, così come previsto dal Codice in materia di protezione dei dati personali (art.169).

Le misure di sicurezza da adottare prevedono in particolare: a) l’utilizzo di una o più parole chiave per l’accesso ai dati da fornire al personale della banca incaricato all’uso dei dati personali; b) l’attribuzione a ciascun cliente abilitato ai servizi di Internet banking, di un codice identificativo personale per le consultazioni telematiche.