Il Garante irroga una sanzione milionaria per un data breach a UniCredit, ma non solo al noto istituto di credito; commina, infatti, un’altra multa (con un ulteriore provvedimento, comunque connesso) benché inferiore comunque importante, alla società informatica incaricata di effettuare i testi di sicurezza.
In pratica, titolare e responsabile del trattamento sono chiamati a rispondere e a pagare profumatamente. Vediamo i risvolti.
Data breach Unicredit, un provvedimento che pesa
Il provvedimento in questione non si colloca tanto tra le novità per l’importo irrogato (2,8milioni di euro), ma perché contestualmente irroga altra sanzione (800mila euro) alla società incaricata di effettuare i test di sicurezza, con provvedimento immediatamente successivo.
14 Marzo 2024 - 12:00
GenAI e Security Operation: perché diventerà una integrazione inevitabile? Il parere degli esperti
Quindi, titolare e responsabile del trattamento sanzionati in un caso di data breach. Il principio di diritto è comune: l’adozione cioè di “… tutte le necessarie misure tecnico-organizzative e di sicurezza per evitare che i dati dei propri clienti possano essere sottratti illecitamente”.
La vicenda e il data breach del 2018: la sequenza dei fatti
La vicenda trae origine da un episodio, avvenuto nel 2018, di data breach subito dalla banca Unicredit, che vedeva coinvolti migliaia di clienti ed ex clienti.
Tale violazione veniva doverosamente notificata al Garante. Si era trattato di un attacco informatico massivo, perpetrato da cybercriminali, al portale di mobile banking.
A causa di ciò, si legge in sintesi nella nota, “circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti attaccati, sono risultate vittime di un pesante data breach”.
Tale attacco aveva determinato “l’acquisizione illecita di nome, cognome, codice fiscale e codice identificativo” nonché “l’individuazione del PIN di accesso al portale”. Insomma, le chiavi del regno di qualunque utente.
Nella fattispecie concretamente erano “disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking”.
L’istruttoria e il suo esito, nei confronti della banca
Nel corso dell’attività istruttoria complessa e articolata, il Garante ha rilevato diverse violazioni in materia di privacy. In particolare, l’Autorità ha accertato che “la banca non avesse adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita)”.
Più nel dettaglio, apprendiamo che verso la fine di ottobre 2018, UniCredit notificava al Garante detta violazione, causata da un pesante attacco informatico al sistema di on-line banking per il canale web mobile.
La Banca, per contro, si difendeva affermando che “i primi tentativi di accesso indebito erano stati effettuati nel periodo compreso tra l’11 e il 20 ottobre 2018 e che l’attacco informatico si era realizzato massivamente il 21 ottobre 2018” nell’immediatezza della notifica.
Nel merito, come ancora si legge testualmente nel provvedimento, “la violazione ha interessato “731.519 REB code, dei quali […] 6.859 sono quelli bloccati dalla banca perché era stata individuata la password”, precisando poi verso la metà di novembre 2018, che “l’attacco, proveniente da rete anonimizzata (TOR), avente lo scopo di mascherare il reale indirizzo IP dell’attaccante, aveva l’obiettivo di enumerare una serie di clienti utilizzando una password fissa”.
A livello operativo, si difende la banca, dimostrando che era stato “implementato un blocco quantitativo delle connessioni” oltre “una soglia critica per intervallo temporale definito ed un meccanismo informatico (captcha) finalizzato all’identificazione umana dell’utente che esegue la richiesta di Login, con lo scopo di bloccare connessioni automatiche o script informatici”; rappresentano poi che era “in corso l’implementazione di un meccanismo per forzare l’utilizzo di password complesse da parte degli utenti”.
All’esito dell’istruttoria a carico della banca, il Garante ha rilevato che:
- “rispetto alla c.d. condizione applicativa che rendeva disponibili all’interno della risposta HTTP (HyperText Transfer Protocol), anche in caso di tentativi di autenticazione non riusciti, alcuni dati personali (nome, cognome, codice fiscale, NDG) di clienti ed ex‐clienti di UniCredit che pertanto erano suscettibili di essere liberamente consultati e acquisiti da chiunque” (cfr. par. 2, punto 1), costituisce violazione alla disciplina in materia di protezione dati personali. In altri termini, “la mancata adozione, da parte della banca, di misure tecniche in grado di limitare l’accesso ai dati personali al solo personale autorizzato o allo stesso interessato, ha determinato la possibilità che i dati personali fossero liberamente accessibili da parte di chiunque”. Vale a dire che chiunque tentasse, anche senza concretamente riuscirvi, riusciva comunque a superare la procedura di autenticazione informatica;
- circa la mancata adozione, nell’ambito della procedura di autenticazione informatica degli utenti del Portale di mobile banking, di un meccanismo in grado di contrastare efficacemente attacchi di tipo brute force condotti mediante l’utilizzo dei c.d. bot (programmi informatici che accedono ai siti web attraverso lo stesso canale utilizzato dagli utenti umani simulandone l’operatività), l’Autorità rileva testualmente che “il sistema di autenticazione informatica […] prevedeva l’utilizzo di credenziali di autenticazione costituite solamente da un User ID e da un PIN.
Da ciò si evince che Unicredit non avesse adottato alcuna misura tecnica che impedisse agli utenti di utilizzare PIN semplici, come ad esempio, quelli composti da “ripetizioni o sequenze di numeri oppure coincidenti con la data di nascita o con lo User ID”.
L’istruttoria e il suo esito, nei confronti della società informatica
Contestualmente o quasi, si è svolta anche l’istruttoria nei confronti della società informatica NTT Data, azienda leader nel settore informatico, la quale nel maggio del 2019, ha precisato come e quando sono avvenute “le attività di Penetration Test e di Vulnerability Assessment”.
NTT Data si è resa subito disponibile a presentare “copia dei report tecnici contenenti gli esiti delle citate attività di vulnerability assessment e penetration testing (sia nella versione bozza che in quella definitiva)” nei quali erano illustrate una decina di vulnerabilità rilevate da una società altra, di cui due sono risultate con gravità di livello elevato (high).
NTT Data dichiarava poi di essere “venuta a conoscenza della vulnerabilità “User Data disclosure” in data 19 ottobre 2018 con l’invio della bozza di report da parte della società terza, evidenziando come “tipicamente le potenziali vulnerabilità di un sistema sono rilevate nel corso delle attività di Penetration Test” e che soprattutto “tale rilevazione, tuttavia, richiede, ai fini di una valutazione del rischio della stessa e, quindi, di una tempestiva comunicazione al cliente, l’esecuzione di una ulteriore attività di analisi (eliminazione di falsi positivi) e classificazione (high, medium and low) e remediation suggerite”, senza sapere anche dell’avvenuto data breach.
Le linee difensive
In sintesi, riportiamo ora quelle che sono state le linee difensive.
La difesa di Unicredit
La banca convinta di aver adottato tutte le misure di sicurezza adeguate e in linea con gli standard di mercato al fine di contrastare in maniera efficace attacchi di tipo brute force nell’ambito della procedura di autenticazione informatica degli utenti del Portale.
Senza scendere ulteriormente nel dettaglio, specialmente tecnico cui si rinvia, qui preme rilevare come la banca abbia dichiarato che “nell’immediatezza dell’attacco e anche nei giorni successivi, UniCredit ha rappresentato di aver messo in atto misure di sicurezza e misure aggiuntive ampiamente idonee a ulteriormente mitigare il rischio per la protezione dei dati personali causato dal data breach” come:
- la messa a disposizione di un vademecum per la gestione sicura delle credenziali di accesso;
- la implementazione di un “blocco quantitativo delle connessioni oltre soglia critica e un CAPTCHA”, quale misura temporanea ulteriore in vista della implementazione della two factors authentication;
- l’adozione di un meccanismo volto a forzare l’utilizzo di password complesse in fase di sign-in, su tutta la rete clienti;
- comunicare, a seguito della richiesta del Garante, a tutti gli Interessati “la violazione dei dati personali, includendo adeguate indicazioni di sicurezza per la gestione delle credenziali, anche su altri siti”.
Per ulteriori dettagli si rinvia alla lettura integrale del provvedimento.
La difesa di NTT Data
La difesa della nota società informatica la si ricava dall’altro e successivo provvedimento nel quale, al riguardo, leggiamo che NTT Data:
- “non aveva, né avrebbe potuto avere, alcuna conoscenza del data breach (e dei precedenti tentativi di terzi di accedere ai sistemi) di UniCredit”;
- “non poteva, né avrebbe potuto, comunicare il data breach a UniCredit.
L’unica circostanza di cui essa aveva contezza consisteva “in una vulnerabilità ai sistemi di UniCredit […] tempestivamente comunicata”, ribadendo tuttavia che:
“a) nessun danno si è realizzato in conseguenza dell’attività posta in essere dalla società;
b) i fatti si sono verificati in un periodo particolarmente impegnativo che ha determinato la necessità di ricorrere a un soggetto terzo, peraltro in una fase di prima applicazione del GDPR;
c) la società si è mostrata collaborativa nei confronti dell’Autorità, fornendo ogni elemento utile ai fini della ricostruzione dell’incidente;
d) l’eventuale applicazione di una sanzione pecuniaria e soprattutto la pubblicazione del provvedimento sarebbe fortemente lesiva degli interessi della società e vanificherebbe ogni sforzo posto in essere finora, in termini di compliance, laddove tale aspetto è un elemento di concorrenza tra i soggetti operanti nel settore”.
L’obiettivo, dichiara la società in questione, risiede sempre nell’intento di “innalzare il livello di compliance […] tra le altre, il privacy dashboard”, che consente alla società di monitorare in costante gli aspetti privacy anche “al fine di individuare aree di miglioramento in conformità al principio di accountability” da un lato, e dall’altro di “predisporre dei report periodici sul livello di compliance privacy, da condividere con il top management”.
L’opinione del Garante privacy
L’Autorità ritiene invece che le considerazioni svolte dalla banca “…più che comprovare l’adeguatezza delle misure tecniche adottate dall’istituto, dimostrino una sottovalutazione dei rischi connessi alla fornitura di servizi di online banking” sfoggiando il documento della “Sicurezza cibernetica: il contributo della Banca d’Italia e dell’Ivass”, per evidenziare come “… gli attacchi al sistema finanziario sono condotti con metodi molto semplici, come il furto di credenziali di accesso ai conti mediante il phishing, o il denial of service [indisponibilità del sito web], che, sovraccaricando i server con milioni di richieste simultanee di dati, rende inutilizzabili i servizi bancari erogati via rete”.
Del resto, la difesa del sistema finanziario è assai complessa, come afferma il Garante, essendo un “settore altamente digitalizzato, interconnesso a livello globale, attaccabile attraverso possibili comportamenti imprudenti”.
Quanto poi alla mancata adozione di un meccanismo atto a contrastare in modo efficace attacchi di tipo cd brute force condotti mediante l’utilizzo dei c.d. bot (programmi informatici che accedono ai siti web attraverso lo stesso canale utilizzato dagli utenti umani simulandone l’operatività), ecco che l’Autorità rileva come “il sistema di autenticazione informatica all’epoca si prestava a essere oggetto di attacchi di tipo brute force, ossia attacchi informatici che hanno l’obiettivo di individuare credenziali di autenticazione informatica valide per l’accesso a un determinato sistema o servizio online”.
Per giungere alla conclusione, in questo caso, che “un’adeguata valutazione dei rischi presentati dai trattamenti effettuati nell’ambito del Portale di mobile banking avrebbe consentito a Unicredit di analizzare correttamente le caratteristiche del sistema di autenticazione informatica, di individuare le debolezze suscettibili di compromettere la sicurezza del trattamento e, conseguentemente, di adottare misure per gestire e mitigare i rischi connessi a tali debolezze, incluse quelle di difesa proattiva da attacchi informatici di reverse brute force”.
Le misure di sicurezza adottate dalla Banca e suggerite dalla società ICT
Nel 2019 la Banca ha fornito poi ulteriori elementi, spiegando come avveniva materialmente il processo, e in particolare:
- “login protetto da username e password consegnati separatamente al cliente in filiale;
- blocco account dopo l’inserimento di tre password errate;
- blocco di credenziali individuate in data leak online da parte dei […] servizi di intelligence/antifrode;
- possibilità per il cliente di aderire ad un servizio via sms (SMS premium) di notifica di attività quali gli accessi online, le variazioni di Pin e di dati personali effettuati da Banca via internet;
- protezione delle transazioni e delle attività sensibili (es. modifica dati personali) attraverso la richiesta di un ulteriore One Time Password (OTP);
- analisi comportamentale e monitoraggio delle transazioni per individuare frodi a scapito dei clienti;
- esecuzione di VA/PT periodici sull’infrastruttura e l’applicazione di internet/banking;
- web application firewall (WAF) a protezione di eventuali attacchi web (es. sql injection)”.
Ancora, all’interno del secondo provvedimento n. 66 dell’8 febbraio 2024 [doc. web n. 9991064] nei confronti di NTT Data, il Garante argomenta bene sulla “dinamica” del responsabile del trattamento.
Ancora, circa “l’integrità e la confidenzialità dei dati” il Garante, nel decider se comminare o meno una sanzione, tiene conto anche del fatto che nell’esecuzione dei VA e PT è venuto a conoscenza, “per un arco temporale estremamente limitato (1-12 ottobre 2018), di meri dati identificativi (nome, cognome e codice fiscale) e che gli stessi, in applicazione dei principi di minimizzazione, finalità e limitazione della conservazione sono stati tempestivamente cancellati dai sistemi”.
Poiché la società informatica non è mai stata, prima di ora, sanzionata in materia, scrive il Garante “è indubbiamente un chiaro indice del buon (se non, addirittura, ottimo) livello di compliance raggiunto dalla società […]” spesso auditata con la conseguenza che “un’eventuale sanzione per la violazione dell’art. 28, comma 2 GDPR (norma che disciplina il rapporto tra responsabile e titolare e, quindi, tra NTT Data e i propri clienti)” avrebbe come conseguenza un danno reputazionale (ovvero “la perdita della fiducia dei clienti e, quindi, la perdita di incarichi”) “di gravità, francamente, sproporzionata rispetto alla lievità della violazione contestata” un danno anche all’immagina incalcolabile.
Le sanzioni e i profili di imputabilità e responsabilità
Nel definire l’importo della sanzione alla banca di 2,8 milioni di euro, il Garante ha considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca.
A differenza della società informatica alla quale ha irrogato una multa di 800mila euro, tenendo conto i principi di effettività, proporzionalità e dissuasività (art. 83, par. 1, del Regolamento) ai quali il Garante deve necessariamente attenersi nella determinazione dell’ammontare di una sanzione, come noto.
A valle di ciò, è stata dichiarata l’illiceità del trattamento.
Da ultimo, c’è un passaggio decisamente significativo che l’esimio Collega nonchè membro del Collegio, argomenta laddove parla di una “responsabilità generale” in capo al titolare del trattamento specie nei riguardi di quelli direttamente posti in essere o che altri abbiano effettuato per suo conto, omettendo tuttavia nel caso di specie di “verificare, in relazione alla natura, al contesto, alle finalità e ai rischi dei trattamenti realizzati nell’ambito del Portale di home banking, l’effettiva conformità degli stessi ai principi di integrità e riservatezza di cui all’art. 5, par. 1, lett. f), del Regolamento e degli obblighi in materia di sicurezza del trattamento di cui all’art. 32, par. 1 e 2, del Regolamento” Passaggio cruciale.
Data breach UniCredit, sanzioni a distanza di anni
Ancora una considerazione. Ben dopo un quinquennio dall’occorso, il Garante sanziona per una violazione dei dati (art. 33). Poteva farlo? Certamente.
Gli eventi di data breach non si prescrivono, né si potrebbero prescrivere in quanto intimamente connessi con un diritto fondamentale (art. 8 Carta di Nizza) che in quanto tale non è soggetto a questo meccanismo.
Né si potrebbe argomentare in termini di corpus normativo sanzionatorio, pensando alla L. 689/81 in quanto, comunque, sussidiaria alla Carta di Nizza.
Data breach UniCredit, cosa impariamo
Concludiamo con un auspicio. Purtroppo, non è il primo data breach che il noto colosso bancario ha, noto alla cronaca. Ricordiamo quell’altro per il quale, il precedente Collegio aveva irrogato la sanzione per la violazione, quella volta, di dati che concernevano 762 mila clienti Unicredit nel 2016-2017.
Tra i motivi, c’erano stati diversi errori di sicurezza, tra cui la mancata gestione degli accessi secondo il criterio del privilegio minimo necessario.
Ma, a distanza di sette anni, si opina che le consapevolezze e quanto da queste deriva, siano nel frattempo aumentate, anche alla luce dell’avanzamento delle nuove ed emergenti tecnologie in atto.
eXtended Detection & Response: scopri le novità in tema Security
@RIPRODUZIONE RISERVATA