I PIN di accesso ai conti erano “deboli” così, con un attacco informatico massivo, una banda di cybercriminali è riuscita a forzare il un portale di mobile banking per rubare i dati personali di migliaia di clienti. Per questo motivo il Garante ha irrogato all’UNICREDIT una multa di ben 2 milioni e 800mila euro. In particolare, gli hacker sono riusciti ad appropriarsi illecitamente del nome, cognome, codice fiscale e codice identificativo di circa 778mila clienti ed ex clienti e, per oltre 6.800 dei clienti, anche il PIN di accesso al portale. A farlo sapere è la stessa Autorità nella sua newsletter n. 519 del 7 marzo 2024 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9991101)
I dati erano resi disponibili nella risposta HTTP fornita dai sistemi della banca al browser di chiunque provasse ad accedere, anche senza riuscirvi, al portale di mobile banking.
Secondo il Garante ha accertato che la banca non aveva adottato misure tecniche e di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici e di impedire ai propri clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita). Nel definire l’importo della sanzione a 2 milioni e 800 mila euro, è stato considerato l’elevato numero dei soggetti coinvolti dalla violazione dei dati personali, la gravità della stessa e la capacità economica della banca. Sono invece state considerate attenuanti la tempestiva adozione di misure correttive, le iniziative di informazione e supporto poste in essere nei confronti della clientela e la circostanza che la violazione non ha riguardato i dati bancari.