[doc. web n. 1624668]

Dati bancari: accesso non autorizzato e misure di sicurezza - 28 maggio 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTO il reclamo con cui la società "Rovema s.r.l.", anche in nome e per conto de "Il Poggiolo s.r.l.", ha rappresentato che, a seguito del venir meno della qualità di procuratore delle società di Martin Afkham, a far data dal 1° gennaio 2003, il successivo 3 gennaio veniva richiesto a Unicredit Banca S.p.a., di provvedere alla disattivazione delle credenziali di autenticazione relative allo stesso necessarie per accedere ai conti bancari on-line. Nonostante tale richiesta e numerosi successivi solleciti da parte della società, la banca non dava seguito alla medesima, comunicando alla società l´avvenuta revoca delle credenziali del procuratore decaduto solo il 6 marzo 2006;

VISTO il riscontro fornito dalla banca in data 8 novembre 2007 a seguito della richiesta di informazioni formulata da questo Ufficio, con il quale la stessa banca ha dichiarato di aver provveduto a effettuare "lo scollegamento completo dell´operatività on line in data 05/07/2004 per Rovema e 01/03/2006 per Il Poggiolo" e che il mancato aggiornamento dei dati è da ricondursi ad "un errore in cui è incorso il personale addetto presso la filiale presumibilmente a causa del fatto che il sig. Afkham, tramite il proprio codice di adesione, risultava facoltizzato ad accedere sia al proprio conto personale che ai conti aziendali";

CONSIDERATO che, in ordine a eventuali accessi effettuati in tale ampio arco temporale da parte del sig. Afkham sui conti delle società, la banca (riservatasi ulteriori approfondimenti per l´anno 2003) ha dichiarato non esservi "stato alcun accesso per il conto della Società Il Poggiolo e soltanto un accesso per il conto della società Rovema in data 05/07/2004 a cui ha fatto immediatamente seguito l´eliminazione definitiva del collegamento. Specifichiamo che, per entrambe le Società, non risulta posta in essere alcuna attività dispositiva dal Sig. Afkham" (cfr. citata nota di risposta);

VISTI gli esiti delle ulteriori verifiche svolte dalla banca, che ha dichiarato "di non aver trovato ulteriori accessi nei periodi visionati" (nota 4 dicembre 2007) e che "le ricerche effettuate per il periodo 2003 non hanno dato luogo ad operazioni effettuate sui conti delle società in oggetto da parte del Signor Afkham" (nota 9 gennaio 2008);

VISTI gli esiti degli accertamenti ispettivi svolti presso Unicredit Banca S.p.a. (in particolare, nei giorni 10 dicembre 2008 e 31 marzo-2 aprile 2009) all´esito dei quali è risultato confermato che la causa del mancato aggiornamento degli utenti autorizzati ad accedere on-line ai conti correnti bancari fosse addebitabile a "un errore del personale della agenzia che non ha ingaggiato una delle transazioni necessarie ad eliminare definitivamente il collegamento, che ha consentito, in un singolo caso, un accesso (consultazione) del sig. Afkham" (cfr. nota della banca del 19 dicembre 2008) e che dai file di log relativi alle operazioni via internet effettuati sul conto della società Rovema nel periodo considerato è stato accertato che il sig. Afkham ha compiuto un solo accesso;

ESAMINATE le risultanze istruttorie;

RILEVATO che alla luce della documentazione in atti e delle dichiarazioni rese dalle parti risulta confermata la tardiva adozione delle prescritte misure idonee di sicurezza volte a prevenire i rischi "di accesso non autorizzato" (art. 31 del Codice), circostanza che ha consentito ad Afkham, terzo rispetto a Rovema s.r.l., di prendere indebitamente visione di dati alla stessa riferiti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO IL GARANTE

1. ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a Unicredit Banca S.p.a. di adottare, entro e non oltre il 20 luglio 2009, le misure di sicurezza idonee a contenere il rischio di accesso non autorizzato ai sensi dell´art. 31 del Codice consistenti nell´assicurare la tempestiva disattivazione di credenziali di autenticazione attribuite alla clientela, vigilando sulla puntuale osservanza delle misure a tal fine adottate;

2. ai sensi dell´art. 157 del Codice, Unicredit Banca S.p.a. dovrà comunicare al Garante le misure adottate a questa Autorità, entro e non oltre il 20 luglio 2009.

Roma, 28 maggio 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Patroni Griffi