Diritti interna

Doveri interna

ricerca avanzata

Riservatezza dei dati bancari - 11 febbraio 2010 [1705119]

[doc. web n. 1705119]

Riservatezza dei dati bancari - 11 febbraio 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Daniele De Paoli, segretario generale reggente;

VISTE le "Linee guida in materia di trattamento di dati personali della clientela in ambito bancario" adottate dal Garante con deliberazione n. 53 del 25 ottobre 2007, pubblicate sulla G.U. 23 novembre 2007, n. 273, con specifico riferimento ai punti 2.1 e 3.2 relativi, rispettivamente, all´inosservanza di misure di sicurezza e alla comunicazione a terzi di dati personali della clientela che ne può discendere;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

VISTO il reclamo presentato da Roberto Di Russo nei confronti di Credem S.p.A.;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

1. Il sig. Roberto Di Russo ha presentato un reclamo nei confronti di Credem S.p.A. (di seguito "la banca"), lamentando l´avvenuta comunicazione a terzi di informazioni concernenti un conto corrente a lui intestato ed accessibile tramite il servizio di Internet Banking. Più precisamente, il reclamante ha fatto presente che, nel febbraio 2009, il proprio coniuge, Cristina De Pietri Tonelli, dovendo svolgere normali operazioni "on line" su un conto corrente cointestato con lo stesso Di Russo, aveva digitato il login e la password a suo tempo attribuitele dalla Credem S.p.A. per effettuare i servizi in rete. Nonostante il fatto che tali credenziali di autenticazione fossero pertinenti al solo conto cointestato, la loro digitazione aveva inspiegabilmente instaurato una connessione diretta con un altro conto corrente di cui soltanto Di Russo era titolare ed intestatario, con la conseguenza che la sig.ra Cristina De Pietri Tonelli aveva avuto la possibilità di conoscere le movimentazioni bancarie su di esso effettuate ed il relativo saldo. In ragione di ciò, Di Russo si è rivolto al Garante, chiedendo che, previa adozione di un provvedimento di blocco dei dati trattati, fosse prescritto alla Credem S.p.A. di adottare le misure necessarie per rendere il suddetto trattamento conforme a legge.

2. L´Autorità, in data 23 novembre 2009, ha inviato alla banca una specifica richiesta di informazioni, volta a conoscere:

- le caratteristiche degli strumenti elettronici utilizzati e le procedure di accesso ai dati personali dei clienti titolari di conti correnti on-line;

- le circostanze che hanno reso possibile, nel caso di specie, la lamentata associazione delle credenziali di autenticazione di uno specifico cliente ad un conto corrente on-line non intestato al medesimo;

- in generale, l´attuazione delle disposizioni del Codice e del relativo Allegato B) in materia di misure di sicurezza, anche minime.

La banca, nel fornire riscontro, ha dichiarato (anche ai sensi dell´art. 168 del Codice) che il servizio di internet banking deve "necessariamente e in ogni momento essere appoggiato ad almeno un conto corrente (indicato come "principale"); il titolare del contratto di [internet banking] deve essere sempre intestatario o cointestatario dei rapporti cui il servizio stesso è agganciato; in caso contrario, deve essere in possesso di regolare delega da parte di tutti i titolari dei rapporti interessati", mentre "l´attivazione o qualsiasi successiva variazione del servizio di [internet banking]" viene effettuata "[…] di norma tramite una procedura denominata Aladino, che, ad ogni modifica del rapporto procede automaticamente alla stampa del contratto, da far sottoscrivere al titolare del servizio IB ed a tutti gli intestatari/cointestatari dei rapporti collegati […]", oppure "tramite un´altra procedura, denominata CICS-VIRTUA, che presenta i medesimi steps e flags di controllo ma dispone di minori funzionalità di supporto operativo per l´addetto […]" (v. nota Credem S.p.A. cit., p. 3).

La banca ha anche precisato che "la fattispecie della "delega internet", a valere su rapporti di cui non si è intestatari/cointestatari, è considerata un evento "non ordinario", a fronte del quale [entrambe] le procedure operative ed informatiche in uso prevedono due ulteriori passaggi", consistenti: "in Aladino, [nella] valorizzazione automatica di un flag di forzatura e conseguente produzione della contrattualistica necessaria al conferimento della delega; in CICS-VIRTUA, [nella] espressa richiesta di valorizzazione di un flag di forzatura, che l´operatore deve confermare solo dopo aver controllato l´effettiva presenza della modulistica di delega debitamente sottoscritta; in entrambi i casi, [nella] produzione di un apposito tabulato giornaliero che evidenzia al responsabile di filiale gli agganci "forzati" effettuati nella giornata precedente" (v. nota cit., p. 3).

La banca, inoltre, ha dichiarato che le procedure predisposte prevedono, "a maggior tutela della clientela, che un rapporto di conto corrente possa essere definitivamente estinto solo dopo che tutti i servizi/rapporti ad esso collegati (bancomat, carte di credito, utenze, IB,…) siano stati "sganciati" e a loro volta estinti, oppure collegati ad altro e diverso c/c" (v. nota cit. p. 2).

Nel caso di specie, la banca ha appurato che, a seguito della richiesta dei coniugi Di Russo–De Pietri Tonelli di estinzione del conto corrente cointestato, il 26 febbraio 2009 un operatore di filiale è stato avvisato dall´ufficio a ciò preposto che non era possibile estinguere il predetto conto, "essendo ancora ad esso collegato ed attivo il servizio di IB intestato alla sig.ra De Pietri Tonelli"; inoltre, in "tale circostanza, l´operatore ha variato l´aggancio al c/c "principale" sostituendolo –tramite procedura CICS-VIRTUA – con il conto intestato al solo reclamante e, in fase di conferma dell´operazione, ha – per errore – inserito un flag di forzatura senza che venissero acquisite tutte le necessarie sottoscrizioni di autorizzazione [prescritte dalla suddetta procedura informatica] del sig. Di Russo e di accettazione della sig.ra De Pietri Tonelli" (v. nota cit. p.2).

A fronte dell´accaduto e a seguito della segnalazione telefonica effettuata dal reclamante, la banca "ha provveduto a regolarizzare la situazione, "sganciando" ed estinguendo il servizio IB della sig.ra De Pietri Tonelli già in data 2 marzo 2009", informando del fatto il cliente.
Tale circostanza ha fatto venir meno ogni esigenza cautelare e, di conseguenza, rende inutile l´esame della richiesta di blocco dei dati avanzata dal reclamante.

Infine, la banca ha rappresentato che:

- sono in corso di valutazione eventuali iniziative disciplinari a carico dei dipendenti intervenuti nel processo, e che i medesimi, già designati incaricati del trattamento dei dati oggetto di reclamo, hanno ricevuto le relative istruzioni alle quali attenersi;

- al fine di conformare il trattamento dei dati personali dei clienti che si avvalgono del servizio di internet banking alle indicazioni rese dal Garante alle banche con le Linee guida del 25 ottobre 2007 (segnatamente, alle regole fissate ai punti 2.1. e 3.2 del citato provvedimento), sta valutando, ad integrazione delle procedure già adottate per garantire il rispetto delle misure di sicurezza -in particolare quelle "minime"- prescritte dal Codice e dal relativo Allegato B), "l´opportunità di introdurre ulteriori "irrigidimenti" delle procedure […] per l´attivazione/variazione dei servizi IB", ipotizzando, a tal fine, la sostituzione dell´attuale tabulato cartaceo giornaliero con un sistema di "visto elettronico del responsabile di filiale", oppure la trasformazione dell´attuale "presa visione" in un´"autorizzazione preventiva alla quale verrebbe quindi subordinata, con un controllo di tipo bloccante, l´effettiva operatività dei contratti "forzati" (v. nota cit., p. 4).

3. Alla luce di quanto ammesso dalla stessa banca, risulta accertato che presso Credem S.p.A. è stato effettuato, in assenza del consenso dell´interessato o di un altro legittimo presupposto, un trattamento di dati bancari del reclamante non conforme a legge (artt. 11, lett. a) e 23 e 24 del Codice), consistito nella loro indebita comunicazione a terzi (nel caso di specie, al coniuge del Di Russo).

Ciò è avvenuto per effetto dell´inosservanza, da parte degli incaricati della banca, delle istruzioni impartite ai medesimi. Più esattamente, la possibilità per la sig.ra De Pietri Tonelli di consultare, tramite internet banking, il conto corrente intestato soltanto al coniuge, è stata esclusivamente determinata da un errore commesso da taluni dipendenti della banca, i quali, anziché disattivare il servizio agganciato al conto corrente cointestato ad entrambi i coniugi per consentirne l´estinzione, hanno erroneamente attivato la fattispecie denominata dalla banca di "delega internet", rendendo così possibile il trattamento illecito dei dati bancari del reclamante (artt. 4, comma 1, lett. h), 30 e 167 del Codice).

Benché sia stato accertato che la banca ha adottato le misure "minime" di sicurezza a protezione dei dati dei clienti trattati con l´ausilio di strumenti elettronici, in conformità a quanto prescritto dagli artt. 33 e 34 del Codice e dalle regole 1-26 del relativo Allegato B), tuttavia si ritiene di prescrivere alla banca di rafforzare le misure di sicurezza "idonee" di cui all´art. 31 del Codice, in modo da garantire la scrupolosa vigilanza sull´operato degli incaricati, sensibilizzarli al rispetto delle istruzioni ricevute in occasione di specifiche iniziative di formazione del personale (prescritte dalla regola 19.6 dell´Allegato B) e assicurare che le procedure della quale la stessa banca si è dotata siano integrate con accorgimenti atti a ridurre al minimo il rischio di errori operativi.

Impregiudicati gli eventuali profili di responsabilità civile (art. 15 del Codice) e le eventuali violazioni penalmente rilevanti in capo agli autori delle condotte oggetto del reclamo - rispetto alle quali si ritiene di dover disporre la trasmissione degli atti alla Procura competente per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili -, l´Autorità si riserva di verificare, con autonomo procedimento, i presupposti per l´eventuale contestazione della violazione amministrativa di cui all´art.162, comma 2-bis, del Codice.

TUTTO CIÒ PREMESSO, IL GARANTE

1. ritenuto illecito il trattamento di dati personali effettuato presso Credem s.p.a. dal proprio incaricato (punto 3), prescrive alla banca, ai sensi dell´art. 154, comma 1, lett. c), del Codice, di rafforzare le misure di sicurezza "idonee" (art. 31 del Codice), in modo da garantire la scrupolosa vigilanza sull´operato degli incaricati, sensibilizzarli al rispetto delle istruzioni ricevute in occasione di specifiche iniziative di formazione del personale (prescritte dalla regola 19.6 dell´Allegato B) e assicurare che le procedure della quale la stessa banca si è dotata siano integrate con accorgimenti atti a ridurre al minimo il rischio di errori operativi (punto 3);

2. richiede, ai sensi dell´art. 157 del Codice, a Credem S.p.A. di comunicare a questa Autorità, entro 60 giorni dalla ricezione del presente provvedimento, le misure adottate per dare attuazione alle prescrizioni indicate al punto 1 del presente dispositivo;

3. dispone la trasmissione degli atti e di copia del presente provvedimento all´autorità giudiziaria per le eventuali valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili (punto 3).

Roma, 11 febbraio 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE REGGENTE
De Paoli