Diritti interna

Doveri interna

ricerca avanzata

Provvedimento del 12 marzo 2020 [9347863]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9347863
Data:
12/03/20
Argomenti:
Assicurazioni , Misure di sicurezza , Password , Cybersecurity , Data breach
Tipologia:
Prescrizioni del Garante

[doc. web n. 9347863]

Provvedimento del 12 marzo 2020

Registro dei provvedimenti
n. 48 del 12 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTA la notifica di violazione dei dati personali trasmessa, ai sensi dell’art. 33 del Regolamento, il 17 gennaio 2020 da UnipolSai Assicurazioni S.p.a. (di seguito “UnipolSai”);

RILEVATO che nella citata notifica UnipolSai ha dichiarato che:

• si avvale di una società del proprio gruppo, Alfaevolution Technology S.p.a. (di seguito Alfa), in qualità di responsabile del trattamento che a sua volta ricorre a Octo Telematics Italia s.rl. (di seguito “Octo”), in qualità di sub-responsabile, per le attività di gestione delle scatole nere degli assicurati;

• il 15 gennaio 2020, accedendo al sito Internet GitHub (sul quale alcuni sviluppatori caricano il codice sorgente di programmi che vogliono rendere accessibili a tutti gli utenti di Internet), ha riscontrato che in data 26 novembre 2018 era stato caricato un archivio informatico (c.d. repository) pubblicamente accessibile;

• in tale repository (in particolare in un file denominato “Unipol.java”) erano presenti credenziali (user id/password) di accesso al portale telematico gestito da Octo, contenente dati personali riferiti a clienti del Gruppo Unipol;

• risultano verificati accessi al predetto portale, effettuati mediante tali credenziali da soggetti non autorizzati in data 12 dicembre 2019 e, successivamente, il 9, 13, 14, 15 e 16 gennaio 2020;

• tali accessi non hanno riguardato interessati di altri Paesi sia all’interno che all’esterno dello Spazio Economico Europeo (di seguito “SEE”);

VISTA la notifica di violazione dei dati personali trasmessa, ai sensi dell’art. 33 del Regolamento, il 21 gennaio 2020 da Groupama Assicurazioni S.p.a. (di seguito “Groupama”), società facente parte di un gruppo francese con società capogruppo Groupama Assurances Mutuelles;

RILEVATO che nella citata notifica Groupama ha dichiarato che:

• è stata informata dalla propria capogruppo che in data 26 novembre 2018 era stato creato un repository sul sito GitHub, pubblicamente accessibile, comprensivo di una cartella denominata "Groupama" (raggiungibile all’indirizzo https://GitHub.come/Hypn3rotomachia/Groupama);

• all’esito delle prime analisi, riteneva che tale archivio contenesse esclusivamente dati personali di titolarità di un'altra compagnia assicurativa, anch’essa utilizzatrice del portale telematico gestito da Octo, la quale fornisce i propri servizi, in qualità di responsabile del trattamento alla stessa Groupama; solo a seguito di ulteriori verifiche, avvenute il 16 gennaio 2020, ha riscontrato il coinvolgimento di dati personali anche dei propri clienti;

• i dati personali coinvolti nell’accaduto non riguardano interessati di altri Paesi sia all’interno che all’esterno dello SEE;

VISTA la successiva integrazione alla notifica di violazione di dati personali, trasmessa da UnipolSai il 7 febbraio 2020, in cui è stato precisato che:

• Alfa si è prontamente attivata nei confronti di Octo per chiedere ed ottenere la rimozione del repository pubblicato sul sito Git-Hub e la disattivazione delle credenziali ivi contenute. In data 16 gennaio 2020, Octo ha dato conferma di avervi provveduto;

• “essendo tutte le credenziali pubblicate bloccate e sostituite - e la repository comunque cancellata - non vi è più alcun pericolo di accessi non autorizzati in conseguenza dell’accaduto”;

•  la violazione non è stata comunicata agli interessati poiché la medesima Società non ha ritenuto che gli accessi anomali alla piattaforma di Octo “pongano rischi elevati per i diritti e le libertà delle persone fisiche”, considerato che i dati degli assicurati del Gruppo Unipol sono stati scaricati e visualizzati da Groupama “esclusivamente nell’ambito di test di cybersecurity” e “cancellati” da quest’ultima “dopo averne fatto copia all’interno di dispositivi criptati, poi consegnati al Centro Nazionale Anticrimine Informatico della Polizia di Stato” (di seguito “CNAIPIC”);

• gli effetti della violazione “si sono rivelati di minimo impatto per gli interessati” e “la gravità complessiva dell’incidente è bassa”;

RILEVATO che, insieme all’integrazione della notifica della violazione, UnipolSai ha inviato all’Ufficio, tra l’altro, la relazione tecnica dell’incidente di sicurezza ricevuta da Octo (cfr. all. 1 all’integrazione del 7 febbraio 2020 inviata da UnipolSai) e una nota di Groupama inviata ad Alfa concernente le verifiche svolte in merito al contenuto del repository (cfr. all. 4 “Accesso a dati UnipolSai da repository online creato da NTT Data Italia S.p.a. per conto di Octo”);

RILEVATO che nella predetta relazione tecnica, Octo ha dichiarato che:

• il repository in questione era stato inserito sul sito Internet GitHub da una terza società, subfornitrice di Octo, NTT Data Italia S.p.a. (di seguito NTT) senza che Octo ne fosse a conoscenza;

• nel citato file Unipol.java, pubblicato su GitHub, erano presenti 21 credenziali (user id/password) di accesso al portale telematico gestito da Octo (di cui sei consentivano l’accesso all’ambiente di produzione - utilizzato per l’erogazione dei servizi e quindi contenente dati reali riguardanti i servizi erogati e le anagrafiche degli Assicurati - e quindici consentivano l’accesso esclusivamente all’ambiente di test);

• in particolare, 3 delle credenziali di accesso all’ambiente di produzione corrispondevano a un profilo “cliente” (che consente di accedere solo ai dati relativi alla propria scheda anagrafica), di cui solo una riguardava dati di clienti gestiti da Alfa, mentre le altre 3, sempre riconducibili ad Alfa, corrispondevano a un profilo “gestore” (che consente di accedere a tutte le schede anagrafiche della compagnia assicurativa); di queste ultime 3 credenziali con profilo “gestore”, una era peraltro utilizzata soltanto per accessi “machine to machine”;

• i primi accessi anomali, effettuati mediante le credenziali per l’ambiente di produzione, sono avvenuti, a partire dal mese di dicembre 2019, da un indirizzo IP riconducibile a un soggetto ubicato su territorio francese e intestato a Groupama;

•  in data 12 gennaio 2020 è stato registrato un accesso (tramite un indirizzo IP che appare ragionevolmente attribuibile a un dipendente di Groupama con inquadramento nella funzione di cybersecurity) di circa 4 ore al portale di Octo, con 22 sessioni di download durante le quali sono stati scaricati circa 65.000 “voucher” (schede anagrafiche) di clienti Unipol;

• il 13 gennaio 2020 è stato registrato un secondo accesso da un indirizzo IP intestato a Groupama, con una sessione di download nel corso della quale sono stati scaricati circa 100 “voucher” di clienti Unipol;

• il 14 gennaio 2020, è stato registrato un ulteriore accesso da un indirizzo IP intestato a Groupama con una sessione di download nel corso della quale sono tasti scaricati circa 1.200 “voucher” di clienti Unipol;

• il 14 gennaio ha ricevuto una segnalazione da parte di Groupama riguardo alla presenza su GitHub del citato repository;

• il 15 gennaio 2020 ha provveduto a forzare il reset della password sulle utenze relative a dati personali di assicurati gestiti da Alfa (sia quelle con profilo “cliente”, che quelle con profilo “gestore”);

RILEVATO che i dati contenuti nei “voucher”, e quindi oggetto di download in base a quanto dichiarato da Octo nella citata relazione tecnica, sono i seguenti: data voucher, id voucher, tipo contratto, stato contratto, dati anagrafici del cliente (nome, codice fiscale), agente, dati installatore (nome, denominazione, indirizzo, codice fiscale/partita iva), stato del terminale, targa del veicolo, numero di telaio del veicolo, modello di veicolo, codice agente, indirizzo completo del cliente, recapiti del cliente (telefono, email), codice installatore, contatti telefonici/fax installatore, telefono agente, data associazione, data attivazione, data chiusura, motivo chiusura, dati del terminale (imei, telefono), sw clex, sw meta, n° polizza;

RILEVATO che nella nota inviata da Groupama ad Alfa (all. 4 all’integrazione del 7 febbraio 2020 inviata da UnipolSai) Groupama ha precisato che:

• la capogruppo francese ha svolto nella fine del 2019 un progetto di verifica della cybersecurity volto a trovare parole chiave contenenti “Groupama”, nel corso del quale aveva rinvenuto in rete una cartella sul sito Internet GitHub (chiamato "GroupamaEmobileClient") che includeva credenziali di accesso al portale Octo;

• nel corso di tale verifica erano state condotte prove di accesso al portale Octo con le credenziali trovate in rete su GitHub, verificando che alcune di queste erano valide e funzionanti;

• in data 8 gennaio 2020 la capogruppo ha inviato un report delle indagini svolte a Groupama;

• la stessa Groupama ha svolto successivamente un’ulteriore indagine, con nuovi tentativi di accesso al portale Octo, mediante le stesse credenziali, al fine di verificare, così come già effettuato dalla struttura francese, la validità delle credenziali, nonché individuare i dati accessibili e le attività consentite;

• nel corso di tali accessi è risultato possibile visualizzare e scaricare i dati personali riferiti a clienti di un’altra società (UnipolSai);

• ha proceduto al download dei predetti dati unicamente “per verificare se fosse possibile effettuare anche attività di download dal repository e non solo accedere ai dati” , cancellando successivamente i medesimi dati “dai dispositivi utilizzati”, salvandoli su dispositivi criptati e consegnandoli, come già evidenziato in precedenza, al CNAIPIC;

RILEVATO che, in base alle risultanze istruttorie, Groupama in data 12, 13 e 14 gennaio 2020 ha effettuato, utilizzando credenziali non proprie, l’accesso ai dati personali e il successivo download di circa 66.000 “voucher” (schede anagrafiche), relativi a interessati, clienti di UnipolSai;

CONSIDERATO che la violazione dei dati personali degli assicurati del Gruppo Unipol, avvenuta mediante gli accessi non autorizzati effettuati da Groupama alla piattaforma gestita da Octo, seppur abbia coinvolto un numero elevato di interessati, non ha comportato rischi elevati per tali soggetti in quanto i dati visualizzati e scaricati sono stati raccolti nell’ambito di una attività di controllo della sicurezza effettuata da una struttura dedicata, sono stati successivamente cifrati e, sulla base della documentazione in atti, non risultano contenere credenziali di accesso degli interessati (eccetto  in 3 casi in cui, secondo quanto dichiarato da Octo, è stato comunque forzato il reset della password);

CONSIDERATO che l’attività di download dei dati, seppur dichiaratamente svolta a soli fini di controllo della reale operatività delle credenziali (avendo Groupama dichiarato di aver salvato i dati su dispositivi criptati per consegnarli al CNAIPIC dopo aver cancellato i dati stessi dai dispositivi utilizzati per le verifiche), tuttavia risulta aver ecceduto i limiti propri di una attività di “mera verifica” della autenticità delle credenziali, dal momento che ha comportato la raccolta di dati personali di un numero molto elevato di interessati (clienti di UnipolSai);

RILEVATA la numerosità dei dati personali di clienti UnipolSai oggetto di accesso e di download da parte di Groupama, la quale avendo verificato la possibilità di visualizzare e scaricare da un portale telematico dati personali riferiti a clienti di un’altra società, mediante credenziali di accesso liberamente accessibili su un sito Internet, non risulta essersi adoperata tempestivamente, anche informandone quest’ultima, affinché potesse essere posto rimedio alla violazione riscontrata e attenuati i possibili negativi;

CONSIDERATO che i dati personali contenuti in 66.000 “voucher” sono stati scaricati, conservati e quindi trattati da Groupama, che ha pertanto agito in qualità di titolare del trattamento, senza che sia stata comprovata la sussistenza di alcuno dei presupposti di liceità del trattamento di cui all’art. 6, par. 1, del Regolamento;

RILEVATO, dunque, che i dati personali dei clienti UnipolSai non risultano esser stati trattati da Groupama nel rispetto dei principi di liceità e correttezza (art. 5, comma 1, lett a) del Regolamento);

CONSIDERATO che copia di tali dati è già in possesso del CNAIPIC e che, in ogni caso, i file di log di accesso, necessari ad eseguire eventuali ulteriori indagini, sono nella disponibilità di Octo (che opera in qualità di responsabile per conto di UnipolSai e di Groupama), ma che dagli elementi in atti non risulta chiaro che Groupama non sia più nella disponibilità dei dati personali riferiti a clienti di un’altra società;

RITENUTO pertanto necessario intervenire con misure urgenti volte a tutelare i diritti e le libertà degli interessati;

RAVVISATA, quindi, la necessità di ordinare a Groupama, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, in via d’urgenza, la limitazione definitiva del trattamento, astenendosi dall’effettuare, con effetto immediato dalla data di ricezione del presente provvedimento, ogni altra operazione di trattamento dei predetti dati, qualora ancora detenuti indebitamente, con esclusione della loro conservazione ai fini della eventuale acquisizione da parte dell´autorità giudiziaria;

RITENUTO, altresì, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e art. 157 del Codice, di richiedere a Groupama. di fornire all’Autorità, entro i successivi 5 giorni, un riscontro in merito all’avvenuta limitazione del trattamento, nonché a tutte le operazioni di trattamento effettuate con i dati personali visualizzati e scaricati, fornendo adeguata documentazione;

TENUTO CONTO che, ai sensi dell’art. 83, par. 6, del Regolamento, “l’inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”;

RISERVATO ogni ulteriore approfondimento istruttorio e determinazione, anche sanzionatoria in relazione all’accaduto nei confronti di Groupama e di tutti gli altri soggetti coinvolti e, in particolare, di Octo, UnipolSai, NTT, non caratterizzato dalla necessità di adozione di misure tecniche urgenti;

TENUTO CONTO che “salvo che il fatto costituisca più grave reato, chiunque, in un procedimento (…) dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni” ai sensi dell’art. 168 del Codice “Falsità delle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, ordina a Groupama Assicurazioni S.p.a. con sede in Roma, viale Cesare Pavese, n. 385, con effetto immediato dalla data di ricezione del presente provvedimento, la limitazione definitiva del trattamento dei dati personali relativi a interessati che non siano propri clienti, oggetto di download dal portale di Octo Telematics Italia s.r.l., qualora ancora detenuti illecitamente, nei termini di cui in motivazione, astenendosi dall’effettuare, ogni altra operazione di trattamento con esclusione della loro conservazione ai fini della eventuale acquisizione da parte dell´autorità giudiziaria;

2) ai sensi dell’art. 157 del Codice richiede a Groupama Assicurazioni S.p.a. di comunicare, entro il medesimo termine di cui al punto 2), tutte le operazioni di trattamento effettuate con i dati personali visualizzati e scaricati, fornendo adeguata documentazione; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5 lett e) del Regolamento;

3) ai sensi dell’art. 157 del Codice richiede a Groupama Assicurazioni S.p.a. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento in relazione alla limitazione del trattamento di cui al punto 1) entro 5 giorni dalla sua effettuazione e di fornire comunque riscontro adeguatamente documentato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5 lett e) del Regolamento;

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 12 marzo 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia