Di assicurazioni e, in particolare, di banche si parla molto molto spesso, in quanto si tratta di due tra i principali sistemi organizzati che nell’attuale contesto socio-economico presentano una rilevante visibilità ed una accertata importanza.
Almeno in Italia le assicurazioni hanno da sempre ricevuto una valutazione non esaltante da parte dell’opinione pubblica; quella che è la causa principale di tale fama deriva probabilmente da una considerazione non strettamente tecnica, ovvero dalla innata e storica ritrosia che nutriamo nei confronti del prodotto e, forse ancora di più, di chi lo confeziona e ne cura la commercializzazione.
Comunque, al di là di quella che può anche apparire (o quasi) una battuta, la sottoassicurazione degli Italiani – particolarmente nei rami danni, con esclusione della obbligatoria RCA – è storica e consolidata.
Per citare soltanto uno dei dati presentati recentemente dal Consigliere IVASS Riccardo Cesari, l’Italia con i suoi 34 miliardi di euro di raccolta ha visto il rapporto tra premi e PIL collocarsi nel 2018 all’1,9%, inferiore alla metà del livello medio OCSE (4,5%).
A questo deve anche aggiungersi che, al di là di alcune azioni sporadiche, le Compagnie ed i loro rappresentanti sul territorio fanno poco per invertire la tendenza.
Diversamente dalle assicurazioni, per lungo tempo le banche hanno goduto di migliore stima ma anche loro, da quando ha cominciato a ridursi l’attività di erogazione del credito, stanno progressivamente transitando nell’elenco dei “cattivi” (situazione agevolata anche da alcuni incidenti di percorso che si sono verificati negli ultimi anni).
Rispetto a quanto detto fino ad ora, prima del GDPR esisteva anche un rovescio positivo della medaglia, a livello informatico.
Con riguardo alla sicurezza dati dei loro clienti, banche ed assicurazioni erano ritenute presidi inviolabili.
I consumatori “affidano il proprio denaro e i propri dati alle assicurazioni e alle banche con una fiducia basata sull’errata convinzione che gli istituti siano sicuri al 100%. Sebbene le banche si stiano evolvendo per contrastare le sofisticate minacce lanciate dai cybercriminali, la consapevolezza delle minacce e della complessità delle sfide da parte del pubblico rimane limitata. Quando il GDPR entrerà in vigore e tutte le violazioni verranno probabilmente rese pubbliche poco dopo essere avvenute, saranno in molti a sorprendersi”.
Massimo Ippoliti, Data & Cloud Practice Leader di Capgemini Italia
Il caso più eclatante verificatosi in ambito bancario, nel periodo di tempo a cavallo tra la vigenza del Codice della Privacy ed il 25 maggio 2018, data di applicazione in Europa del GDPR, riguarda il colosso Unicredit.
Per la verità già nel 2016 e nel 2017 l’istituto aveva subito due intrusioni informatiche, nel corso delle quali sarebbero stati violati i dati di circa 400.000 clienti in Italia.
Nell’occasione la banca li aveva tranquillizzati, comunicando loro che il livello di penetrazione dei suoi sistemi interni era stato insufficiente a poter raggiungere l’obiettivo di effettuare manovre illecite sui conti.
Successivamente, come è stato poi ricostruito, nell’ottobre 2018 criminali informatici sono entrati in possesso di nomi, cognomi, codici fiscali e codici identificativi di oltre 700.000 clienti e, inoltre, sono state individuate anche 6.859 password, interdette all’operatività da parte dell’istituto non appena venuto a conoscenza di quanto avvenuto.
Per completezza di informazione deve precisarsi che gli accessi abusivi erano avvenuti attraverso la violazione degli architravi web della banca a cui si accedeva tramite credenziali autorizzate di alcuni dipendenti di una Agenzia OAM in esclusiva (Titolare autonomo del trattamento), credenziali di cui gli hacker si erano impossessati.
Contemporaneamente si era provveduto a segnalare l’evento all’Autorità Garante per la privacy, precisando che “non risulta che ci sia stato accesso a dati bancari dei clienti né che siano state effettuate operazioni” e informando dell’episodio prima i titolari delle password violate e poi, su sollecitazione dello stesso Garante che non aveva ritenuto sufficiente la pubblicazione della notizia sul sito web del Gruppo, anche tutti gli altri utenti coinvolti.
Infine, veniva precauzionalmente chiesto ad alcuni correntisti di modificare la propria password e, in un comunicato rilasciato all’Agenzia Giornalistica Italiana, si annunciava che l’attacco cibernetico era stato intercettato e bloccato e che l’incidente era da ritenersi chiuso, sia nei confronti dei clienti che delle autorità competenti.
Per altro, il Garante ha continuato a svolgere la propria attività di vigilanza e recentemente, con un’ordinanza/ingiunzione dello scorso 20 giugno, ha multato Unicredit per 600.000 euro (si è trattato di uno degli ultimi provvedimenti assunti dal Collegio poi sostituito a luglio 2020).
In sostanza, nel provvedimento si stabilisce che le modalità di accesso riscontrate in fase ispettiva hanno evidenziato l’omessa adozione da parte della banca delle misure minime di sicurezza previste dagli artt. 33 e seguenti del D.Lgs. n. 196/2003 “Codice in materia di protezione dei dati personali” con specifico riguardo all’utilizzo di un sistema non idoneo di autorizzazione e all’assenza del “limite di accesso” dei profili autorizzativi – individuati per poter utilizzare l’applicativo – “ai soli dati necessari per effettuare le operazioni di trattamento”.
In esito alla vicenda, ripetiamo la dichiarazione finale di Massimo Ippoliti che così chiudeva la considerazione che abbiamo già parzialmente riportato in precedenza:
“l’introduzione del regolamento GDPR rappresenta un’eccezionale opportunità per banche e assicurazioni di trasformazione del business per diventare quelle fortezze digitali che i consumatori già credono che siano”.
Massimo Ippoliti
Assisteremo nel prossimo futuro al loro interno a uno sviluppo virtuoso per quanto riguarda il tema della protezione dei dati personali?
Il tema, di sempre più stringente attualità, è ormai sul tavolo.
Per ulteriori informazioni o per richiedere una consulenza, compila il FORM alla pagina CONTATTI, risponderemo alle tue domande.
E se desideri parlare direttamente con noi, chiama subito al +39 3476974119, Simona Bia Data Protection Officer e Privacy Consulting GDPR risponderà alle tue domande.
