Attacchi protratti nel tempo

Ciò che più colpisce, è che la sottrazione delle informazioni si sia protratta per lunghi periodi di tempo senza che fossero presi provvedimenti.
Risulta difficile pensare che fisco, polizia o banche non utilizzino le più recenti ed evolute tecnologie di sicurezza informatica. E siccome queste tecnologie hanno la capacità di evidenziare anomalie e accessi non autorizzati, ciò che sembra emergere sono importanti carenze nella gestione e nel controllo dei sistemi di protezione dei dati sensibili.

D’altro canto, la tutela dei dati personali, la sicurezza delle informazioni e il rispetto del segreto bancario sono aspetti giuridici e organizzativi cruciali che devono essere garantiti attraverso modelli di gestione e sistemi di controllo efficaci e costantemente aggiornati.
La crescente minaccia di reati informatici rende imperativa l’implementazione di misure di sicurezza stringenti, non solo per la difesa dei dati sensibili, ma anche per la prevenzione di accessi non autorizzati, siano essi perpetrati da soggetti esterni o interni all’organizzazione.

In questo senso, un esempio che ci sembra spiccare sugli altri è quello del dipendente di Intesa Sanpaolo, che nell’arco di alcuni mesi ha effettuato svariati accessi senza averne l’autorizzazione a più di 3.500 conti correnti appartenenti a clienti della banca, inclusi personaggi di spicco delle istituzioni italiane. La particolarità di questo evento sta nel fatto che gli accessi illeciti non sono arrivati dall’esterno ma dall’interno della banca. E non dalla sede centrale, ma da una decentrata filiale pugliese.

Dati troppo esposti

Attraverso una nota ufficiale, Intesa Sanpaolo ha precisato di ritenersi parte lesa: spetterà alle autorità competenti confermare o meno la cosa.
Tuttavia, sembra evidenziarsi che una inadeguata gestione dei sistemi di cybersecurity abbia comportato il mancato rispetto di una serie di normative in materia di sicurezza informatica e protezione dei dati personali.

“Nello specifico, tali atti costituiscono una violazione dell’articolo 615-ter del Codice Penale, che disciplina l’accesso abusivo a sistemi informatici o telematici – precisa l’avvocato Giuseppe Serafini, dell’ordine degli avvocati di Perugia –. Questa norma impone restrizioni severe per prevenire accessi non autorizzati, con l’obiettivo di tutelare l’integrità e la riservatezza dei dati da abusi interni ed esterni”.

“La violazione di questa disposizione del Codice Penale – prosegue Serafini – è rilevante anche in relazione alla responsabilità amministrativa degli enti, disciplinata dalla Legge 231 del 2001 che prevede un sistema di responsabilità per le organizzazioni chiamate a implementare adeguati modelli organizzativi volti a prevenire condotte illecite. Un’organizzazione che gestisce un certo tipo di dati è obbligata a disporre di strumenti e controlli per impedire accessi inappropriati o anomali, implementando misure di alerting che possano segnalare tempestivamente comportamenti sospetti”.

Il sistema di prevenzione e rilevamento è un elemento cruciale nel garantire la conformità e nel proteggere i dati sensibili e, nel caso in questione, avrebbe potuto prevenire o limitare la reiterazione di accessi abusivi da parte del dipendente.

La mancata conformità al GDPR

Oltre alla violazione delle disposizioni penali, possono sorgere rilevanti implicazioni anche a livello europeo per la protezione dei dati personali.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce specifici obblighi per le organizzazioni che trattano dati personali, imponendo di adottare misure di sicurezza appropriate per proteggere tali dati da accessi non autorizzati e garantire il rispetto della riservatezza e della sicurezza.

“In questo contesto – spiega Serafini –, l’omissione di controlli adeguati e la mancata segnalazione tempestiva di una violazione dei dati, qualora accertate, costituiscono una violazione degli articoli 32 e 33 del GDPR. Il GDPR richiede infatti che tutte le organizzazioni rilevino e segnalino immediatamente eventuali accessi non autorizzati ai dati, trasmettendo tali informazioni sia agli interessati sia alle autorità competenti”.

Di conseguenza, vige l’obbligo di legge di conservare e monitorare sistematicamente i log di accesso e di analizzare tali registrazioni periodicamente per garantire la conformità con i requisiti di sicurezza e rispondere in modo tempestivo agli eventi di sicurezza.

Oltre le informazioni bancarie

Le ripercussioni degli accessi non autorizzati vanno oltre la semplice violazione della privacy dei clienti coinvolti.
Nel caso della banca, i dati personali non rappresentano infatti solo informazioni finanziarie, ma contengono elementi fondamentali della personalità e delle esigenze dei clienti, motivo per cui è essenziale che siano trattati con il massimo rispetto della riservatezza e con misure di sicurezza adeguate.

“A tale scopo, l’ente bancario ha il dovere di adottare misure preventive e di reagire prontamente a episodi di accesso non autorizzato, proteggendo i clienti e le loro informazioni sensibili e assicurando la conformità alle normative vigenti. Una banca è inoltre chiamata a svolgere un’analisi dettagliata delle cause che hanno permesso il verificarsi di tali accessi, individuando le falle e predisponendo misure di miglioramento continuo per evitare che episodi simili possano ripetersi in futuro”.

Cosa che immaginiamo sia immediatamente accaduta in Intesa Sanpaolo non appena è stato scoperto l’accesso illecito alle informazioni.

Il principio del privilegio minimo

Nell’ambito della gestione del rischio e del controllo della sicurezza, l’applicazione del principio del “privilegio minimo” (Principle of Least Privilege, PAM) costituisce una misura di fondamentale importanza: limitare l’accesso ai dati alle sole funzioni strettamente necessarie per il ruolo di ciascun dipendente rappresenta una delle barriere più efficaci contro gli abusi interni. Altrettanto rilevanti sono i sistemi avanzati di autenticazione e autorizzazione, la gestione rigorosa dei profili di accesso e la revisione continua delle identità, associati a strumenti di monitoraggio e alerting che possano rilevare anomalie comportamentali.
Queste misure di controllo costituiscono un presidio essenziale per impedire potenziali abusi interni e per assicurare un elevato livello di protezione per i dati bancari.

La salvaguardia della fiducia

La mancata adozione di questi strumenti e misure preventive può infatti esporre le organizzazioni a rischi significativi, non solo dal punto di vista della sicurezza dei dati, ma anche in termini di reputazione e di compliance normativa.

“Implementare tali controlli e assicurare una continua vigilanza sulla sicurezza dei sistemi informatici è pertanto un obbligo imprescindibile per le organizzazioni che operano nel settore finanziario e che gestiscono informazioni sensibili – conclude Serafini –. L’efficacia di queste misure di sicurezza non solo tutela i dati personali dei clienti, ma garantisce anche la salvaguardia della fiducia nei confronti dell’organizzazione e del sistema bancario nel suo complesso, in un momento storico in cui la protezione dei dati e la sicurezza informatica assumono un valore sempre più rilevante”.