Il Garante per la privacy bacchetta una banca per scarsa sicurezza dei sistemi di internet banking

Garante per la protezione dei dati personali

Newsletter – Notiziario settimanale: Anno V n.196 (5 – 11 gennaio 2004)

E-banking e privacy dei clienti

Una banca denunciata alla magistratura per un “buco” nei sistemi di sicurezza

Si è conclusa con l’ordine di adottare rigorose misure di sicurezza e con la comunicazione degli atti alla magistratura la complessa serie di accertamenti avviata a gennaio 2003 dall’Autorità Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) sull’operato di una banca che offriva servizi on line. Gli accertamenti erano stati disposti a seguito del ricorso di un cliente che, nel consultare via Internet la propria posizione contabile, aveva accidentalmente avuto accesso ad informazioni riservate (numeri di conti correnti e carte di credito, operazioni bancarie, bonifici, emolumenti, assegni, titoli, polizze assicurative) di altri ignari correntisti. Il caso assume particolare rilievo e interesse pubblico alla luce dell’evoluzione delle attività bancarie e finanziarie svolte per via telematica e tale da incidere sul rapporto di correttezza e fiducia instaurato con i clienti.

Dagli accertamenti è emerso che la banca, pur essendovi tenuta anche sul piano penale, non aveva adottato le misure minime di sicurezza previste dalla normativa, in grado di ridurre il rischio di accesso non autorizzato ai dati personali da parte di terzi su reti telematiche (art.3, comma 1, lett. b) del d.P.R. 318/1999).

Il servizio di e-banking consentiva a ciascun cliente abilitato – previo inserimento di codici di autenticazione – di consultare via Internet i movimenti del proprio conto corrente, di visualizzare i dati che lo riguardavano e gli estratti conto, creando un prospetto delle ultime operazioni effettuate, da memorizzare o stampare.

La vicenda affrontata dal Garante riguarda un cliente che, ricollegandosi a distanza di poco tempo da una precedente consultazione al sito della sua banca e digitando un indirizzo “parziale” (cioè senza riferimento al file da visualizzare), aveva attivato una sessione che gli consentiva – senza che gli venisse chiesto di inserire nuovamente i codici di accesso – di leggere un’altra cartella con i file dei prospetti contabili degli altri clienti, non disponibile mediante le ordinarie modalità di consultazione.

A giustificazione del proprio operato la banca aveva dichiarato che l’accesso anomalo ai dati dei correntisti si sarebbe verificato solo per pochi giorni durante i quali erano in corso alcune attività tecniche connesse all’affidamento della gestione del sito web della banca ad una società esterna, ed era in funzione un cosiddetto server di back up. L’erronea configurazione dei programmi installati su questo server (il cosiddetto “browsing”), alla quale è stata attribuita la visualizzazione dei dati dei correntisti, sarebbe stata poi corretta tempestivamente.

Contestualmente alla denuncia alla magistratura, il Garante con uno specifico provvedimento ha ordinato di adottare adeguate misure di sicurezza per prevenire il ripetersi di tali illeciti. L’adempimento di tale prescrizione infatti consente alla banca di beneficiare dell’ammissione al pagamento di una ammenda (da 10.000 a 50.000 euro) con la conseguente estinzione del reato, così come previsto dal Codice in materia di protezione dei dati personali (art. 169).

Le misure di sicurezza da adottare prevedono in particolare: a) l’utilizzo di una o più parole chiave per l’accesso ai dati da fornire al personale della banca incaricato all’uso dei dati personali; b) l’attribuzione a ciascun cliente abilitato ai servizi di Internet banking, di un codice identificativo personale per le consultazioni telematiche.

Ricette in strada. Interviene il Garante

Proseguono gli accertamenti dell’Autorità Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) nei confronti di un’azienda sanitaria locale romana per verificare il rispetto di tutte le disposizioni in materia di misure minime di sicurezza per il trattamento di dati personali previste dal Codice sulla privacy (d. lg. n.196/2003). Il Garante dovrà accertare se l’episodio che si è verificato a fine dicembre, relativo a documentazione sanitaria (ricette, cartelle cliniche ancora leggibili, relativi ad un ingente numero di persone) rinvenuta nel corso di una ispezione nel cortile di una biblioteca comunale, liberamente accessibile al pubblico, costituisca un fatto imprevedibile, causato dall’incendio del magazzino in cui il materiale era raccolto, oppure non riveli una carenza da parte dell’azienda sanitaria nell’adozione delle misure minime di sicurezza.

I dati personali, in particolare quelli sensibili, devono essere custoditi in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito. La mancata adozione delle misure minime di sicurezza configura un illecito penale e può comportare l’ammenda da diecimila a cinquantamila euro o l’arresto sino a due anni. Dopo l’intervento del Garante l’azienda sanitaria ha rimosso la documentazione.

Il Garante, venuto a conoscenza della vicenda il 9 gennaio da fonti di stampa, ha disposto immediati accertamenti che hanno avuto luogo la mattina successiva. Il nucleo ispettivo dell’Autorità ha accertato che documenti sanitari, ricette di migliaia di cittadini, risalenti in prevalenza alla fine degli anni ’80, in cui sono ancora leggibili nomi, cognomi, prescrizioni, date di emissione, giacevano incustoditi all’aperto in una zona di passaggio al pubblico dopo un incendio che il 23 dicembre scorso aveva interessato anche il prefabbricato in cui la Asl li conservava. La Asl sentita dagli ispettori del Garante sulla vicenda ha “giustificato” la permanenza della documentazione all’esterno con il ritardo nel reperimento di una ditta, a causa delle festività, dopo che la Croce rossa cui l’archivio “morto” era destinato, aveva fatto sapere che non era più interessata al recupero della carta perché inservibile.

Il Garante, in considerazione della gravità dell’accaduto, ha deciso dunque di continuare gli accertamenti sulle misure minime di sicurezza che l’Azienda normalmente adotta nel trattamento dei dati e definirà al più presto il relativo procedimento.

Etichette intelligenti e biblioteche negli USA

L’impiego di sistemi biblioteconomici automatizzati che utilizzino etichette “intelligenti” (basate sulla tecnologia in radiofrequenza, RFID) comporta rischi potenziali che devono essere valutati attentamente per evitare di compromettere, nel lungo periodo, la libertà di pensiero.

Queste le indicazioni che esperti di alcune associazioni per le libertà civili negli USA (Privacy Rights Clearinghouse, e Electronic Frontier Foundation) hanno fornito all’American Library Association – Intellectual Freedom Committee lo scorso 10 gennaio, in occasione di un incontro pubblico a San Diego, in California (http://www.privacyrights.org/…). Il dibattito attualmente in corso sui benefici e sui rischi dei sistemi RFID ha infatti investito anche le biblioteche, che negli USA stanno valutando l’impiego di tali sistemi per semplificare la gestione dei prestiti e tenere traccia dei singoli volumi con maggiore precisione.

Gli esperti delle due associazioni sottolineano la necessità di tenere conto dell’evoluzione futura della tecnologia RFID, che attualmente ha natura proprietaria (ossia, è utilizzata da singoli produttori per garantire una migliore gestione dei propri prodotti), ma in futuro potrebbe diventare uno standard generale: alcune case editrici, ad esempio, stanno sperimentando l’impiego di etichette intelligenti su tutta la produzione editoriale. I rischi per la libertà di pensiero evidenziati durante l’incontro riguardano, in particolare, la possibilità che siano commercializzate pubblicazioni (libri, riviste, ecc.) recanti specifiche etichette RFID in rapporto all’utenza, in maniera tale che i testi riservati alle biblioteche verrebbero “marcati” in modo specifico.

Gli esperti raccomandano, pertanto, un’analisi ampia e dettagliata delle tecnologie RFID applicate al settore bibliotecario, per consentire una scelta consapevole basata sulla valutazione di rischi e benefici, soprattutto alla luce dei rischi potenziali per la privacy e le libertà civili. In particolare, alcuni principi fondamentali in materia di protezione dei dati devono trovare applicazione anche in rapporto all’uso di dispositivi RFID in ambito bibliotecario. Si tratta di principi che negli USA sono conosciuti come “Fair Information Practices” e che coincidono in buona parte con i principi elaborati nell’Unione Europea e fissati nella Direttiva 95/46/CE:

fornire agli utenti un’informativa accurata relativamente all’impiego di dispositivi RFID (quali pubblicazioni rechino etichette RFID, dove siano ubicati i lettori di tali etichette), posizionata in modo visibile e formulata con chiarezza, escludendo forme “occulte” di lettura di tali dispositivi e specificando le finalità del loro utilizzo;

limitare i dati raccolti a quelli indispensabili per le finalità in questione, evitando l’inserimento di dati personali (criptati) nelle etichette RFID;

garantire idonee misure di sicurezza (trasmissione dei dati, accesso ai relativi database, cifratura);

assicurare agli utenti la possibilità di ottenere soddisfazione in caso di quesiti e/o reclami.