L’imponente sanzione a UniCredit per la violazione dati dimostra che la responsabilità giuridica si estende oltre i confini dell’azienda.
Il recente intervento del Garante per la protezione dei dati personali che ha portato alla sanzione di UniCredit S.p.A. per un importo di 2,8 milioni di euro per il data breach verificatossi nel 2018 ha riacceso i riflettori sulle responsabilità legali in materia di sicurezza informatica. Il caso in questione assume particolare rilevanza visto che, non solo la banca stessa ma anche la società incaricata per i test di sicurezza è stata sanzionata per 800 mila euro, lasciando evidenziare una maggiore severità nelle valutazioni di responsabilità nelle violazioni dei dati personali.
Il data breach in questione ha portato alla compromissione dei dati di migliaia di correntisti, mettendo in evidenza la necessità di un approccio più rigoroso in termini di cyber security e di conformità alle norme sulla privacy. Gli episodi di questa tipologia non si limitano a danneggiare i clienti delle istituzioni finanziarie, ma possono avere conseguenze anche sulla reputazione e stabilità dell’entità coinvolta.
Uno dei punti di svolta in questo scenario è il riconoscimento della responsabilità diretta del “responsabile del trattamento”. Ciò significa che non solo l’organizzazione principale, in questo caso UniCredit, ma anche i partner e fornitori di servizi, devono rispondere delle misure adottate per proteggere i dati personali. Emerge quindi un quadro di responsabilità condivisa che sollecita un’attentavaluazione dei rischi e un continuo monitoraggio delle pratiche di sicurezza adottate dalle società che trattano dati sensibili.
Per le aziende diviene critico implementare una strategia di gestione dei rischi che comprenda non solo misure preventive ma anche un piano di reazione in caso di violazione. E’ fondamentale, inoltre, scegliere con criterio i fornitori e garantire che mantengano standard elevati in termini di sicurezza informatica, con obblighi contrattuali chiari e verifiche periodiche.
Il “data breach” di UniCredit dovrà servire da lezione all’intero settore bancario e finanziario nell’importanza di un approccio proattivo per quanto concerne la sicurezza dei dati personali dei clienti. L’adozione di tecnologie avanzate, il continuo aggiornamento delle competenze del personale e una collaborazione più stretta tra le varie entità coinvolte nel trattamento dei dati sono passi fondamentali in direzione di una maggiore protezione.
Detto questo, è ragionevole aspettarsi che in futuro il Garante continui ad adottare un atteggiamento fermo e rigoroso in caso di data breach, ponendo sempre maggiormente l’accento su un sistema di responsabilità allargato che coinvolga tutti gli attori del panorama digitale.