A Autoridade de Proteção de Dados (DPA) da Itália aplicou uma multa de € 2,8 milhões à UniCredit S.p.A. por expor dados pessoais em tentativas de autenticação, bem como por não impedir o uso de PINs simples pelos clientes, aumentando a vulnerabilidade a ataques cibernéticos. O incidente, notificado à DPA em 22 de outubro de 2018, ocorreu devido a um ciberataque no portal de banco móvel da UniCredit, resultando na exposição de dados pessoais, como nome, sobrenome, código fiscal e código de identificação interna do banco de 777.765 clientes atuais e antigos.

As vulnerabilidades identificadas permitiram que terceiros acessassem os dados pessoais através de respostas HTML a tentativas de autenticação e explorassem a ausência de restrições ao uso de PINs simples. Apesar das medidas preventivas e controles de mitigação implementados pela UniCredit, que alegou ter superado os padrões de mercado e atribuído a negligência ao seu processador de dados, NTT Data Italia S.p.A., a DPA considerou a instituição financeira responsável pelas infrações dos artigos 5(1)(f), 32(1) e 32(2) do GDPR.

A multa considerou o número significativo de sujeitos de dados afetados, medidas anteriores resultantes de violações de dados e a perda de confidencialidade, equilibradas com a cooperação da UniCredit durante a investigação, a exclusão de dados bancários da violação e as etapas tomadas para mitigar as consequências. A DPA não emitiu outras medidas corretivas, levando em conta as ações de mitigação da UniCredit imediatamente após o incidente e a ausência de reclamações de consumidores.

Em uma decisão separada, a NTT Data Italia S.p.A. foi multada em € 800.000 por violações dos artigos 28(2) e 33(2) do GDPR, destacando a importância da comunicação tempestiva e da gestão adequada das vulnerabilidades de segurança por parte dos processadores de dados.

Com informações GDPR Hub

Este post foi resumido a partir de sua versão original  com o uso do ChatGPT versão 4.