skip to Main Content

210M forint bírság adatvédelmi incidens miatt az UniCredit Banknak

Az Olasz Adatvédelmi Hatóság (Garante) június 26-án 600.000 EUR összegű bírság kiszabását jelentette be az UniCredit Bankkal szemben két adatvédelmi incidens bekövetkezése miatt a 2016 áprilisa és 2018 októbere közötti időszakra vonatkozóan.

A bírság két különálló adatvédelmi incidens eredménye, az első még 2016-17-ben történt, ami a vizsgálatok szerint több, mint 400.000 ügyfelet érintett. A bank akkori, hivatalos közleménye szerint jelszavak vagy más olyan adatok, melyekkel illegálisan tranzakciókat lehetett volna indítani, nem szivárogtak ki; az érintett adatok köre bizonyos személyes adatokat és IBAN számokat tartalmazott.

A másik eset 2018 októberében történt, és ez több, mint 700.000 felhasználót érintett. A bank állítása szerint meg tudta védeni magát a támadás során, így korlátozni tudta az adatokhoz való hozzáférést, azonban még így is azonosítók, illetve egyéb pénzügyi adatok is érintettek voltak az incidensben.

A bank közel 7.000 ügyfelének blokkolta a hozzáférését, mivel az ő esetükben a PIN kód is érintett volt az incidensben. A Hatóság véleménye szerint azonban a bank nem csak őket, hanem köteles mind a 730.000 érintett ügyfelet tájékoztatni, mivel a „sima” személyes adatokkal kapcsolatos incidens is olyan súlyú, mely miatt szükséges a GDPR 34. cikk szerinti tájékoztatás, nemcsak a banki PIN kódokhoz való illetéktelen hozzáférés. Indoklásában felhívta rá a figyelmet, hogy ezen adatok alapján a támadók rátalálhatnak a felhasználókra az online térben, és adataikkal visszaélve csalásokat követhetnek el a nevükben.

A bírság kiszabása előtt a hatóság megvizsgálta az incidens körülményeit, mely kimutatta, hogy az illegális hozzáférés az alkalmazotti felhasználói fiókokon keresztül történt. Ily módon megállapították, mely adatokhoz férhettek hozzá a támadók: a felhasználók IBAN számai, hitelei, jövedelme, személyes adatai, munkahelye, iskolai végzettsége, személyazonosító okmányai és munkaadója.

A Garante megállapította, hogy az UniCredit nem rendelkezett megfelelő szervezeti és technikai intézkedésekkel egy hasonló jellegű adatvédelmi incidens megakadályozására, ezzel megsértette a GDPR 32. cikkét. A bírság kiszabásakor a Hatóság figyelembe vette az incidensben érintett ügyfelek kiemelkedően magas számát, illetve azt a tényt is, hogy a bank korábban nem volt hasonló incidens „áldozata”. Szintén enyhítő körülményként értékelték, hogy az első támadás után az UniCredit azonnal megkezdte az ilyen incidensek elkerüléséhez szükséges intézkedések meghozatalát.

Hasonló mértékű adatvédelmi incidensről legutóbb az EasyJet kapcsán számoltunk be, abban az esetben akár 9 millió ügyfél adatai kerülhettek veszélybe.

Back To Top