Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 800 000 euro mot NTT Data Italia S.p.A för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att UniCredi, som var personuppgiftsansvarig för behandlingen av personuppgifter, anmälde en personuppgiftsincident till Garante som ägt rum under perioden 11 oktober till 21 oktober 2018. Incidenten inträffade på grund av en cyberattack mot UniCredits mobila bankportal för kunder, efter att tredje parter försökte komma åt kundernas konton genom att försöka använda automatiskt genererade enkla PIN-koder.
Den mobila bankportalen hade två sårbarheter som underlättade intrånget. För det första gjorde portalen kundernas personuppgifter såsom förnamn, efternamn, skattekod och internbankens identifieringskod tillgängliga i HTML-svar på autentiseringsförsök, även när försöken misslyckades. För det andra begränsade UniCredit inte användningen av enkla PIN-koder, vilket gjorde kontona sårbara för cyberattacker som syftade till att identifiera kundernas inloggningsuppgifter (brute force-attacker). På grund av sårbarheten i HTML-svaret gav varje inloggningsförsök cyberangripare tillgång till namn, skattekoder och interna bankidentifieringskoder för 777 765 nuvarande och tidigare kunder. För 6 959 av dessa kunder lyckades cyberangriparna också identifiera portalens PIN-koder. UniCredit blockerade de identifierade PIN-koderna.
UniCredit ansåg inte att intrånget utgjorde en hög risk enligt artikel 34 GDPR, men publicerade ett allmänt meddelande på sin webbplats och meddelade endast de 6 959 registrerade vars lösenord identifierats direkt. Garante höll inte med om UniCredits bedömning och ansåg efter en preliminär utredning att överträdelsen sannolikt utgjorde en hög risk för de registrerades rättigheter.
I en skrivelse hävdade UniCredit att överträdelsen inträffade till följd av personuppgiftsbiträdets NTT Data Italias försumlighet. NTT Data Italia hade i uppdrag att utföra sårbarhetstester på UniCredits mobila webbsida och applikation tillsammans med underbiträdet Truel IT S.r.l. Truel IT anlitades utan föregående skriftligt godkännande från UniCredit och var den som fick kännedom om mobilportalens sårbarheter. Truel IT identifierade dem som högnivåsårbarheter och rapporterade dem till NTT Data Italia, som NTT Data Italia rapporterade till UniCredit först flera dagar senare.
Garante ansåg att i händelse av en personuppgiftsincident, även om UniCredit behåller det övergripande ansvaret för skyddet av personuppgifter, spelar NTT Data Italia fortfarande en grundläggande roll för att UniCredit snabbt och korrekt ska kunna fullgöra de skyldigheter som anges i artiklarna 32-36 GDPR, inklusive de som rör anmälan av personuppgiftsincidenter.
Garante ansåg vidare att trots att överträdelsen upptäcktes av Truel IT kvarstår skyldigheten att informera UniCredit enligt artikel 33.2 GDPR hos det ursprungliga NTT Data Italia, som inte är skyldigt att bedöma den risk som uppstår till följd av överträdelsen innan UniCredit underrättas. Enligt Garante borde NTT Data Italia ha informerat UniCredit långt tidigare. Eftersom NTT Data Italia inte underrätta UniCredit i rätt tid bröt NTT Data Italia mot artikel 33.2 GDPR.
Därutöver noterade Garante att NTT Data Italia anlitat ett annat personuppgiftsbiträde utan förhandstillstånd från UniCredit, och därmed brutit mot den skyldighet som anges i artikel 28.2 GDPR. Mot bakgrund av ovan utfärdade Garante en sanktionsavgift på 800 000 euro mot NTT Data Italia.