Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 2 800 000 euro mot banken UniCredit S.p.a. för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att UniCredit utsatts för en cyberattack mot sin mobila bankportal, under vilken angriparna fått tillgång till personuppgifter som exempelvis namn, personnummer och identifieringskoder för tusentals nuvarande och tidigare kunder. Angriparna lyckades också fastställa PIN-koden för åtkomst till portalen för över 6 800 kunder.
Garante konstaterade att UniCredit underlåtit att genomföra lämpliga tekniska åtgärder och säkerhetsåtgärder för att motverka en sådan cyberattack. UniCredit hade inte heller hindrat kunderna från att använda svaga PIN-koder. Enligt Garante utgjorde detta en överträdelser av artiklarna 5.1 (f), 32.1 och 32.2 GDPR.
När Garante fastställde böterna tog myndigheten hänsyn till det stora antalet registrerade och hur allvarlig överträdelsen var. Det faktum att UniCredit vidtagit korrigerande åtgärder i god tid och att inga bankuppgifter påverkats hade en förmildrande inverkan på Garantes beslut.