g-docweb-display Portlet

Istituti di credito - E-banking e misure minime di sicurezza - 19 novembre 2003 [1083182]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web. n. 1083182]

[provvedimento correlato
doc. web. n. 1084238]

Istituti di credito - E-banking e misure minime di sicurezza - 19 novembre 2003

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTI il provvedimento del Garante adottato su ricorso presentato nei confronti di Banca Generali S.p.A., nonché la deliberazione n. 3 del 9 gennaio 2003 volta ad eseguire accertamenti ispettivi nei confronti della Banca medesima;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Stefano Rodotà;

1. Premessa
Il Garante ha definito con provvedimento dell´11 novembre 2002 l´esame di un ricorso presentato nei confronti di Banca Generali S.p.A. da un cliente intestatario di un conto corrente gestito secondo modalità di e-banking, il quale, accedendo ad una pagina web della banca per verificare informazioni sul proprio conto, aveva potuto consultare accidentalmente una serie di dati relativi ad altri clienti.

In tale contesto questa Autorità ha instaurato un autonomo procedimento per acquisire ulteriori elementi in ordine alle modalità tecniche utilizzate dal predetto istituto per prestare servizi on-line, nonché sull´idoneità delle misure di protezione adottate per prevenire l´indebito trattamento dei dati relativi ai clienti da parte di terzi non legittimati.

Il Garante, con successiva deliberazione del 9 gennaio 2003, ha poi disposto che fossero effettuati nei confronti di Banca Generali S.p.A. gli accertamenti previsti dall´art. 32, comma 2, della legge 31 dicembre 1996, n. 675, che sono stati eseguiti con la modalità dell´assenso informato ai sensi dell´art. 15 del d.P.R. 31 marzo 1998, n. 501.

I controlli sono stati completati per verificare, in particolare, le modalità tecniche che hanno reso possibile l´accesso del predetto interessato a dati relativi ai conti correnti di altri clienti (alla luce delle misure di sicurezza previste per i servizi di e-banking), nonché le cautele e le misure di protezione adottate dalla banca per assicurare l´integrità e la riservatezza di tali dati.

Dagli elementi acquisiti nell´ambito del procedimento relativo al ricorso, era già emerso che:

  • per consultare via Internet i movimenti del proprio conto corrente, ciascun correntista (digitando l´indirizzo del sito web della banca -c.d. URL o URI- completo dell´indicazione del documento elettronico o file al quale accedere, ed inserendo previamente i propri codici di autenticazione), poteva visualizzare i dati che lo riguardano e creare un prospetto o foglio elettronico delle ultime operazioni effettuate (in formato excel), da memorizzare o stampare;
  • dopo un primo accesso ai soli dati che lo riguardano, a distanza di poco tempo il ricorrente si era ricollegato al sito per controllare nuovamente la propria posizione contabile; digitando un indirizzo "parziale" (ovvero privo del riferimento al nome del file da visualizzare), attivava però una nuova sessione che gli consentiva, senza che gli venisse peraltro richiesto di reinserire preventivamente le proprie credenziali di autenticazione, di consultare un´altra cartella o directory (intermedia rispetto a quella corrispondente all´indirizzo "completo"), contenente i file dei prospetti relativi ai conti correnti anche di altri clienti, non disponibile mediante le ordinarie modalità di consultazione on-line dei conti correnti indicate dalla banca agli utenti;
  • secondo quanto dichiarato dalla banca, l´anomalo accesso da parte dell´interessato si sarebbe verificato -anche in successivi episodi- solo nel periodo di tempo circoscritto (quantificato poi dalla stessa banca in tre giorni del mese di settembre 2002), durante il quale erano in corso di svolgimento alcune attività tecniche connesse all´affidamento ad una società della gestione del sito web della banca. Ciò, più precisamente, nella fase in cui era in funzione un c.d. server di back-up attivato per il trasferimento fisico alla predetta società dei server di gestione del sito e delle relative apparecchiature informatiche (avvenuto a fine settembre 2002).


2. Elementi di valutazione acquisiti 
Nel corso dell´attività ispettiva, la banca ha fornito una descrizione delle misure e dei criteri adottati per la protezione dei dati personali della clientela, e in specie della procedura di generazione dei codici di sicurezza per l´accesso ai servizi di Internet banking, nonché delle apparecchiature, dell´infrastruttura e dell´architettura di rete utilizzate per fornire i servizi.

La banca, ad integrazione delle informazioni fornite all´Autorità in sede di ricorso, ha poi dichiarato che:

  • i file in formato excel, generati su richiesta dei correntisti on line per visualizzare i relativi movimenti bancari, venivano registrati in un´unica cartella del sistema informativo, per il periodo di riferimento dell´estratto conto trimestrale (pari a tre mesi circa) e per documentare le attività svolte in caso di contestazioni sulle operazioni eseguite sul conto corrente di ciascun cliente (come, peraltro, previsto contrattualmente);
  • l´erronea configurazione del servizio di Internet banking, che aveva reso possibile il c.d. browsing o visualizzazione del contenuto della cartella intermedia contenente i file con i prospetti e i dati relativi ai conti correnti di altri clienti (che avevano richiesto nei mesi precedenti la creazione di tali prospetti), si sarebbe verificata (sempre ad avviso della banca) solo sul server di back-up attivato nella fase di test di spegnimento del server principale (all´epoca gestito da altra società del gruppo, designata dalla banca quale "responsabile" del trattamento dei dati personali), connessa alla menzionata procedura di affidamento all´esterno del servizio informativo alla società;
  • stando alla stampa delle registrazioni delle connessioni al sito prodotta dalla banca in sede di accertamento ispettivo, l´accesso alla menzionata cartella intermedia si sarebbe verificato solo nei casi segnalati dall´interessato e nel limitato periodo indicato dalla stessa banca (10, 11 e 12 settembre 2002), e sarebbe stato comunque astrattamente possibile soltanto per i clienti che avessero già avuto accesso ai servizi di Internet banking previa identificazione ed autenticazione individuale, rimanendo pertanto escluso il rischio di un accesso incontrollato ai dati personali da parte di utenti non autenticati dal sistema;
  • la funzione -che sarebbe stata attivata dal mese di giugno 2002- di visualizzazione e memorizzazione, mediante la creazione di un prospetto riportante i dati relativi ai movimenti di conto corrente, sarebbe stata disattivata immediatamente, con conseguente venir meno della possibilità di un accesso ai dati, e non è stata più ripristinata;
  • l´erronea configurazione dei programmi installati sul server di back-up, in base al quale si sarebbe verificato il c.d. browsing della cartella intermedia e la conseguente visualizzazione dei file in essa contenuti, sarebbe stata corretta tempestivamente.

A seguito dell´accertamento ispettivo la banca ha inoltre prodotto ulteriore documentazione e, in particolare, copia:

  • della modulistica e delle circolari interne utilizzate per designare ed impartire istruzioni ai responsabili e agli incaricati del trattamento dei dati personali;
  • i documenti programmatici per la sicurezza dei dati predisposti dalla banca e dalla società "responsabile" del trattamento dei dati personali effettuato per la gestione dei servizi informatici per conto della banca.


3. Rischi per i clienti interessati 
Dal cd-rom prodotto dal menzionato ricorrente risulta che i dati visualizzati e memorizzati da quest´ultimo in occasione degli accessi occasionali segnalati al Garante riguardano informazioni dettagliate relative alle operazioni bancarie a credito o a debito svolte da terzi su altri conti correnti.

I prospetti contengono, per ciascuna operazione effettuata, l´indicazione della data dell´operazione, dell´importo in euro e della divisa utilizzata, nonché la descrizione dell´operazione.

Le informazioni si riferiscono, in particolare, a:

a) numeri dei conti correnti bancari che, nei casi esaminati a campione dall´Ufficio del Garante, sono ricavabili dalla denominazione dei file in formato excel generati dai clienti;

b) numeri delle carte di pagamento dei titolari dei conti correnti;

c) nome e cognome del titolare di talune carte di credito, circuito utilizzato e codice del cliente;

d) numeri di sportello, coordinate Abi e Cab degli istituti di credito utilizzati per effettuare operazioni con il bancomat (prelievo; pagobancomat; ricariche telefoniche; pagamento pedaggi autostradali, ecc.);

e) numeri degli assegni a debito o credito completi delle coordinate bancarie di riferimento;

f) operazioni su dossier titoli che transitano in conto corrente (es. pagamento interessi di investimento; stacco di cedole) e numero del relativo dossier;

g) pagamenti di utenze domiciliate sul conto corrente;

h) pagamento di imposte, tasse e canoni fissi mensili;

i) accensione/rinnovo di polizze assicurative varie (es. rc auto; vita) e risarcimento danni da parte di compagnie di assicurazione con denominazione della compagnia, con indicazione degli estremi identificativi del titolare della polizza (coincidente spesso con il correntista);

j) estremi di bonifici;

k) emolumenti corrisposti per prestazioni di lavoro dipendente e nome del datore di lavoro.

In molti casi le informazioni appena indicate riportano gli estremi identificativi dei clienti interessati, o di loro familiari, e di terzi (ad es. la denominazione degli esercenti con i quali i correntisti hanno concluso singole transazioni commerciali, l´indicazione del datore di lavoro che ha effettuato l´accredito dello stipendio, oppure i dati anagrafici dei soggetti nei confronti dei quali siano stati emessi dispositivi di bonifico, ecc.).

Va poi rilevato che anche le informazioni relative ai movimenti di conto corrente, associate ai relativi numeri o a quelli delle carte di credito o bancomat, pur non permettendo a volte un´identificazione diretta dei titolari, recano comunque dati di carattere personale in quanto permettono di risalire a situazioni personali di persone identificate o identificabili, specie se raffrontati con altre dettagliate informazioni anche in possesso della banca o degli emittenti delle carte di pagamento.

I dati personali in questione si riferiscono poi, in ogni caso, ad informazioni e riferimenti bancari che sono caratterizzati da una specifica confidenzialità e riservatezza e che, se conosciuti da terzi, potrebbero essere utilizzati o comunicati ad ulteriori soggetti, anche per attività illecite a danno degli interessati (si pensi, ad esempio, ai recenti casi di indebita utilizzazione di carte di pagamento).


4. Esiti degli accertamenti 
Dagli atti disponibili a seguito degli accertamenti ispettivi non risultano irregolarità compiute dal menzionato ricorrente nell´effettuare telematicamente le descritte operazioni di visualizzazione del relativo conto corrente (con particolare riferimento agli obblighi imposti riguardo alla custodia e al corretto utilizzo dei codici di accesso, nonché alle modalità di consultazione on-line del conto).

Ciò anche in considerazione del fatto che il segnalato accesso ai dati di altri clienti, contenuti nella citata cartella intermedia, è stato possibile per l´interessato senza adottare alcun artifizio tecnico, utilizzando piuttosto normali protocolli Internet di accesso al sito web (http/https) ed un comune programma di navigazione sul web, il c.d. browser, secondo modalità, come quella di limitarsi ad inserire un indirizzo non completamente specificato, ricorrenti in tali ambiti (con diversi browser, è usuale specificare parzialmente l´indirizzo del sito o pagina web, indicando anche solo un prefisso, che il programma o browser provvede ad espandere cercando una corrispondenza con gli indirizzi più recentemente visitati dall´utente).

La banca è inoltre venuta a conoscenza dell´errore tecnico verificatosi (e messa in condizione di porvi immediato rimedio evitando più gravi conseguenze per la clientela interessata) grazie alla tempestiva richiesta avanzata dall´interessato ai sensi dell´art. 13 della legge n. 675/1996, a seguito del riscontro dell´anomalia in questione.


5. Violazione degli obblighi 
L´erronea configurazione del sistema e dei programmi per l´accesso al servizio di Internet banking ha reso conoscibili a terzi, sia pure nei termini descritti, dati personali relativi a diversi conti correnti, in violazione dell´obbligo di garantire la riservatezza di tali informazioni a carattere personale e la loro protezione da accessi non autorizzati.

La violazione delle vigenti disposizioni in materia di protezione e sicurezza dei dati personali così realizzatasi non può essere poi esclusa (contrariamente a quanto dichiarato dalla banca), né in ragione del fatto che l´accesso è avvenuto solo per un breve arco temporale e su un server di back-up, anziché su quello principale, né per l´ulteriore circostanza che, in concreto, gli unici casi di accesso indebito sono stati quelli del ricorrente, né sulla base del rilievo che l´accesso indebito sarebbe stato possibile solo ad utenti abilitati al servizio di consultazione on-line del conto corrente che avessero già utilizzato in una precedente sessione le proprie credenziali di autenticazione.

La mera possibilità per i clienti di visualizzare il contenuto di una cartella "gerarchicamente superiore", in assenza sia dell´indicazione specifica del nome del file contenente le informazioni destinate alla visualizzazione, sia della previsione di specifiche credenziali individuali di accesso agli ulteriori dati di terzi, denota un evidente decremento dei necessari livelli di sicurezza del sistema al di sotto della soglia minima di tutela prevista dalla legge.

La descritta configurazione erronea del software di sistema ha configurato, anzitutto, una violazione dell´art. 15, comma 1, della legge n. 675/1996, in quanto non sono state adottate, in relazione al progresso tecnico ed all´esperienza, alla natura dei dati ed alle caratteristiche specifiche del trattamento, misure di sicurezza preventive ed idonee in grado di ridurre il rischio di accesso non autorizzato ai dati personali da parte di terzi (seppur utenti o clienti della banca). Tale omissione può produrre conseguenze sul piano della responsabilità civile (artt. 18 e 29, comma 9, legge n. 675/1996).

L´indebita comunicazione a terzi mediante messa a disposizione o consultazione di dati personali relativi ai correntisti (cfr. la nozione di comunicazione di cui all´art. 1, comma 2, lett. g), della legge cit.) è inoltre contraria ai principi di liceità e correttezza del trattamento (art. 9 legge n. 675/1996) e configura anche una violazione dei doveri relativi al c.d. segreto bancario, inteso come obbligo per la banca di mantenere il legittimo riserbo su operazioni, conti e posizioni concernenti gli utenti dei servizi bancari.

La conoscibilità dei dati in questione ha posto in pericolo i diritti di innumerevoli interessati, a prescindere dal numero degli accessi verificatisi e della concreta utilizzazione abusiva od illecita degli stessi dati.

Il caso di specie assume peraltro speciale rilievo alla luce dell´ evoluzione in atto delle attività bancarie e finanziarie svolte per via telematica, della progressiva introduzione di nuovi servizi di e-banking nei rapporti con la clientela e della connessa sicurezza delle operazioni da compiere.

In questo quadro, in relazione alle misure da intraprendere per porre rimedio alla violazione constatata, va evidenziato alla banca che non è sufficiente adottare le pur necessarie misure di protezione delle cartelle e dei documenti (tramite l´attivazione della funzione di inibizione della visualizzazione del loro contenuto: tipo "no index", per protocolli http), e prevedere una scadenza automatica della sessione di collegamento ai servizi di Internet banking cui l´utente è inizialmente abilitato sulla base delle credenziali di autenticazione. Basti pensare, ad esempio, all´intrinseca debolezza, in termini di sicurezza, delle modalità prescelte dalla banca per creare i file contenenti i prospetti delle operazioni bancarie, i cui nomi, essendo riferibili ai clienti interessati e, in particolare, corrispondenti ai loro numeri di conto corrente, possono essere agevolmente desumibili o ricostruibili da utenti più smaliziati ed esperti (anche attraverso tecniche più sofisticate ed ormai ampiamente diffuse di c.d. file name guessing).

Alla luce di quanto osservato, va segnalata alla banca, ai sensi dell´art. 31, comma 1, lett. c), della legge n. 675/1996, l´esigenza di apportare al trattamento dei dati le modificazioni necessarie per renderlo conforme alle norme vigenti, in particolare all´art. 15, comma 1, della legge n. 675/1996 e al d.P.R. n. 318/1999 e successive modificazioni, tenendo presente quanto già esposto, nonché il contenuto della prescrizione impartita dal Garante con separato provvedimento menzionato nel successivo paragrafo.

In tale contesto, va parimenti segnalata alla banca, ai sensi del medesimo art. 31, comma 1, lett. c), l´opportunità di aggiornare l´analisi dei rischi connessi alla prestazione dei servizi di e-banking e alle prescelte modalità di funzionamento del relativo sistema informativo, in modo da individuare ed adottare preventivamente misure idonee ad assicurare un elevato livello di sicurezza dei dati forniti dai clienti on-line, anche nella prospettiva di quanto previsto dal nuovo Codice sulla protezione dei dati personali (v. gli artt. 33 e ss., l´art. 180 e il disciplinare tecnico in materia di misure minime di sicurezza di cui all´allegato B del d.lg. 30 giugno 2003, n. 196).

Sia per le modifiche necessarie -anche per quelle eventualmente già adottate-, sia per quelle opportune, nei termini predetti, la banca dovrà fornire un idoneo riscontro a questa Autorità, con annessa relazione tecnica, entro il termine che appare congruo fissare al 30 dicembre 2003.


6. Profili penali
In base alle vigenti disposizioni in materia di misure minime di sicurezza, il caso va poi esaminato in relazione agli obblighi penalmente sanzionati di adottare misure minime di sicurezza riferite ai trattamenti di dati personali effettuati con elaboratori accessibili in una rete di telecomunicazioni disponibile al pubblico (art. 3, comma 1, lett. b), d.P.R. n. 318/1999).

In relazione a tali trattamenti di dati, per garantire un livello di sicurezza minimo, la banca era tenuta anche sul piano penale a prevedere l´utilizzo di una o più parole chiave per l´accesso ai dati, da fornire agli incaricati del trattamento, e ad attribuire a ciascun incaricato o cliente abilitato ai servizi di Internet banking un codice identificativo personale per utilizzare l´elaboratore o gli elaboratori accessibili in rete impiegati per effettuare i trattamenti di dati personali (artt. 2, comma 1, lett. a), e 4, comma 1, lett. a) del citato d.P.R. n. 318/1999).

Nel caso in esame, il trattamento di alcuni dati bancari riferiti ad innumerevoli correntisti on line (generati su loro richiesta come specifica funzione per la migliore visualizzazione dei loro estratti conto trimestrali e memorizzati in un´unica cartella intermedia del sistema informativo), è stato effettuato senza la necessaria previsione di una o più parole chiave per accedere a tali dati (da fornire agli incaricati del trattamento) e senza attribuire codici identificativi personali ai soli utenti od incaricati che avrebbero potuto utilizzare l´elaboratore accessibile in rete in relazione al suddetto trattamento di dati.

Tale omissione ha pertanto configurato una violazione penalmente rilevante dell´obbligo di assicurare il livello minimo di sicurezza prescritto dalla legge (v. l´art. 15, comma 2, della legge n. 675/1996 e l´art. 36, comma 1, della stessa legge, come sostituito dall´art. 14, comma 1, d.lg. 28 dicembre 2001, n. 467, nonché i citati artt. 2, 3 e 4, del d.P.R. n. 318/1999).

PER QUESTI MOTIVI, IL GARANTE:

a) segnala a Banca Generali S.p.A., ai sensi dell´art. 31, comma 1, lett. c), della legge n. 675/1996, l´esigenza di apportare le modifiche necessarie ed opportune per conformare il trattamento dei dati alla disciplina in materia di protezione dei dati personali, fornendo un idoneo riscontro all´Ufficio del Garante, entro il 30 dicembre 2003, nei termini di cui in motivazione;

b) dispone la comunicazione all´autorità giudiziaria di copia degli atti, per quanto di competenza in relazione ai profili penali.

Roma, 19 novembre 2003

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli