UniCredit y el precio de una brecha de seguridad

Quizá no la conozcas, pero UniCredit es la entidad bancaria más grande de Italia. Surgida de la fusión de las entidades Credito Italiano y Unicredito en 1998 y opera con diferentes marcas, divisiones y filiales, además de en su país de origen, en Alemania, Austria, Europa del Este y Reino Unido, lo que sumado a otras operativas extiende su presencia hasta 25 países. Hablamos, por tanto, de un importante grupo, con un gran número de clientes, principalmente en Italia. Unos clientes cuya seguridad se vio comprometida hace unos años.

La filtración tuvo lugar entre abril de 2016 y julio de 2017 y fue notificada a las autoridades italianas a finales de julio de 2017. Como resultado de la violación, se vieron comprometidos los datos personales de más de 700,000 clientes, incluidos los datos de contacto, empleo, formación, detalles de identificación y datos financieros. Dicho de otra manera, una ficha con todo tipo de información (desde dirección postal hasta número de cuenta e historial de pagos e ingresos) de cerca de tres cuartos de millón de clientes.

Tras una larga investigación sobre lo sucedido, la autoridad italiana en lo referido a la protección de datos, Garante per la protezione dei dati personali (conocida popularmente como Garante), ha hecho público que ha impuesto una multa de 600.000 euros a la entidad financiera por varias violaciones del Código de Protección de Datos Personales italiano.

El Garante descubrió que UniCredit no había implementado medidas de seguridad adecuadas y no cumplió con los requisitos marcados por la legislación italiana sobre el seguimiento de las transacciones bancarias. Al determinar el monto de la multa, Garante tomó en cuenta el número de personas afectadas por la infracción, así como el hecho de que el banco había implementado varias medidas de seguridad para fortalecer la seguridad de sus sistemas de TI después de la filtración.

Un punto importante, muy importante de esta sanción, es que aunque se produce en 2020, se refiere a sucesos ocurridos entre 2016 y 2017 y que, por lo tanto, han sido juzgados en base a la legislación vigente en aquel momento. Es decir, que no se ha aplicado el Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR) que, en aquel momento, estaba en su fase final de desarrollo. Y es que, de haber sido así, la sanción para UniCredit habría sido, sin duda, mucho más elevada.

Puedes leer la resolución de Garante sobre la filtración de datos de UniCredit (en italiano) con un click en este enlace.

La entrada UniCredit y el precio de una brecha de seguridad es original de MuySeguridad. Seguridad informática.