Dati dei clienti più sicuri e al riparo da accessi non autorizzati
e intrusioni indebite negli istituti bancari. Il Garante privacy ha
fissato le regole alle quali dovranno attenersi banche e Poste
Italiane spa (relativamente all’attività bancaria e finanziaria)
per "blindare" il sistema informativo e garantire un
corretto trattamento dei dati dei correntisti.
Il provvedimento generale tiene conto di numerose istanze pervenute
al Garante, di accertamenti ispettivi effettuati tra il 2008 e il
2010 presso le maggiori banche o gruppi bancari e degli esiti di
una ulteriore attività di rilevazione svolta in collaborazione con
Abi, che ha coinvolto 441 banche. Alcuni clienti, in particolare,
avevano segnalato che i loro dati erano stati oggetto di accessi
indebiti, presumibilmente da parte di dipendenti, e comunicati a
terzi che li avevano poi utilizzati per scopi personali, in genere,
in cause di separazioni giudiziali e in procedure esecutive (ad es.
pignoramenti presso terzi).
In assenza di una normativa che obblighi le banche a tracciare
tutte le operazioni l’Autorità ha ritenuto di prescrivere agli
istituti bancari l’adozione di rigorose misure.
Ogni operazione di accesso ai dati dei clienti (sia che comporti
movimentazione di denaro o sia di semplice consultazione),
effettuata da qualunque figura all’interno della banca, dovrà
essere tracciata attraverso una serie di elementi: il codice
identificativo del dipendente; la data e l’ora di esecuzione; il
codice della postazione di lavoro utilizzata; il codice del cliente
ed il tipo di rapporto contrattuale "consultato" (numero
del conto corrente, fido, mutuo, deposito titoli).
In questo modo la banca saprà sempre chi e quando ha avuto accesso
ad un determinato conto corrente o ha effettuato operazioni. I file
di log di tracciamento delle operazioni, comprese quelle di
semplice consultazione, dovranno essere conservati per un periodo
di almeno 24 mesi.
Le banche, inoltre, dovranno prevedere l’attivazione di alert che
individuino comportamenti anomali o a rischio (es. consultazioni
massive, accessi ripetuti su uno stesso nominativo).
Almeno una volta l’anno la gestione dei dati bancari dovrà
essere oggetto di un’attività di controllo interno da parte
degli istituti, per verificare la rispondenza alle misure
organizzative, tecniche e di sicurezza previste dalla normativa
vigente.
Il controllo, adeguatamente documentato, dovrà essere eseguito da
personale diverso da quello che ha accesso ai dati dei clienti. E
verifiche sulla legittimità e liceità degli accessi,
sull’integrità dei dati e delle procedure informatiche dovranno
essere effettuate anche a posteriori, sia a campione sia a seguito
di allarme.
Alle banche è stato infine raccomandato di comunicare al cliente
eventuali accessi non autorizzati al proprio conto e di rendere
note al Garante eventuali violazioni di particolare rilevanza (per
quantità, qualità dei dati, numero dei clienti).
