Punti chiave
Il tema della sicurezza informatica è diventato, specialmente in relazione alla protezione dei dati bancari, di estrema attualità portando, di conseguenza, non solo a una crescita dell’interesse pubblico verso questo argomento ma anche a una evoluzione del relativo sistema normativo, sia a livello nazionale che europeo.
Una tendenza, quella di adottare un sistema di regole più chiaro e meno “generalista”, che si è consolidata nel corso del tempo e che, per quanto concerne la legislazione italiana, ha trovato espressione nella direzione assunta dal Garante per la Protezione dei Dati Personali, sempre più volta da un lato alla semplificazione delle procedure e dall’altro all’adozione di provvedimenti specifici per determinati settori di mercato che, in virtù della loro stessa funzione, sono maggiormente esposti ad attacchi con conseguenze molto più pervasive per i cittadini.
In quest’ottica uno dei provvedimenti di maggiore interesse nell’ambito della protezione dei dati bancari è senza dubbio rappresentato dal Provvedimento del Garante per la protezione dei dati personali in materia di tracciamento degli accessi ai dati bancari (Provvedimento n°192/2011), pubblicato nella Gazzetta Ufficiale n.127 del 3 giugno 2011 (Provvedimento del Garante per la protezione dei dati personali in materia di tracciamento degli accessi ai dati bancari).
Protezione dei dati bancari: di cosa si tratta
Il Provvedimento n.192/2011 ha lo scopo di fornire delle regole di condotta volte a garantire la riservatezza e la sicurezza dei dati bancari (relativamente non solo alla movimentazione di denaro ma anche alla sola consultazione), custoditi e trattati dalle banche, incluse quelle facenti parte di gruppi, da società che, sebbene diverse dalle banche, siano comunque parte di tali gruppi, e da Poste Italiane S.p.a.
Nel definire il contenuto del provvedimento, il Garante ha tenuto conto di una serie di istanze pervenute, al seguito delle quali è stata avviata un’attività ispettiva su tutti i soggetti precedentemente nominati, al fine di accertare l’effettivo indebito accesso a dati personali dei clienti.
Le segnalazioni e i reclami giunti al Garante da parte di singoli cittadini avevano infatti denunciato l’accesso illecito ai propri dati personali perpetrato da alcuni dipendenti delle banche con le quali avevano sottoscritto un rapporto contrattuale. Sempre stando ai reclami, i dati sarebbero stati comunicati a soggetti terzi i quali li avrebbero utilizzati per scopi e finalità personali, con particolare attenzione alla loro utilizzazione “giuridica” ( come nei casi di separazioni, pignoramenti etc.).
L’attività ispettiva svolta dal Garante aveva anche portato a una collaborazione con l’Associazione Bancaria Italiana (ABI), scaturita nella realizzazione di un questionario anonimo il cui obiettivo era quello di accertare lo stato delle scelte organizzative adottate dalle singole banche, coinvolgendo nell’indagine “340 tra banche e gruppi bancari, che fanno complessivamente riferimento a 441 banche operanti sul territorio italiano”.
Protezione dei dati bancari: circolazione dei dati e rapporto tra banca e gestore dei sistemi informatici
A seguito dell’attività istruttoria condotta, erano emersi alcuni chiarimenti in merito a molti aspetti chiavi come la circolazione delle informazioni tra le banche appartenenti a uno stesso gruppo e la circolazione delle informazioni tra le banche e i soggetti incaricati della gestione dei sistemi informatici contenenti i dati bancari dei clienti.
In merito al primo aspetto, si era evidenziato come la circolazione dei dati potesse essere ricondotta a tre tipologie principali, vale a dire la comunicazione dei dati tra filiali dello stesso gruppo, la circolazione dei dati tra filiali della stessa banca e, infine, la circolazione dei dati all’interno di una stessa filiale. Relativamente alle prime due tipologie, si era potuto accertare come esistessero delle sostanziali differenze tra le singole realtà bancarie, mentre solo relativamente alla terza “categoria” si era potuto verificare una certa omogeneità di scelta.
In relazione, invece, ai rapporti tra le banche e i soggetti addetti alla gestione dei sistemi informatici, due erano i sistemi organizzativi principali (individuati anche dall’ABI); gestione interna del sistema informatico ad opera di una società facente parte del gruppo bancario stesso (configurata come soggetto terzo Responsabile o Titolare del trattamento dei dati personali) e gestione esterna, affidata quindi a una società “terza” (outsourcer) designata come “responsabile del trattamento”.
Le molte diversità evidenziate rese necessaria la formulazione di alcune prescrizioni, indirizzate principalmente alla trasmissione dei dati dalla banca o dal gruppo bancario alla società incaricata della gestione del sistema informatico di archiviazione e gestione dei dati stessi.
Sebbene l’esternalizzazione dei sistemi informatici venisse considerata come una libera scelta delle banche, era indispensabile accertare che i soggetti terzi che avrebbero gestito questi dati (senza distinzione tra soggetti interni e soggetti esterni), potessero effettivamente essere considerati come autonomi titolati o se dovessero invece essere designati come “responsabili” del trattamento.
Oltre a individuare con maggior precisione la “funzione” dell’outsourcer, il Garante sottolineava come fosse indispensabile adottare delle ulteriori misure indirizzate a informare in maniera tempestiva l’interessato di operazioni di trattamento illecito dei propri dati e a fornire una informativa con precise indicazioni sulla circolazione dei dati stessi.
In caso di violazioni accertate, sia accidentali che illecite, le banche avrebbero inoltre dovuto informare il Garante.
Protezione dei dati bancari: tracciamento delle operazioni
Relativamente, invece, al tema degli accessi informatici da parte dei dipendenti di una banca ai dati dei clienti, il Garante aveva evidenziato come anche su questo punto esistessero diverse soluzioni adottate dai singoli istituti bancari.
Questi ultimi, infatti, potevano agire con un certo margine di discrezionalità nel dare attuazione a quanto previsto nelle “Disposizioni di vigilanza per le banche in materia di conformità alle norme (compliance)” adottate dalla Banca d’Italia nel 2007.
Tali disposizioni andavano a definire il ruolo e la responsabilità dei vertici delle banche, consideravano la funzione di compliance come parte integrante dei sistemi di controllo interni e ne stabilivano i compiti principali, mentre la disciplina della stessa rientrava in apposite istruzioni emanate dalla Banca d’Italia stessa, in particolare le Istruzioni di vigilanza in materia di “Organizzazione e controlli interni”.
Queste chiedevano alle banche di dotarsi di appositi sistemi di monitoraggio dei rischi, di verificare la sicurezza dei sistemi informativi e di prevedere degli indicatori di anomalie (alert), senza indicare, invece, obblighi relativamente alla tracciabilità delle operazioni bancarie.
Si era, quindi, accertato come la maggior parte degli istituti bancari avesse previsto un sistema di controllo relativamente alle operazioni dispositive, mentre solo una minima parte aveva implementato anche un sistema di tracciabilità in relazione invece alle operazioni di consultazione (si sottolineava inoltre che anche nei pochi casi riscontrati la breve conservazione dei file di log non permetteva di individuare l’accesso a determinati dati da parte di un incaricato).
La situazione evidenziata aveva quindi portato il Garante a formulare l’adozione di determinate misure, indirizzate al tracciamento degli accessi ai dati bancari dei clienti, al tempo di conservazione dei file di log e all’implementazione degli alert, indispensabili per accertare intrusioni o trattamenti illeciti dei dati.
Protezione dei dati bancari: le misure necessarie
Tenendo conto dei risultati dell’indagine ispettiva, ampiamente riassunta nelle premesse del Provvedimento n.192/2011, il Garante ha quindi prescritto una serie di misure indirizzate a tutti i soggetti precedentemente citati, misure il cui scopo è quello di portare a un miglioramento sia sul piano organizzativo che su quello tecnologico.
Tra le misure necessarie citate all’interno del provvedimento rientra in primo luogo la “designazione dell’outsourcer” come responsabile del trattamento dei dati, mentre le banche sono da considerarsi come i titolari unici del trattamento.
In secondo luogo, relativamente al tracciamento delle operazioni, il Garante dispone l’adozione di soluzioni informatiche volti al “controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database”, comprendenti una registrazione in un apposito file log di tutte le informazioni relative a operazioni bancarie su specifici dati (sono quindi escluse le consultazioni in forma aggregata che non sono quindi riconducibili a un solo cliente).
Fondamentale per il Garante è anche incrementare i tempi di conservazione dei file di log, la cui durata deve essere pari ad almeno 24 mesi, e implementare il sistema degli alert per i quali il testo del provvedimento prevede l’adozione da parte delle banche di specifici alert volti a segnalare comportamenti anomali o di rischio.
Nel Provvedimento n.192/2011 tra le misure necessarie si elencano anche la necessità di far confluire i file log negli strumenti di business intelligence, e di redigere con cadenza annuale un rapporto sulla gestione dei dati bancari da parte dei titolari del trattamento.
Sempre in relazione all’audit interno di controllo, nel provvedimento si chiarisce anche la necessità di un controllo da parte di una società o di un personale diverso rispetto a quello a cui è affidato il trattamento, oltre a verifiche a posteriori e a campione su alerting, integrità dei dati, legittimità degli accessi e corretta conservazione dei file di log.
Protezione dei dati bancari: le misure opportune
Nel testo del Provvedimento n.192/2011, il Garante non manca poi di indicare alcune misure opportune tra le quali rientrano l’informativa dell’interessato (ex art. 13 del Codice Privacy), l’informazione tempestiva a quest’ultimo di operazioni di trattamento illecite effettuate sui suoi dati, e di comunicazione tempestiva al Garante nel caso di violazioni accertate e da considerarsi di particolare rilevanza.
Protezione dei dati bancari: i chiarimenti del Garante
Il Garante aveva stabilito che tutti i soggetti interessati avrebbero dovuto dare applicazione alle misure previste entro 30 mesi dalla pubblicazione del provvedimento in Gazzetta Ufficiale (quindi entro il 3 dicembre 2013).
Le banche e gli altri istituti interessati hanno riscontrato degli ostacoli interpretativi e delle difficoltà attuative del provvedimento, richiedendo così tramite l’ABI dei chiarimenti e una proroga dei tempi di attuazione.
Il Garante ha così risposto con il provvedimento n.357 (“Chiarimenti in ordine alla Delibera n.192/2011) fornendo dei chiarimenti sia relativamente al quadro operativo che all’ambito di applicazione del provvedimento 192/2011.
In relazione alle operazioni oggetto delle misure indicate nel Provvedimento, il Garante ha chiarito che sono incluse tutte le operazioni bancarie in senso stretto (con esclusione delle banche depositarie e delle società di assicurazione), mentre per quanto riguarda i dati bancari sono ricompresi “quelli contenuti negli estratti conto, quelli afferenti alle movimentazioni bancarie, le informazioni relative alle operazioni attive e passive e le operazioni effettuate sul conto corrente del cliente, nonché le operazioni richieste dal cliente nell’ambito di prestazioni ed attività connesse ai rapporti contrattuali”.
Infine, l’Autorità Garante ha esteso con i chiarimenti i tempi di adeguazione al provvedimento il cui termine ultimo era stato prorogato al 3 giugno 2014.