Segnalo, dalla newsletter del Garante privacy, il Provvedimento dell'8 febbraio 2024: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9991020.
Le motivazioni per la sanzione, per una violazione avvenuta a ottobre 2018, sono:
- risposte HTTP del sito di home banking con in chiaro nome, cognome, codice fiscale e codice identificativo dei clienti ed ex clienti (peraltro nota a seguito di vulnerability assessment condotto proprio nei giorni in cui subiva l'attacco);
- mancato controllo della robustezza del PIN scelto dall'utente (evitando, per esempio, quelli composti da sequenze di numeri o coincidenti con la data di nascita).
E' stata condannata anche NTT Data perché aveva dato in subappalto il vulnerability assessment, nonostante il subappalto fosse proibito dal contratto con Unicredit.
C'è da meditare.