Proprio come in Pinocchio. Nella storia di Collodi il Giudice Gorilla mise in prigione il povero burattino colpevole di essersi fatto rubare i cinque fiorini d’oro donati da Mangiafoco; la cosa potrebbe ripetersi e i danni per la “vittima” potrebbero essere ben più gravi.

Il recente caso delle migliaia di accessi abusivi ai conti correnti di personaggi molto noti e importanti da parte del dipendente di una banca pone interessanti spunti di riflessione per le aziende, oltre a inquietanti interrogativi nel caso specifico.
Per questi ultimi relativi a mandanti, complotti, servizi segreti o interventi della Banda Bassotti rimandiamo ad altre sedi. Qui dobbiamo occuparci del ruolo della banca e delle sue obiettive gravissime responsabilità.

Il caso

L’istituto di credito, infatti, avrebbe dovuto garantire la protezione di queste informazioni. Il punto centrale è che, in un contesto regolato dal GDPR, la banca non solo ha mancato di vigilare adeguatamente, ma ha permesso che il comportamento illecito si reiterasse senza intervenire tempestivamente.
Da quanto emerge dalla stampa, il dipendente, infatti, avrebbe effettuato ripetuti accessi a dati sensibili senza autorizzazione o, comunque, senza che vi fosse una necessità per le proprie mansioni.
Già da questa banale osservazione emerge come la banca non avesse messo in essere misure di sicurezza e sistemi di controllo che impedissero accessi non autorizzati.

La mancata vigilanza della banca è evidente: un sistema di sicurezza efficace avrebbe dovuto rilevare subito gli accessi anomali e intervenire, invece di permettere migliaia di violazioni indisturbato. Il fatto che il comportamento illecito sia stato reiterato nel tempo dimostra che i controlli erano insufficienti o del tutto assenti.

Approfondisci > Come si devono proteggere i dati?

Sempre da quanto emerge dalla lettura delle cronache, è decisamente verosimile che, la banca venga chiamata a rispondere avanti al Garante per quello che sembrerebbe essere l’omesso rispetto l’obbligo di notificare la violazione entro le 72 ore dalla scoperta, come richiesto dal GDPR. È infatti possibile che l’autorità competente non sia stata informata dell’accaduto così come non sembra vi siano state informazioni degli accessi abusivi (e il loro numero) agli interessati che lo hanno appreso dalla stampa.

Per saperne di più > Notifica data breach: l'EDPB aggiorna le linee guida

Purtroppo la popolarità delle persone coinvolte e il morboso interesse che l’opinione pubblica rivolge nei confronti dell’autore, sembra abbia fatto passare in secondo piano il ruolo dell’istituto di credito che, oltre a licenziare il dipendente infedele e chiedergli il risarcimento danni, non è certo esentato dalle proprie responsabilità nei confronti dei clienti e di quelle derivanti dalla sua qualifica di Titolare del trattamento.

Possiamo aspettarci non solo pesanti sanzioni economiche, ma anche l’obbligo di inviare comunicazioni personali a tutti i suoi clienti, oltre a quelli danneggiati.
Tutto ciò è causa di un danno di immagine a dir poco incalcolabile e comporterà la perdita di fiducia da parte dei clienti e degli altri risparmiatori.

Inoltre, ogni cliente i cui dati sono stati compromessi ha diritto di richiedere danni alla banca per la violazione della propria privacy e per il mancato rispetto delle norme di sicurezza. La fiducia dei clienti viene gravemente compromessa quando un’istituzione finanziaria, che dovrebbe essere un baluardo di sicurezza, si dimostra incapace di proteggere adeguatamente le informazioni più sensibili.

Conclusioni

La domanda, a questo punto, dovrebbero farsela tutte le aziende che trattano dati: avete un dipendente infedele o potenzialmente tale? La risposta è sì. Impossibile garantire assoluta fiducia in tutti i dipendenti che potrebbero anche solo spiare i dati dei clienti per pura curiosità (come sembra sostenga l’autore dell’episodio) ma anche per utilizzare questi dati magari offrendoli alla concorrenza.

E se ciò avvenisse, al danno andrebbe ad aggiungersi la beffa di dover letteralmente confessare al Garante le proprie responsabilità e attendere le sue decisioni che, viene da pensare, potrebbero essere decisamente seri. Inoltre è probabile che a tutto ciò si aggiungano controlli sulla regolarità delle procedure, delle lettere di incarico, delle informative e tutta la documentazione che l’istituto deve dare prova di aver predisposto in passato e che l’autore ha violato.

Questo caso è un monito per tutte le aziende: non basta adottare tecnologie di sicurezza avanzate, bisogna vigilare costantemente e applicare protocolli rigidi per evitare che episodi del genere si verifichino. Altrimenti, la responsabilità non può che ricadere su chi avrebbe dovuto proteggere i dati e non lo ha fatto.