Perché, anche se non si tratta di un attacco informatico, si può parlare di data breach +Rpt+
Il GDPR è molto esplicito da questo punto di vista: se i dati non sono accessibili per 48 ore, si può configurare questo tipo di ipotesi (e ne va data comunicazione al Garante)
10/04/2024 di Gianmichele Laino
Siamo abituati – effettivamente – a un concetto un po’ diverso di data breach. In un’epoca in cui conviviamo quasi quotidianamente con attacchi hacker, con violazioni di sistemi, con operazioni di phishing su larga scala, sembra quasi meno rilevante il mancato accesso a un portale e ai propri dati personali per un periodo di tempo di diverse ore. Invece, il GDPR – il regolamento europeo per la tutela dei dati personali – prevede la definizione di data breach anche per circostanze come queste. Una delle previsioni di data breach, infatti, viene descritta come «l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware». In presenza della comunicazione ufficiale di Banca Sella, in cui si spiega che i suoi servizi digitali non sono stati accessibili a causa di un problema tecnico legato a una manutenzione ordinaria, possiamo quindi a ragione assimilare questa circostanza all’impossibilità di accedere ai dati per cause accidentali.
LEGGI ANCHE > Le 48 ore da incubo per i clienti di Banca Sella
Data Breach, la definizione secondo il GDPR
A mettere in evidenza questo aspetto è stato – tra gli altri – il DPO Christian Bernieri, su Twitter/X:
Info su questo evento:
La inaccessibilità e la indisponibilità dei dati per 48 ore implica per gli utenti un danno non rimediabile e configura una data breach. @GPDP_IT dovrà ricevere una notifica entro 72 ore. https://t.co/H1dD4QfC2i
— Christian Bernieri – DPO (@prevenzione) April 9, 2024
Il riferimento è all’articolo 33 del GDPR. Il titolare del trattamento dei dati personali (e questa è già una previsione dell’art. 32) deve garantire la capacità di ripristinare tempestivamente la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Nel 33, invece, si sottolinea come lo stesso titolare del trattamento debba notificare all’autorità di controllo la violazione di dati personali (data breach) entro settantadue ore dal momento in cui ne viene a conoscenza. Dal 2021, il Garante della Privacy italiano (che è l’autorità competente per questo scopo nel nostro Paese) ha dato il via a una apposita procedura telematica da effettuare proprio sul portale del Garante.
È verosimile immaginare, dunque, che Banca Sella, nei prossimi giorni, possa comunicare al Garante le motivazioni per le quali i dati non sono stati accessibili per circa 48 ore. E – magari – si potrà capire anche qualcosa in più sulla natura tecnica del problema che ha impedito, per ore, di non poter utilizzare, tra le altre cose, i sistemi di pagamento dell’istituto di credito.
** LA NOTA DI BANCA SELLA DEL 12 APRILE 2024 **
Il gruppo Sella comunica che nella tarda serata di ieri sono stati risolti anche gli ultimi rallentamenti e interruzioni nei servizi online (app e Internet banking). I tecnici hanno ripristinato la piena operatività dei servizi che avevano avuto problemi a causa di un inconveniente interno di natura informatica, riscontrato successivamente ad un aggiornamento del sistema operativo e del “firmware” avvenuto nel corso dello scorso fine settimana e che aveva comportato una situazione di instabilità. Sono in corso ulteriori test da parte dei tecnici.
I servizi della banca (saldi, movimenti, disponibilità della carta, etc.) hanno sempre continuato a funzionare regolarmente e le succursali hanno prolungato l’orario di apertura per dare il massimo supporto possibile ai clienti. Le carte di pagamento funzionano correttamente.
Il gruppo Sella, nello scusarsi per il disservizio e i disagi causati, assicura fin d’ora che verranno valutate tutte le situazioni e rimborserà i clienti che hanno subito eventuali danni causati direttamente dai problemi tecnici di questi giorni.
[Contenuto aggiornato il 12 aprile con la nota diffusa da Banca Sella]