IL GARANTE DELLA PRIVACY DETTA NUOVE REGOLE PER GLI ISTITUTI BANCARI

Il sistema bancario italiano oltre che Poste Italiane Spa dovranno attenersi ad istruzioni più ferree volte a tutelare i dati sensibili dei propri clienti. La finalità primaria è quella di mettere al riparo il sistema informatico prevenendo qualsiasi trattamento illecito delle informazioni dei correntisti. A tal proposito il Garante ha predisposto l’obbligo di tracciamento di qualsiasi operazione di accesso ai dati dei clienti (trasferimento di denaro o semplice consultazione) effettuata da qualunque figura interna all’istituto di credito e fornendo alcuni specifici elementi, come il codice identificativo del dipendente la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; il codice del cliente ed il tipo di rapporto contrattuale ”consultato” (numero del conto corrente, fido, mutuo, deposito titoli). In questo modo la banca saprà sempre chi e quando ha avuto accesso ad un determinato conto corrente o ha effettuato operazioni. I file di log di tracciamento delle operazioni, comprese quelle di semplice consultazione, dovranno essere conservati per un periodo di almeno 24 mesi. «Il provvedimento generale tiene conto di numerose istanze pervenute al Garante, di accertamenti ispettivi effettuati tra il 2008 e il 2010 presso le maggiori banche o gruppi bancari e degli esiti di una ulteriore attività di rilevazione svolta in collaborazione con Abi che ha coinvolto 441 banche». Si legge nella comunicazione ufficiale diramata dal Garante: «Alcuni clienti, in particolare, avevano segnalato che i loro dati erano stati oggetto di accessi indebiti, presumibilmente da parte di dipendenti, e comunicati a terzi che li avevano poi utilizzati per scopi personali, in genere, in cause di separazioni giudiziali e in procedure esecutive (ad es. pignoramenti presso terzi)». L’intervento regolativo è stato pianificato allo scopo di garantire sia la sicurezza interna con misure pensate per i funzionari o eventuali insider malintenzionati sia il contenimento di ulteriori danni provocati da intrusioni dall’esterno mediante la notifica dovuta al cliente da parte dell’Istituto di qualsiasi movimento sospetto con un controllo documentato da personale diverso da quello avente accesso ai dati. “ Verifiche sulla legittimità e liceità degli accessi, sull’integrità dei dati e delle procedure informatiche dovranno essere effettuate anche a posteriori, sia a campione sia a seguito di allarme”. Evidentemente il caso di Bank America del maggio scorso, che ha visto più di 300 cittadini Usa vittime di una truffa per importi superiori ai 10milioni di dollari, deve aver fatto scuola.