App di mobile banking raccoglieva dati sensibili dagli smartphone dei clienti: la violazione della privacy costa alla banca una sanzione da 1,5 milioni di euro
Una banca è stata sanzionata per 1,5 milioni di euro a seguito di ripetute violazioni del Gdpr perpetrate attraverso la propria app di mobile banking utilizzata da oltre 400mila clienti.
Secondo quanto comunicato dall’Autorità protezione dei dati personali croata (Azop), l’applicazione della Erste Bank raccoglieva l’elenco completo di tutte le app installate sugli smartphone dei clienti, senza una valida base giuridica e senza che gli utenti fossero informati in modo chiaro e trasparente.
L’intervento del garante croato era scattato dopo la segnalazione di un cliente che aveva notato un comportamento anomalo dell’app di mobile banking, capace di accedere ai dati relativi a tutti i programmi presenti sul suo telefono. Un dettaglio che ha fatto scattare l’allarme e portato all’apertura di un procedimento d’ufficio per sospetto trattamento illecito dei dati personali su larga scala.
Dall’indagine è emerso che in effetti la banca aveva trattato in questo modo i dati personali di 433.922 clienti.
Il software integrato nell’app, destinata a dispositivi Android e Huawei, eseguiva sistematicamente una scansione completa del contenuto dello smartphone, trasferendo poi l’elenco delle applicazioni installate in un database centrale dello stesso istituto.
Per l’Azop si tratta di un’ingerenza grave, eccessiva e ingiustificata nella sfera privata degli utenti.
L’elenco delle app installate sul dispositivo dei clienti, può infatti rivelare informazioni estremamente sensibili, che vanno ben oltre le finalità di sicurezza dichiarate, come informazioni sullo stato di salute, sulle convinzioni politiche o religiose e sull’orientamento sessuale.
Un ulteriore elemento critico riguarda la mancanza di trasparenza della banca. Al momento della sottoscrizione del servizio, gli utenti non ricevevano informazioni chiare su questo specifico trattamento dei dati. Le comunicazioni disponibili erano generiche e non menzionavano affatto la pratica, che secondo l’Autorità è stata condotta di fatto all’insaputa dei clienti.
L’Azop ha inoltre evidenziato la violazione del principio di privacy by design, che impone di limitare il trattamento alle sole informazioni strettamente necessarie. Invece di raccogliere l’elenco completo delle app, la banca avrebbe potuto adottare soluzioni meno invasive, ad esempio limitandosi a verificare la presenza di applicazioni considerate a rischio per la sicurezza.
In una nota ufficiale, Erste Bank ha ribadito che la soluzione applicativa contestata è stata utilizzata esclusivamente per la protezione dei clienti e per la prevenzione delle frodi.
Secondo la banca, il sistema consente di individuare potenziali compromissioni dei dispositivi, tentativi di presa di controllo degli account e accessi non autorizzati da parte di terzi.
L’istituto sottolinea che solo negli ultimi 12 mesi, grazie a questo strumento, sarebbero stati prevenuti circa 1.100 tentativi di frode, per un valore potenziale di circa 2 milioni di euro.
Erste Bank afferma inoltre di aver operato nel rispetto di tutte le normative vigenti in materia di sicurezza e protezione dei dati personali, e giudica la sanzione e la mancata considerazione dei benefici di tali misure in forte contrasto con gli obiettivi che le normative di settore pongono alle istituzioni finanziarie, annunciando che utilizzerà tutti i rimedi legali disponibili per tutelare i propri interessi e dimostrare di aver agito in modo corretto, e in buona fede, con l’unico obiettivo di proteggere i propri clienti. La banca ha 30 giorni di tempo per presentare ricorso davanti al tribunale amministrativo competente.
