La banca o la finanziaria non possono far conoscere a familiari, colleghi di ufficio o vicini di casa di un debitore la situazione di insolvenza in cui versa. Un simile comportamento, tenuto a volte per esercitare indebite pressioni sul debitore e conseguire il pagamento della somma dovuta, viola il principio di liceità nel trattamento dei dati personali. Lo ha ribadito il Garante per la privacy nell’ordinare ad una finanziaria il pagamento di una sanzione di 10mila euro per aver inviato sms al coniuge di un cliente in ritardo con i pagamenti.
Mail contenenti i dati personali dei clienti inviate per sbaglio ad altri clienti, invio errato di sms di addebito per bonifici mai effettuati, spedizione di documenti bancari tramite WhatsApp ai destinatari sbagliati, spedizione ripetuta di messaggi pubblicitari nonostante l’opposizione dei clienti, procedure interne che finiscono per ostacolare l’esercizio dei diritti, e pure la profilazione senza consenso degli utenti dell’home banking per analizzare quanto usavano la stampante per riprodurre gli estratti conto. Questi sono alcuni dei motivi che hanno generato le più recenti sanzioni inflitte dalle autorità per la protezione dei dati personali agli istituti bancari.
Basta un messaggio istantaneo per avvisare che si sta per essere segnalati per non avere pagato le rate di finanziamento per l'acquisto di un bene di consumo. E sui cattivi pagatori scatta l'oblio al massimo dopo 5 anni dalla scadenza del contratto. Mentre ogni due anni bisogna fare il tagliando agli algoritmi usati per dare un voto ai debitori.
Interessante decisione dell'ABF, che sembra discostarsi per alcuni aspetti dalla prevalente giurisprudenza del suddetto organismo in un caso di frode, denominato "caller Id spoofing", emessa in data 5 maggio 2021. Un correntista di una primaria banca italiana venne contattato dal numero verde della banca stessa, ma non riuscì a prendere la chiamata. Pochi minuti dopo, venne contattato da un numero di cellulare sconosciuto. Egli rispose quindi al telefono e chi chiamava si identificò come operatore della banca, comunicandogli che stava avvenendo una operazione di hackering ai suoi danni, per cui lo sollecitava a rispondere alla chiamata del numero verde della banca. Il cliente riagganciava e il numero verde della banca richiamò immediatamente.
In seguito al decesso di un signore decisamente abbiente si apriva la successione testamentaria dalla quale risultava istituita quale erede la figlia di primo letto mentre la parte disponibile veniva attribuita alla moglie di seconde nozze. Successivamente la figlia veniva a conoscenza dell'esistenza di diverse polizze vita sottoscritte dal de cuius in favore di terzi beneficiari, e di altre ancora intestate a terzi, stimando il valore complessivo di tali investimenti in circa sei milioni di euro.
Quando si riceve un'email apparentemente proveniente dalla banca, in cui viene fatto credere al malcapitato destinatario che il proprio conto corrente sarebbe stato bloccato con la richiesta di effettuare l'accesso al web banking digitando le proprie password o di cliccare su un link, la maggior parte delle volte si tratta in realtà di tentativi di frode ad opera di hacker che cercano di carpire le credenziali degli utenti mediante campagne di phishing.
Oltre al notaio, anche la banca è tenuta a verificare l'esatta identità del proprio cliente che stipula il mutuo. E non può invocare l'omesso o superficiale accertamento da parte del notaio come esimente o attenuante della propria responsabilità. Lo ha affermato la Terza sezione civile della Cassazione, con l’ordinanza 27599/2019, depositata il 29 ottobre.
Da tempo le autorità garanti europee, EDPB e EDPS, si pongono il tema dei problemi connessi all’uso dell’Intelligenza Artificiale e al trattamento dei dati, in particolare dei dati personali. Non a caso tanto lo EDPS quanto lo EDPB hanno già ripetuto in più occasioni la illiceità della raccolta e del trattamento tramite AI di dati biometrici, considerando questi trattamenti vietati in ragione dei rischi che comportano per la tutela dei diritti delle persone nell’ambito della Carta dei diritti fondamentali della UE.
Finastra, una società multinazionale che fornisce soluzioni tecnologiche a banche di tutto il mondo ha dichiarato di aver dovuto fermare tutti i propri principali servizi a seguito di una violazione della sicurezza. A renderlo noto è stata la stessa società, che inizialmente non aveva menzionato la causa dell'interruzione, ammettendo poi di aver subìto un attacco ransomware:
Il presente contributo prende spunto dalla prassi di rivolgere agli istituti di credito istanze di accesso informativo/documentale indifferentemente ai sensi dell'art. 15 del Regolamento UE 2016/679 (una sorta di successore universale dell'art. 7 del Codice della privacy ante-riforma) e dell'art. 119 della legge 385 del 1 settembre 1993 (Testo Unico delle leggi in materia bancaria e creditizia).
