NEWS

Dismissione non adeguata dei server della banca, sanzione da 60 milioni di dollari per Morgan Stanley

Negli Stati Uniti l'Office of the Comptroller of the Currency ha annunciato di aver inflitto una sanzione da 60 milioni di dollari a Morgan Stanley, adottata dal regolatore a seguito di violazioni verificatesi dopo che la banca aveva dismesso alcuni data center utilizzati nella propria attività di gestione patrimoniale.

I dati dei supporti da dismettere devono essere cancellati in modo sicuro


Le violazioni imputate a Morgan Stanley riguardano un primo evento accaduto nel 2016, quando la società esterna responsabile dell'eliminazione dei dati dai data center della banca destinati alla dismissione aveva successivamente informato Morgan Stanley che su alcuni dispositivi potevano essere rimaste informazioni personali dei clienti non crittografate, e poi un secondo evento nel 2019 quando il produttore di un server informatico sostituito in una delle filiali della banca aveva comunicato che, nonostante la procedura di eliminazione, sul disco rigido del dispositivo disattivato avrebbero potuto permanere i dati dei clienti a causa di un difetto del software.

I dati personali a rischio includevano presumibilmente i numeri di previdenza sociale, il valore patrimoniale e le informazioni economiche sugli investimenti e sulle partecipazioni, le informazioni di contatto e numeri di passaporto di circa 100 clienti.

Dopo che la banca aveva inviato delle lettere ai clienti e al procuratore generale della California per informarli dei data breach, lo scorso luglio era partita una class action nei confronti di Morgan Stanley, che però respingeva gli addebiti, affermando di aver “costantemente monitorato la situazione senza rilevare alcuna attività non autorizzata correlata alla questione, né accesso o uso improprio delle informazioni personali dei clienti”.

Tuttavia, come riporta il Wall Stree Journal, nei giorni scorsi l'Office of the Comptroller of the Currency ha reso noto di aver multato Morgan Stanley per 60 milioni di dollari per non aver controllato adeguatamente la disattivazione dei data center, esponendo così i clienti alla violazione della loro privacy con rischio di frodi, furto di identità, nonché la messa in vendita delle loro informazioni personali nel Dark Web.

Spesso i dati personali possono essere recuperati anche dopo la normale procedura di cancellazione

Garantire la cancellazione totale dei dati da dispositivi come hard disk e server può essere complicato e spesso richiede attrezzature specialistiche. La National Security Agency, ad esempio, richiede che le unità solide contenenti informazioni classificate debbano essere disintegrate in particelle di lunghezza non superiore a due millimetri oppure completamente incenerite, e per questo le banche ed altre aziende che devono smaltire dispositivi contenenti dati riservati decidono spesso di avvalersi di fornitori esterni specializzati. Ciò non esenta però i titolari dalle responsabilità di vigilare sulla corretta esecuzione delle procedure di smaltimento.

In Italia, fin dal 2008 il Garante per la protezione dei dati personali si è interessato di questo tema pubblicando anche delle istruzioni pratiche per una cancellazione sicura dei dati, in cui vengono indicate le principali modalità per effettuarla, tra cui la distruzione fisica irreversibile del supporto attraverso metodi che garantiscono che sia impossibile ricostituire il supporto stesso, come la triturazione, oppure la smagnetizzazione del supporto attraverso uno specifico macchinario denominato “degausser”, o attraverso una serie di sovrascritture dell’intero hard disk tramite apposite tecniche di “data wiping”.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Analisi del sangue su fogli Excel, dati sanitari di milioni di pazienti trovati online senza nessuna protezione

Il Data Protection Officer

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy