PRIVACY. Banche e Poste, dal Garante nuove regole per proteggere i dati dei correntisti

Da oggi i consumatori italiani possono stare più tranquilli rispetto ai propri dati in banca: il Garante Privacy ha fissato le regole alle quali dovranno attenersi banche e Poste Italiane spa (relativamente all’attività bancaria e finanziaria) per "blindare" il sistema informativo e garantire un corretto trattamento dei dati dei correntisti.

Il provvedimento arriva dopo numerose istanze giunte al Garante, di accertamenti ispettivi effettuati tra il 2008 e il 2010 presso le maggiori banche e in seguito ai risultati di un’ulteriore attività di rilevazione svolta su 441 banche in collaborazione con Abi. Alcuni clienti hanno segnalato che i loro dati sono stati oggetto di accessi indebiti, presumibilmente da parte di dipendenti, e comunicati a terzi che li hanno poi utilizzati per scopi personali, in genere, in cause di separazioni giudiziali e in procedure esecutive (ad es. pignoramenti presso terzi). In assenza di una normativa che obblighi le banche a tracciare tutte le operazioni l’Autorità ha ritenuto di prescrivere agli istituti bancari l’adozione di rigorose misure.

Ogni operazione di accesso ai dati dei clienti, sia per movimentazione di denaro, sia per semplice consultazione, effettuata da qualunque figura all’interno della banca, dovrà essere tracciata attraverso una serie di elementi: il codice identificativo del dipendente; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; il codice del cliente ed il tipo di rapporto contrattuale "consultato" (numero del conto corrente, fido, mutuo, deposito titoli).

In questo modo la banca saprà sempre chi e quando ha avuto accesso ad un determinato conto corrente o ha effettuato operazioni. I file di log di tracciamento delle operazioni, comprese quelle di semplice consultazione, dovranno essere conservati per un periodo di almeno 24 mesi. Le banche, inoltre, dovranno prevedere l’attivazione di alert che individuino comportamenti anomali o a rischio (es. consultazioni massive, accessi ripetuti su uno stesso nominativo).

Almeno una volta l’anno la gestione dei dati bancari dovrà essere oggetto di un’attività di controllo interno da parte degli istituti, per verificare la rispondenza alle misure organizzative, tecniche e di sicurezza previste dalla normativa vigente. Il controllo dovrà essere eseguito da personale diverso da quello che ha accesso ai dati dei clienti. E verifiche sulla legittimità e liceità degli accessi, sull’integrità dei dati e delle procedure informatiche dovranno essere effettuate anche a posteriori, sia a campione sia a seguito di allarme. Le banche, infine, dovranno comunicare al cliente eventuali accessi non autorizzati al proprio conto e di rendere note al Garante eventuali violazioni di particolare rilevanza (per quantità, qualità dei dati, numero dei clienti).

 

Comments are closed.