Sul caso della violazione della privacy dei clienti della banca non è tutta colpa del dipendente spione
Vincenzo Coviello non verrà dimenticato dagli oltre 3500 clienti che per lui non hanno più segreti, ma nemmeno dalla banca in cui ha lavorato tanti anni con solerzia insuperabile anche più del dovuto.
Dopo l’inevitabile crocifissione mediatica del protagonista palese di questa brutta storia, scrutando l’orizzonte dalle colline del Golgota ci si rende conto che non è lui l’unico colpevole. Torve nubi cariche di responsabilità lasciano prevedere (sulla schedina del Totocalcio poteva essere una “fissa”) che un diluvio universale sta per abbattersi sull’Istituto di Credito i cui sistemi informatici sono stati il palcoscenico solcato acrobaticamente dal piccolo Nureyev capace di volteggiare tra conti, saldi, movimentazioni, prelievi e bonifici.
Intesa San Paolo si dichiara “parte lesa” ma qualcuno ha ragionevolmente l’impressione che possa avere un ruolo diverso nella tragicommedia in corso, lasciando il ruolo della vittima alle migliaia di persone la cui riservatezza è stata violata senza ritegno e più di una volta.
Per capire chi è stato danneggiato basta tener conto che i dati oggetto del contendere non sono di Intesa SanPaolo, ma dei cosiddetti soggetti “interessati”, ovvero quelli cui i dati si riferiscono. La banca – nelle varie fasi del proprio rapporto contrattuale con il cliente – fa sottoscrivere un consenso al trattamento delle informazioni condizionato da una “informativa” in cui sono descritte modalità e finalità delle operazioni che vi saranno svolte e dove è fornita la garanzia della più assoluta riservatezza.
Il cosiddetto titolare del trattamento si impegna ad adottare idonee misure di sicurezza tecnologiche, organizzative e procedurali.
Nel momento in cui qualcuno riesce a dribblare i meccanismi di protezione si ha l’impressione che qualcosa non abbia funzionato a dispetto dell’impegno formale assunto con l’informativa. La banca curiosamente insiste con il dire che “non c’è stato alcun problema di sicurezza informatica rispetto alla quale Intesa Sanpaolo si colloca nelle migliori posizioni internazionali”, e viene da chiedersi come – a fronte di così elevati livelli di protezione – il signor Coviello abbia potuto scorrazzare nei meandri degli archivi elettronici come un bimbo su uno skateboard al parco.
La disciplina vigente in materia di privacy mette in capo all’Istituto l’obbligo di adottare misure di sicurezza e l’esito di quel che si è verificato sembra sottolineare che le cautele non hanno assolto il compito cui erano destinate, recando pregiudizio tutt’altro che trascurabile a chi ha visto frugare tra i suoi risparmi, ritrovando la propria situazione finanziaria e patrimoniale alla mercè di qualche malintenzionato.
L’articolo 82 del Regolamento Europeo 679/2016 (GDPR) dice che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile el trattamento”.
(Nella foto: il Generale Umberto Rapetto)
Nel nostro ordinamento (prima la legge 675/1996 e poi il decreto legislativo 196/2003 in materia di riservatezza dei dati) hanno sempre fatto riferimento all’articolo 2050, quello che nel codice civile fa riferimento alle “responsabilità per l'esercizio di attività pericolose”. Secondo tale norma “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati (computer e reti informatiche rientrano tra questi strumenti, nda), è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.
Il cliente, che sa di rientrare nel novero dei “fortunati” possessori di conto corrente “auscultato” dall’ormai ex dipendente di Intesa Sanpaolo, può giustamente lamentare un trattamento illecito dei suoi dati e pretendere – rivolgendosi al giudice ordinario – non solo l’accertamento di eventuali reati ma pure la definizione del risarcimento dei danni anche morali conseguenti l’accaduto. Il tizio può in quella sede far presente di aver appreso della disavventura che lo riguarda da organi di stampa o da soggetti terzi, a dispetto dell’obbligo sancito dal “Considerando 86” del predetto Regolamento comunitario in materia di riservatezza dei dati personali.
Tale premessa alla disciplina vigente in tema di privacy sottolinea che “Il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie”. Quel “senza indebito ritardo” non pare esser stato rigorosamente rispettato, perché molti sembrano aver saputo del misfatto solo sfogliando i giornali, vedendo i TG o ascoltando la radio….
Lo stesso Garante per la protezione dei dati personali che dovrebbe essere destinatario di formale notifica dell’avvenuta violazione della riservatezza entro 72 ore dalla sua scoperta sembra non esser stato oggetto di particolare sollecitudine da parte di Intesa Sanpaolo. La banca, infatti, il 9 maggio 2024 aveva tale certezza di certe azioni illecite al punto di licenziare il dipendente infedele, ma i suoi tre giorni di tempo per informare l’Autorità Garante sono durati ventitré volte tanto, perché il modulo di comunicazione è stato inviato solo dopo sessantanove giorni il 21 agosto (sommando anche questa infrazione alle altre che potrebbero già gravare).
A voler proprio essere puntigliosi si potrebbe dire che Intesa Sanpaolo avrebbe violato anche la legge 231 del 2001, ossia la norma che stabilisce la responsabilità amministrativa delle persone giuridiche e che indica una serie di procedure aziendali mirate ad assicurare la prevenzione di certi reati – compiuti dai dipendenti nelle rispettive mansioni – per i quali una azienda può essere ritenuta responsabile.
La “231” fra l’altro è stata irrobustita dalla recente legge 28 giugno 2024 n° 90 in materia di “Cybersicurezza”, che ha apportato modifiche all’articolo 24-bis “Delitti informatici e trattamento illecito di dati” determinando un significativo aumento delle sanzioni pecuniarie.
Probabilmente le sorprese sono destinate a non conoscere interruzione e la clientela vive questi momenti con comprensibile apprensione. Quel che si è appena letto può essere una bussola per orientarsi e magari lo spunto per rivolgersi ad un legale di fiducia per far valere i propri diritti e per ottenere il giusto ristoro per ansie, fastidi e disagi che sono stati costretti a patire.
Un’ultima osservazione. È curioso come, nonostante l’imperturbabile ostinazione nel sostenere che la vicenda non abbia connotazione informatica, la banca abbia strombazzato ai quattro venti di aver appena nominato un Generale dei Carabinieri con il ruolo di Chief Information Security Officer per blindare i propri sistemi.
di Umberto Rapetto (fonte: Il Quotidiano del Sud)