Provvedimento dati bancari

Il provvedimento dell’autorità Garante della Protezione dei dati personali del 12 maggio 2011 (cfr Provv. 192 del 12/05/11, G.U. 127 del 03/06/11) introduce nuove prescrizioni per il mondo bancario per quanto riguarda l’accesso ai dati bancari della propria clientela.

Il provvedimento si applica a tutte le banche e gruppi bancari, a tutte le società facenti parte di tali gruppi bancari che possono accedere ai dati della clientela e a Poste Italiane.

L’obiettivo dell’autorità è quello di introdurre nuove forme di garanzia per la clientela mirate a proteggere le informazioni anche dalla semplice consultazione quando non autorizzata o non legata a reali necessità operative. Questo intervento dell’autorità segue una serie di reclami, segnalazioni e lamentele giunte al Garante in relazione alla divulgazione indebita, verosimilmente anche da parte dei dipendenti degli istituti bancari, di informazioni personali e patrimoniali a soggetti terzi che le avrebbero poi utilizzate per  finalità diverse da quanto previsto dai trattamenti bancari e per produzione in giudizio (es: azioni di pignoramento, ecc.). Tale fenomeno ha suggerito la necessità di imporre misure tecniche e organizzative che possano consentire di prevenire e individuare accessi anomali ai dati dei correntisti e dei clienti delle banche e che possano consentire verifiche e controlli a posteriori sugli accessi ai dati effettuati anche per sola consultazione (c.d. inquiry).

Il Garante ha osservato che i sistemi di controllo delle banche erano configurati correttamente per vigilare sulle attività dispositive sui conti correnti, con adeguati strumenti di controllo e allarme ma non permettevano di risalire (o lo permettevano per periodi di tempo troppo ristretti) alle informazioni su chi avesse semplicemente consultato i dati patrimoniali e finanziari della clientela.

I log di accesso a tali informazioni erano o assenti o non venivano raccolti o – anche quando venivano raccolti – non erano conservati per periodi di tempo adeguati a evidenziare eventuali trattamenti illeciti.

Il provvedimento mira quindi a rendere verificabile l’attività degli operatori attraverso alcune misure che possiamo sintetizzare in breve:

  1. il tracciamento degli accessi degli operatori ai dati (qualora non siano dati aggregati in forma anonima) registrando il codice identificativo dell’utente, la data e l’ora, il codice della postazione di lavoro utilizzata, il codice del cliente, la tipologia di rapporto contrattuale cui l’accesso si riferisce (ad es conto corrente/fido/mutuo/deposito titoli etc).

I sistemi Securelog sono in grado di gestire la raccolta e la trasmissione in real time del log appena esso viene generato dalla fonte, questo sia nel caso di log generati da applicazioni, che log immagazzinati su database o log emessi da sorgenti syslog.

  1. Il provvedimento impone che i log siano conservati per un periodo non inferiore a 24 mesi.

I sistemi Securelog sono in grado di gestire la retention dei dati in maniera del tutto automatica. Ogni log raccolto da una fonte può avere una retention diversa e il sistema provvederà automaticamente a cancellare i dati più vecchi, senza necessità di alcun intervento amministrativo. Anche nel caso di raccolta dalla stessa sorgente di diverse tipologie di log che richiedano retention diversificate (esempio: log di accesso bancari da conservare per 24 mesi, log di accesso amministrativi da detenere per 6 mesi, log di attività dispositive da detenere per 10 anni, ecc.) il sistema Securelog potrà gestire ogni tipo di dato per il tempo necessario in maniera del tutto automatica.

  1. Il provvedimento richiede inoltre l’attivazione di allarmi che segnalino accessi anomali o a rischio  degli operatori alle informazioni bancarie della clientela (anche in sola consultazione).

Il sistema Securelog ha al suo interno un sistema completo di allarmistica che – oltre a segnalare interruzioni o modifiche ai file di log monitorati – può attivare allarmi sulla base del contenuto dei log stessi.

Oltre alle misure tecniche appena descritte, il provvedimento comprende anche disposizioni di tipo organizzativo sulla circolazione delle informazioni all’interno delle banche e dei gruppi bancari e la circolazione delle informazioni tra le banche e i soggetti che gestiscono i sistemi informativi contenenti dati bancari della clientela.

Le funzionalità indicate sono solo una piccola parte di quelle presenti nei sistemi Securelog, che rappresentano soluzioni complete per la gestione di tutti i file di log sia per finalità di compliance che per finalità commerciali o di auditing interno.

La soluzione Securelog rappresenta quindi una soluzione completa per questo provvedimento.