skip to Main Content
Sanzione Di € 180.000 Per Violazione Della Sicurezza Dei Dati Dei Clienti, ASSICURAZIONE ATTIVA

Sanzione di € 180.000 per violazione della sicurezza dei dati dei clienti, ASSICURAZIONE ATTIVA

Nel giugno 2018, il CNIL ha ricevuto un rapporto da un cliente dell’azienda che indicava che, dal suo account, era stato in grado di accedere ai dati personali di altri clienti.

Un controllo online ha rivelato che gli account dei clienti dell’azienda erano accessibili tramite collegamenti ipertestuali referenziati su un motore di ricerca. I documenti e i dati dei clienti erano accessibili anche modificando i numeri alla fine degli URL visualizzati nel browser. Questi documenti includevano copie di patenti di guida, carte di registrazione, documenti di identità bancari e documenti per determinare se una persona fosse stata oggetto di un ritiro della patente o di un incidente.

Lo stesso giorno, il CNIL ha avvisato l’azienda della mancanza di sicurezza e della conseguente violazione dei dati, chiedendole di porre rimedio a ciò.

Qualche giorno dopo, la compagnia informò il CNIL che erano state prese delle misure. È stata quindi effettuata un’ispezione in loco presso la sede dell’azienda. È stato riscontrato che:

  • le misure adottate non erano sufficienti ;
  • le password di accesso allo spazio personale, che il formato è stato imposto dalla società, corrispondevano alla data di nascita dei clienti, questo formato è indicato anche nei moduli di accesso;
  • dopo la creazione del loro account, il nome utente e la password di connessione sono stati trasmessi ai clienti via e-mail e menzionati chiaramente nel corpo del messaggio.

Sulla base delle indagini condotte, la CNIL responsabile dell’imposizione di sanzioni  ha ritenuto che la società avesse violato l’obbligo di garantire i dati personali previsto dall’articolo 32 del regolamento generale sulla protezione dei dati. (RGPD).

La CNIL ha ritenuto che:

  • la società avrebbe dovuto garantire che ogni persona che desiderasse accedere a un documento, avesse il diritto di consultarlo;
  • La SEO dei motori di ricerca avrebbe potuto essere evitata usando ad esempio un file “robot.txt”;
  • l’azienda avrebbe dovuto richiedere agli utenti di utilizzare password più forti e di non trasmetterle tramite posta elettronica chiara.

Di conseguenza, la CNIL ha sanzionato per 180.000 euro e ha deciso di rendere pubblica la sua sanzione. In particolare, ha tenuto conto della gravità della violazione, a causa della natura dei dati e dei documenti in questione (documenti di identità, informazioni relative a violazioni, coordinate bancarie, ecc.). Ha inoltre tenuto conto del numero di persone interessate, in quanto la mancanza di sicurezza ha influito sui conti di diverse migliaia di clienti e persone che avevano risolto il contratto con la società. La CNIL tuttavia, ha tenuto conto anche della capacità di risposta dell’azienda nella correzione della mancanza di sicurezza e della sua cooperazione con i servizi della CNIL.

fonte: CNIL – cnil.fr

Back To Top