Finlandia: sanzione da 1,8 milioni di euro a S-Bank per una vulnerabilità di sicurezza nei servizi online

Il Garante finlandese ha imposto una sanzione di 1,8 milioni di euro a S-Bank dopo aver accertato una grave vulnerabilità nei sistemi di autenticazione dell’istituto. L’Autorità ha inoltre emesso un richiamo formale per violazioni delle norme in materia di protezione dei dati personali.

L’indagine trae origine dalla notifica di violazione trasmessa dalla banca nell’agosto 2022. Pochi mesi prima, S-Bank aveva introdotto una nuova modalità di accesso nella propria app: a causa di un errore nel servizio di autenticazione, per oltre tre mesi è stato possibile accedere ai servizi online utilizzando le credenziali di altri clienti. Alcuni utenti sono stati effettivamente colpiti dal data breach e la vulnerabilità ha riguardato una parte significativa della clientela.

L’Autorità ha rilevato che la banca non aveva predisposto controlli adeguati a garantire la sicurezza dei dati. Il nuovo software non era stato testato in maniera sufficiente prima del rilascio e il difetto non era stato individuato. Inoltre, S-Bank non aveva reagito in modo tempestivo alle segnalazioni dei clienti che riportavano anomalie durante l’accesso all’online banking.

Secondo il Garante finlandese, il comportamento della banca ha violato gli articoli 5(1)(f), 25(1), 32(1) e 32(2) del GDPR, relativi ai principi di integrità e riservatezza, alla protezione dei dati fin dalla progettazione e alla sicurezza del trattamento.

Nel determinare l’entità della sanzione, l’Autorità ha tenuto conto della gravità del caso, della necessità di tutelare i diritti degli interessati e di un precedente richiamo rivolto alla banca. È stato inoltre considerato il provvedimento adottato nel maggio 2025 dall’Autorità di vigilanza finanziaria finlandese, che per gli stessi eventi aveva già imposto a S-Bank una multa di 7,67 milioni di euro per carenze nella gestione dei rischi operativi.

Il caso sottolinea, ancora una volta, quanto sia cruciale testare accuratamente nuovi sistemi di autenticazione e rispondere con prontezza ai segnali di malfunzionamento provenienti dagli utenti.