Multa alla National Bank of Greece per violazioni del GDPR a seguito di un data breach

La Hellenic Data Protection Authority ha sanzionato la National Bank of Greece con una multa complessiva di 120.000 euro per gravi violazioni del Regolamento generale sulla protezione dei dati (GDPR). L’episodio ha avuto origine da reclami relativi a un malfunzionamento dell’app mobile “i-bank Pay”, che ha erroneamente collegato il numero di telefono di un cliente al conto bancario di un altro, causando trasferimenti di denaro non intenzionali tramite il servizio “IRIS online payments”.

L’indagine ha rivelato che l’errore era dovuto a una configurazione errata introdotta durante un aggiornamento dell’applicazione mobile nel 2020, con ripercussioni su almeno altri 24 clienti. La banca ha successivamente notificato la violazione all’autorità e implementato misure correttive.

La sanzione è suddivisa in due parti: 100.000 euro per la violazione dei principi di accuratezza, integrità, riservatezza e per la mancata adozione di adeguate misure di protezione dei dati sin dalla progettazione, come previsto dagli articoli 5, 25 e 32 del GDPR; e 20.000 euro per il mancato rispetto del diritto di accesso dei soggetti interessati, ai sensi dell’articolo 15.

L’autorità ha sottolineato l’importanza di una progettazione sicura e di default nei sistemi digitali che trattano dati personali, ribadendo la responsabilità dei titolari nel prevenire errori che possano compromettere la sicurezza degli utenti.

Approfondimenti:

•  Επιβολή προστίμου στην Εθνική Τράπεζα για περιστατικό παραβίασης προσωπικών δεδομένων (Greek)