Il Garante per la protezione dei dati personali ha sanzionato con 80.000 euro una grande compagnia assicurativa (premere qui per leggere) per aver comunicato dati sensibili relativi a polizze vita a un indirizzo e-mail fasullo, creato da un truffatore.
Un errore che ha messo in pericolo non solo la privacy della cliente coinvolta, ma anche la fiducia complessiva nel sistema di protezione dei dati delle compagnie assicurative.
La vicenda
Tutto è partito da alcune e-mail inviate tra il 2021 e il 2023. Apparivano legittime: riportavano firma autografa, dati precisi sui versamenti e persino il numero di un libretto postale collegato alle polizze. Gli operatori della compagnia, convinti della genuinità, hanno risposto fornendo informazioni dettagliate e documentazione.
In realtà, quelle richieste provenivano da un soggetto non autorizzato. Solo nel 2024, quando la cliente ha segnalato di non aver mai creato l’indirizzo e-mail utilizzato, la società ha compreso la portata della frode. A quel punto ha bloccato le comunicazioni, avviato verifiche interne e notificato il data breach al Garante, sebbene con ritardo di alcuni mesi.
L’errore chiave
Il problema principale? La mancanza di una verifica certa dell’identità del richiedente.
La cliente non aveva mai registrato un indirizzo e-mail per comunicazioni ufficiali, ma la compagnia ha comunque inviato dati sensibili a un contatto non validato.
Le misure di sicurezza, pur aggiornate negli anni, non hanno retto di fronte a un raggiro ben costruito. Il principio violato è quello della correttezza e integrità del trattamento: prima di condividere dati così delicati, l’identità deve essere provata con strumenti affidabili, non solo sulla base di firme scansionate o dettagli apparentemente credibili.
La decisione del Garante
Il Garante ha ritenuto che la compagnia abbia gestito in modo scorretto i dati della cliente, violando i principi di liceità, correttezza, integrità e riservatezza.
La notifica del data breach è arrivata troppo tardi: quattro mesi dopo il primo campanello d’allarme, quando la legge prevede che avvenga entro 72 ore da quando si ha ragionevole certezza della violazione.
Risultato: una multa da 80.000 euro e la pubblicazione del provvedimento sul sito istituzionale, per rendere nota la gravità del caso.
Cosa insegna questa vicenda
L’episodio manda un messaggio forte al settore finanziario e assicurativo:
- non basta riconoscere una firma o conoscere alcuni dettagli per fidarsi;
- serve una autenticazione robusta per gestire richieste via e-mail, soprattutto quando si tratta di dati patrimoniali;
- i tempi di reazione fanno la differenza: segnalare subito una violazione può mitigare i danni e dimostrare responsabilità.
In gioco non ci sono solo multe, ma la fiducia dei clienti. Quando si parla di risparmi, investimenti o polizze vita, la sicurezza non è un optional.
Sull'autore
