Perché le password condivise sono costate 400.000 € a una banca spagnola

Immaginate di entrare in un caveau di massima sicurezza, solo per scoprire che ogni dipendente utilizza esattamente la stessa chiave fisica. Se sparisce una mazzetta di contanti, come si fa a determinare chi ha aperto la porta? Questo non è il colpo di scena di un film d'azione; è la realtà digitale che ha portato l'Agenzia Spagnola per la Protezione dei Dati (AEPD) a infliggere a Unicaja Banco una multa di 400.000 €.

Al centro di questo caso c'è un cedimento fondamentale in quello che chiamiamo controllo degli accessi. Nel mondo della cybersicurezza, il controllo degli accessi è il buttafuori digitale che decide chi può vedere cosa. Per Unicaja, il buttafuori era essenzialmente addormentato al suo posto, permettendo a più operatori di accedere a filmati sensibili di videosorveglianza utilizzando credenziali condivise e generiche.

Il fantasma nella macchina

Quando l'AEPD ha indagato sulle pratiche di sorveglianza della banca, ha scoperto una vulnerabilità sistemica. Invece di assegnare a ogni addetto alla sicurezza un nome utente e una password univoci — una pratica nota come account nominativi — la banca si affidava a login condivisi. In un contesto normativo, questo è un peccato capitale. Se cinque persone usano il login 'Security_Admin', la banca perde ogni tracciabilità.

La tracciabilità è la scia di briciole che permette a un'organizzazione di ricostruire chi ha effettuato l'accesso ai dati personali, quando lo ha fatto e cosa ha guardato. Senza di essa, la banca non poteva dimostrare che le persone che guardavano le telecamere fossero autorizzate a farlo in quel preciso momento. Secondo il GDPR, i dati sono un asset tossico se non gestiti con estrema cura; i filmati dei cittadini sono particolarmente sensibili perché catturano comportamenti, movimenti e identità in spazi pubblici e privati.

Il mito del responsabile del trattamento "senza mani"

Uno degli aspetti più interessanti di questa sentenza è il modo in cui gestisce il rapporto tra un 'Titolare del trattamento' (la banca) e il suo 'Responsabile del trattamento' (la società di sicurezza esterna). In parole povere, il Titolare è il capo che decide perché i dati vengono raccolti, e il Responsabile è l'appaltatore assunto per svolgere il lavoro effettivo.

Unicaja ha sostenuto che la società di sicurezza fosse responsabile dell'implementazione tecnica del sistema di sorveglianza. Tuttavia, l'AEPD non ha accettato questa tesi. Agli occhi della legge, il Titolare è il capitano della nave. Si può delegare il compito di timonare, ma non si può delegare la responsabilità di mantenere la rotta. Unicaja non ha supervisionato il suo responsabile, firmando essenzialmente un contratto e poi voltandosi dall'altra parte mentre l'appaltatore utilizzava metodi di accesso obsoleti e insicuri.

La conformità come bussola, non come lista di controllo

Questa sanzione da 400.000 € serve come severo monito: la conformità non è un compito "imposta e dimentica". È un processo continuo di navigazione. L'AEPD ha concesso a Unicaja tre mesi per revisionare l'intero approccio alla sicurezza video. Non si tratta solo di cambiare le password; si tratta di ricostruire le fondamenta della loro architettura della privacy.

Per diventare conforme, la banca deve implementare diverse misure robuste:

• Identificazione individuale: Ogni singola persona con accesso al flusso video deve avere un account univoco e nominativo.
• Controllo degli accessi basato sui ruoli (RBAC): L'accesso deve essere granulare. Una guardia junior potrebbe aver bisogno di vedere i flussi in diretta, ma solo un manager senior dovrebbe essere in grado di esportare o eliminare i filmati registrati.
• Registrazione completa (Logging): Il sistema deve registrare automaticamente ogni accesso, disconnessione e accesso ai file, creando un audit trail permanente e a prova di manomissione.

Lezioni dal taccuino del detective digitale

Come persona che passa le giornate a sezionare violazioni di dati e documenti normativi, vedo questo schema frequentemente. Le organizzazioni spesso vedono la privacy come un ostacolo burocratico piuttosto che come un diritto umano fondamentale. Investono milioni in caveau fisici ma lasciano la "porta sul retro" digitale spalancata con una password condivisa scritta su un post-it.

Nel mio lavoro, tratto ogni dato come se fosse uranio. È potente e necessario, ma se non si dispone dei giusti protocolli di schermatura e contenimento, alla fine fuoriuscirà e causerà danni significativi. Per Unicaja, la fuga non è stata opera di un hacker dall'altra parte del mondo; è stato un fallimento sistemico nel rispettare le impronte digitali dei propri dipendenti e clienti.

Come controllare il proprio "Caveau Digitale"

Che gestiate una piccola impresa o una multinazionale, il caso Unicaja offre lezioni pratiche per rimanere dalla parte giusta della legge:

1. Eliminate l'account generico: Se il vostro team condivide un login per qualsiasi sistema contenente dati personali (email, CRM, CCTV), disabilitatelo oggi stesso.
2. Verificate i vostri fornitori: Non date per scontato che i vostri fornitori di software o appaltatori di sicurezza siano conformi. Richiedete i log di audit e le prove dei loro protocolli di sicurezza.
3. Il principio del privilegio minimo: Date alle persone solo la quantità minima di accesso necessaria per svolgere il proprio lavoro. Se non hanno bisogno di scaricare dati, rimuovete il pulsante 'Download' dalla loro interfaccia.
4. Revisionate la traccia: Controllate periodicamente i log di accesso. Se vedete un login alle 3:00 del mattino da parte di un dipendente che lavora solo nei turni diurni, avete trovato un segnale d'allarme prima che diventi una multa.

In definitiva, la privacy by design è la fondamenta di una casa. Se le fondamenta sono incrinate — se non potete nemmeno dire con certezza chi sta guardando i vostri dati — l'intera struttura è precaria.

Fonti

• Regolamento generale sulla protezione dei dati (GDPR), Articolo 5(1)(f) (Integrità e riservatezza) e Articolo 32 (Sicurezza del trattamento).
• Legge organica spagnola 3/2018 (LOPDGDD) sulla protezione dei dati personali.
• Decisione AEPD PS/00392/2023 riguardante Unicaja Banco S.A.

Disclaimer
Questo articolo è fornito solo a scopo informativo e giornalistico. Non costituisce consulenza legale. Per una guida specifica sul rispetto delle normative sulla privacy, si prega di consultare un professionista legale qualificato.