La banca di affari Morgan Stanley-Smith Barney, ha accettato di pagare una sanzione da 35 milioni di dollari come risarcimento per la mancata protezione dei dati personali di circa 15 milioni di suoi clienti.
A riferirlo è la Securities and Exchange Commission (SEC) – l’ente federale statunitense preposto alla vigilanza della borsa valori – descrivendo quello che definisce “un ampio errore”, perpetrato per cinque anni a partire dal 2015, non tenendo conto della salvaguardia delle informazioni dei clienti, ignorando le corrette procedure per lo smaltimento di dischi e server, finiti in vendita all’asta su internet.
In varie occasioni – ha riferito la SEC – Morgan Stanley ha assunto una ditta di traslochi e stoccaggio senza alcuna esperienza o competenza nei servizi di distruzione dei dati per smantellare migliaia di hard drive e server sui quali erano presenti informazioni personali di milioni di clienti. I traslocatori hanno venduto migliaia di dispositivi a terze parti, e questi dispositivi sono stati a loro volta venduti su un non meglio precisato sito internet di vendite all’asta. Un consulente informatico dell’Oklahoma ha comprato alcuni di questi dischi su internet, puntando il dito contro Morgan Stanley dopo avere individuato la possibilità di accedere ai dati dell’azienda ancora presenti sui dispositivi in questione.
Morgan Stanley è “un importante istituto finanziario e dovrebbe seguire rigorose linee-guida nell’affrontare il ritiro dell’hardware”, ha scritto il consulente in una mail inviata alla banca nell’ottobre del 2017. La banca d’affari avrebbe – come minimo – dovuto pretendere verifiche sulla distruzione dei dati dal vendor al quale ha ceduto le attrezzatture, ha scritto ancora il consulente. Morgan Stanley ha in seguito acquistato unità che erano in possesso del consulente e da altri acquirenti che le avevano compratieall’asta ma non è riuscita a ottenere la maggiorparte dei dischi “incriminati”.
Nel provvedimento della SEC si fa notare che non solo Morgan Stanley non ha smaltito correttamente le unità ma non ha neanche usato per anni procedure di cifratura dei dati che avrebbero quanto meno complicato l’identificabilità dei soggetti interessati. Ricordiamo che in Europa, il GDPR (Regolamento Ue 2016/679 relativo alla protezione delle persone fisiche), prevede la pseudonimizzazione, menzionandola più volte all’interno del regolamento, come ad esempio nell’art. 25 dove nel sancire il principio della privacy by design, oppure nell’art. 32 a proposito della sicurezza del trattamento.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.
