Il garante privacy ha fissato delle regole alle quali dovranno attenersi banche e Poste Italiane spa, relativamente all'attività bancaria e finanziaria, per “blindare” il sistema informativo e garantire un corretto trattamento dei dati dei correntisti.
Vista l'assenza di una normativa che obbliga le banche a tracciare tutte le operazioni l'Autorità garante ha ritenuto di prescrivere agli istituti bancari l'adozione di rigorose misure.
- Ogni operazione di accesso ai dati dei clienti, sia che comporti movimentazione di denaro o sia una semplice consultazione, dovrà essere tracciata attraverso una serie di elementi:
- la data e l'ora di esecuzione
- il codice della postazione di lavoro utilizzata
- il codice del cliente ed il tipo di rapporto contrattuale “consultato” (numero del conto corrente, fido, mutuo, deposito titoli)
- Le banche, dovranno prevedere l'attivazione di alert che individuano comportamenti anomali o a rischio (es. consultazione massive o accessi ripetuti su uno stesso nominativo)
- Almeno una volta l'anno la gestione dei dati bancari dovrà essere oggetto di un'attività di controllo interno da parte degli istituti, per verificare la rispondenza alle misure organizzative, tecniche e di sicurezza previste dalla normativa vigente. Detto controllo, che dovrà essere adeguatamente documentato, dovrà essere eseguito da personale diverso da quello che ha accesso ai dati dei clienti. Inoltre le verifiche sulla legittimità e liceità degli accessi, sull'integrità dei dati e delle procedure informatiche dovranno essere effettuate anche a posteriori, sia a campione che a seguito di allarme.
- Le banche sono inoltre tenute a comunicare al cliente eventuali accessi non autorizzati al proprio conto e di rendere note al Garante eventuali violazioni di particolare rilevanza (per quantità, qualità dei dati, numero dei clienti)