ANSSAIF: incontro fra colleghi operanti presso aziende di intermediazione finanziaria (5 luglio 2011)

di Luciana Sympa - Prometeo Management Consulting (socio sostenitore ANSSAIF)

L'incontro ha avuto come tema il provvedimento del 12 maggio 2011 del Garante della Privacy "Prescrizione in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie".
Erano presenti oltre ai membri del Consiglio Direttivo di Roma ed il Presidente dell'Associazione, il Dott. Domenico Vulpiani (Dirigente Generale della Polizia di Stato, Consigliere Ministeriale della Direzione Centrale per la Polizia Stradale, Ferroviaria, delle Comunicazioni e per i Reparti Speciali della Polizia di Stato) ed alcuni Responsabili delle Funzioni di Controllo di primari Istituti di Credito. 

Quali i confini tra legittimità e illecito nel trattamento dei dati?

L'incontro ANSSAIF sul nuovo provvedimento del Garante, in tema di privacy, malgrado il sole accecante della torrida estate della capitale, con le informazioni ad oggi disponibili, ha cercato di mettere a fuoco i punti critici della sua applicazione per il sistema bancario.

Sinteticamente il provvedimento intende garantire ulteriormente la privacy dei clienti imponendo alle banche di tracciare in modo certo l'accesso ai dati dei suoi correntisti da parte del personale interno, attraverso:

  • il codice identificativo del dipendente che esegue l'operazione;
  • la data e l'ora dell'accesso;
  • il codice della postazione di lavoro utilizzata;
  • il codice del cliente ed il tipo di rapporto contrattuale consultato.

In questo modo la Banca potrà identificare con certezza chi ha avuto accesso ad un determinato conto. I file di log di tracciamento delle operazioni, dovranno essere conservati per almeno 24 mesi e lasciati a disposizione di eventuali accertamenti. Dovrà poi essere prevista l' attivazione di alert  quando si verificano attività anomale o a rischio (consultazioni massive, accessi multipli, etc.).

Infine, almeno una volta l'anno, la gestione dei dati bancari dovrà essere oggetto di un'attività di controllo interno da parte degli stessi istituti di credito, al fine di verificare la rispondenza alle misure previste dalla normativa. Dovrà essere verificata anche la legittimità e la liceità degli accessi, l'integrità dei dati e delle procedure informatiche. I controlli dovranno essere fatti sia a campione sia a seguito di alert per attività anomale.

Alle banche è stato anche raccomandato di comunicare ai clienti eventuali accessi non autorizzati alle loro informazioni riservate, nonché di rendere note al Garante della privacy eventuali violazioni di particolare rilevanza.

Il Dottor Vulpiani notava che questa attività di tracciamento, è nella maggior parte dei sistemi bancari, già effettuata nella normale operatività. La difficoltà sta nel risalire alla causa legittima dell'interrogazione alla base dati. Con quale criterio si deve stabilire la legittimità del motivo per il quale viene effettuata un'interrogazione alla base dati? Come si fa a stabile con certezza che è lavorativo o di carattere fraudolento o di violazione della privacy? C'è poi la problematica della circolarità delle informazioni tra filiali diverse anche in sedi geografiche lontane tra loro.

Il dibattito

Durante il dibattito è emerso che i soci auspicano un chiarimento su questi temi da parte del Garante, per delimitare e identificare le operazioni che potenzialmente violano la privacy. Chiarire in sintesi anche i termini di giudizio non le sole operazioni tecniche da compiere, cosa certamente ardua ma necessaria per una corretta valutazione sulla legittimità degli accessi.

È poi emerso che questo tracciamento delle operazioni è molto oneroso per le banche, soprattutto per quanto riguarda la conservazione e la consultazione dei log.

Per questo in conclusione ci si chiedeva se i costi certi di questo adeguamento sono proporzionati ai rischi potenziali in cui le banche possono incorrere.

Link utili

Articoli collegati su www.compliancent.it

Chi è Luciana Sympa? 

Luciana Sympa

Luciana Sympa, redattrice del Gruppo 24 ORE, editoria di Settore, è consulente di Prometeo Management Consulting per gli aspetti relativi alla comunicazione d'impresa e al front office

ComplianceNet: