TRIB
Sentenza 1 luglio 2025
Sentenza 1 luglio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Milano, sentenza 01/07/2025, n. 5420 |
|---|---|
| Giurisdizione : | Trib. Milano |
| Numero : | 5420 |
| Data del deposito : | 1 luglio 2025 |
Testo completo
N. R.G. 11206/2024
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di MILANO
PRIMA CIVILE
Il Tribunale in composizione monocratica nella persona del dott. Angelo Claudio Ricciardi
ha pronunciato ex art.10 d.lgv. n.150 del 2011 la seguente
SENTENZA
nella procedimento civile di I Grado iscritto al n. r.g. 11206/2024 promosso da:
(C.F. ), con il patrocinio dell'avv. BOFFI DAVIDE e dell'avv. Controparte_1 P.IVA_1
IP RT BI ( ) PIAZZA DEGLI AFFARI 1 MILANO;
C.F._1 [...]
( PIAZZA DEGLI AFFARI, 1 20133 MILANO;
Parte_1 C.F._2 Pt_2
( ) PIAZZA DEGLI AFFARI, 1 20123 MILANO, elettivamente
[...] C.F._3 domiciliato in PIAZZA DEGLI AFFARI, 1 20123 MILANO presso il difensore avv. BOFFI DAVIDE
RICORRENTE contro
(C.F. ), con il Controparte_2 P.IVA_2 patrocinio dell'AVVOCATURA STATO MILANO, elettivamente domiciliato in VIA FREGUGLIA, 1
20122 MILANO presso il difensore avv. Alessandro Pastorino Olmi dell'AVVOCATURA STATO
MILANO
RESISTENTE
CONCLUSIONI
Le parti hanno discusso e concluso come da verbale d'udienza del 27 giugno 2025
pagina 1 di 12
MOTIVI DELLA DECISIONE
Il Tribunale rilevato che:
-con ricorso ex art.10 d.lgv. n.150 del 2011 la ha proposto opposizione avverso il Controparte_1 provvedimento n.66 emesso dal Garante per la Protezione dei dati personali in DA 8 febbraio 2024
-il Garante, previo accertamento della violazione degli artt. 28, par.2, e 33, par.2, del Regolamento UE 2016/79, ha irrogato la sanzione di € 800.00,00 e disposto la pubblicazione del provvedimento sul sito web del Garante ai sensi dell'art.7 del cit. Regolamento e dell'art.166, settimo comma, del d.lgv. n.196 del 30 giugno 2003, come modificato dal d.lgv. n.101 del 10 agosto 2018
-la , ha preliminarmente eccepito, in base all'art.28 l.n.689 del 1981, l'intervenuta Controparte_1 pre Garante a contestare le violazioni ascritte alla ricorrente nonché la violazione dei termini applicabili al procedimento istruttorio e sanzionatorio in base all'art.165.5 del Codice Privacy
-nel merito, ha contestato la sussistenza della violazione di cui all'art.33, par.2, ed eccepito la natura non grave della violazione dell'art.28, par.2, del Regolamento UE 2016/79, chiedendo per quest'ultima l'annullamento della sanzione o, in subordine, l'applicazione della sanzione dell'ammonimento
-nel corso del procedimento è stata disposta la sospensione dell'efficacia esecutiva del provvedimento impugnato in relazione alla sanzione pecuniaria e alla relativa pubblicazione
°°°
-le eccezioni preliminari sollevate dalla difesa di non meritano accoglimento Controparte_1
-riguardo all'eccezione di intervenuta prescrizione ex art.28 l.n.689 del 1981 è sufficiente richiamare le condivisibili argomentazioni formulate dalla difesa del Garante nella comparsa di costituzione e risposta:
“…infonDA è l'eccezione di intervenuta prescrizione ai sensi dell'art. 28 della legge n. 689/1981, il cui comma 1 stabilisce che “Il diritto a riscuotere le somme dovute per le violazioni indicate dalla presente legge si prescrive nel termine di cinque anni dal giorno in cui è stata commessa la violazione”.
Secondo la ricorrente la prescrizione si sarebbe compiuta il 1° ottobre 2023, per ciò che concerne il mancato rispetto dell'art. 28, par. 2, del Regolamento, che essa colloca al 1° ottobre 2018, DA di inizio del periodo di svolgimento dell'attività di vulnerability assessment e penetration testing, e il 19 ottobre 2023, quanto alla violazione dell'articolo 33, par. 2, del Regolamento, che essa colloca al 19 ottobre 2018, quando sarebbe venuta a conoscenza della vulnerabilità del sistema di RE e avrebbe dovuto comunicarle al titolare del trattamento.
L'eccezione è infonDA perché, nel caso in questione, il decorso del termine di prescrizione del diritto alla riscossione delle somme dovute a titolo di sanzione amministrativa è stato interrotto con la notifica delle violazioni effettua con la nota del Dipartimento Realtà economiche e produttive n. 4938 del 5 febbraio 2020.
Il comma 2 dell'art. 28 dispone che “l'interruzione della prescrizione è regolata dalle norme del codice civile”. In particolare, l'interruzione fa iniziare un nuovo periodo di prescrizione (art. 2945 c.c.) e si verifica in presenza di ogni atto che valga a costituire in mora il debitore (art. 2943 c.c.). Sul punto, la giurisprudenza consoliDA della Corte di cassazione afferma che “in tema di sanzioni amministrative, ogni atto del procedimento previsto dalla legge per l'accertamento della violazione e per l'irrogazione della sanzione ha la funzione di far valere il diritto dell'Amministrazione alla riscossione della pena pecuniaria, in quanto, costituendo esso esercizio della pretesa sanzionatoria, è idoneo a costituire in mora il debitore ai sensi dell'art.2943 c.c. Ne consegue che tale idoneità va riconosciuta alla notifica al pagina 2 di 12 trasgressore del processo verbale di accertamento della infrazione (Cass. n. 4088 del 2005; Cass. n. 1393 del 2007; Cass. n. 9520 del 2001, Cass. n. 4201 del 1999). Del resto, la notifica del verbale di contestazione è atto che manifesta la pretesa dell'amministrazione di far valere il diritto alle conseguenti sanzioni” (Cassazione civile, sez. V, 20 luglio 2016, n. 14886; più recentemente, Cassazione civile, sez. II, 24 agosto 2023, n. 25226).
Nella fattispecie, quindi, la contestazione di violazione è stata notificata nel febbraio 2020, sicché il quinquennio non era compiuto al momento in cui è stata adottata l'ordinanza-ingiunzione nel febbraio 2024.
Non pertinente è invece Cassazione civile, sez. I, 1° agosto 2023, 23405 (documento 23), invocata dalla ricorrente, che esclude che possa riconoscersi l'idoneità a costituire in mora il debitore all'atto di audizione del contravventore, ma indirettamente conferma il principio secondo cui il termine di prescrizione decorre dall' “atto di contestazione del Garante” (si veda in particolare pagina 6).
L'assunto della ricorrente secondo cui nella fattispecie non vi sarebbe stato alcun atto che valesse a costituire in mora il debitore risulta dunque del tutto infonDA. È evidente, infatti, che tale atto è da individuarsi nell' “avvio del procedimento sanzionatorio ai sensi dell'art. 166, comma 5, d.lgs. n. 196/2003” del 5 febbraio 2020, a mezzo del quale sono state contestate alla ricorrente le violazioni in esame con le conseguenti sanzioni (documento 14) …”
-anche le ulteriori eccezioni relative alla violazione dei termini di inizio e di completamento del procedimento istruttorio e sanzionatorio non meritano accoglimento
-in ordine a questo profilo, la difesa del Garante ha sottolineato, con argomentazioni analitiche e del tutto condivisibili, che:
“…infondato è altresì l'assunto della ricorrente secondo cui il Garante non avrebbe rispettato i termini di 120 giorni per la comunicazione di avvio del procedimento sanzionatorio e di 18 mesi per l'adozione del provvedimento correttivo, previsti dal Regolamento n. 2/2019 del Garante.
1.1.2.1. Il termine dei 120 giorni per la notificazione della violazione (punto 9.2. pag. 17 e ss. del ricorso)
Erroneamente la ricorrente fa decorrere il termine dei 120 giorni, previsto per la notificazione della violazione, dal riscontro dato con nota del 27 maggio 2019 (documento 12) alla richiesta di informazioni del 15 maggio 2019, facendo coincidere con tale momento l'accertamento della medesima violazione.
Come è noto, infatti, la giurisprudenza è unanime nell'individuare il dies a quo del termine per contestare le violazioni (con riferimento a termine di 90 giorni di cui all'art. 14 della legge n. 689/1981, che si applicava anche ai procedimenti del Garante prima della riforma di cui al d. lgs. n. 101/2018) nel momento in cui l'amministrazione viene a conoscenza non già del fatto nella sua materialità, bensì dell'illiceità della condotta. Come precisato anche di recente dalla Suprema Corte, “il termine per la contestazione degli illeciti decorre dal momento del relativo accertamento, il quale non coincide necessariamente né con quello della mera constatazione dei fatti nella loro materialità né con quello in cui le relazioni o i rapporti finali degli incaricati degli accertamenti siano stati depositati o comunque messi a disposizione degli organi dell'autorità di supervisione competenti al relativo esame, dovendosi tener conto, a tal fine, del tempo strettamente necessario affinché, al termine delle verifiche preliminari, la constatazione dei fatti avrebbe potuto essere tradotta in accertamento” (Cassazione civile, Sez. II, 30 marzo 2023, n. 9022).
La necessità di tenere conto della complessità degli accertamenti istruttori è stata affermata anche dalla giurisprudenza amministrativa, secondo cui il “dies a quo” per la decorrenza del termine di notifica della contestazione non può coincidere con l'acquisizione del fatto illecito nella propria materialità in quanto
“l'accertamento ispettivo ha richiesto complessi accertamenti in ordine alla consistenza delle prassi e delle regole interne della società, volti alla più attenta valutazione di tutte le circostanze idonee a denotare in concreto anche le condizioni di esigibilità di comportamenti diversificati. (…). La valutazione degli elementi emersi durante la complessa attività ispettiva svolta non poteva essere compiutamente fatta durante l'attività ispettiva stessa ma in un momento successivo, ovvero quando il quadro delle risultanze istruttorie fosse risultato completamente chiaro” (Cons. Stato, Sez. VI, 12 gennaio 2023, n. 410). pagina 3 di 12 Anche il Tribunale di Milano, con sentenza n. 1164 del 30 aprile 2024, relativa proprio a una fattispecie di DA breach verificatasi sempre in RE, nel richiamare la giurisprudenza consoliDA della Corte di cassazione sul punto, ha evidenziato che seppur il Garante da un certo momento in poi avesse avuto a disposizione tutti gli elementi, necessari e sufficienti, per procedere alla valutazione della complessiva condotta del trasgressore, “vale osservare, tuttavia, che un tale compendio tecnico doveva essere trasfuso in una vera e propria contestazione, che, nella specie, deve tenere in considerazione una molteplicità di elementi anche attinenti alle caratteristiche dell'attività posta in essere dalla parte sottoposta ad indagine con un decisamente non modesto impianto valutativo. (…) Del resto, come ricorda la Suprema Corte, “la correttezza e completezza dell'accertamento rispondono sia all'interesse pubblico connaturato alla funzione pubblica svolta dall'ente accertatore, sia all'interesse dello stesso autore della condotta al fine di un'adeguata ponderazione della sua (eventuale) responsabilità. A tale esigenza si contrappone peraltro quella dell'ipotizzato autore della condotta di vedere concluso l'accertamento in tempi brevi, sia per definire la propria posizione incerta sia per poter eventualmente apprestare una pronta ed adeguata difesa. Nel contemperamento di tali esigenze, occorre quindi effettuare una valutazione di ragionevolezza dei tempi impiegati per l'accertamento” (Cass. nr. 7681/2014)”
(documento 24).
Nella fattispecie, quindi, il dies a quo deve farsi decorrere dalla relazione tecnica del 10 dicembre 2019 (documento 13.1.), che corrisponde al momento in cui il Garante all'esito della complessa istruttoria svolta anche nei confronti di RE e della valutazione di tutta la documentazione prodotta in corso di procedimento ha potuto accertare le violazioni in questione.
In particolare, nell'ambito dell'istruttoria – avviata dall'Autorità a seguito della notifica di violazione dei dati personali effettuata dal titolare in DA 22 ottobre 2018 – è stata acquisita copiosa documentazione al fine di ricostruire compiutamente i fatti occorsi e di meglio delineare il ruolo e le responsabilità dei diversi Contr CP_ soggetti coinvolti nel trattamento (RE, UBIS, DA e Truel IT).
Stante anche la particolare complessità dei profili di natura tecnologica, l'esame della citata documentazione si è concluso in DA 10 dicembre 2019 con la produzione di una relazione tecnica, nella quale sono state accertate le presunte condotte illecite addebitabili al titolare e al responsabile del trattamento.
Ne consegue che dal 10 dicembre 2019 (momento dell'accertamento delle violazioni) al 5 febbraio 2020 (momento della contestazione delle violazioni) non risultavano decorsi i 120 giorni previsti dal Regolamento n. 2/2019 del Garante e che, quindi, la notificazione del verbale di contestazione avvenuta in DA 5 febbraio 2020 è del tutto tempestiva rispetto alla DA dell'accertamento del 10 dicembre 2019.
In relazione alla congruità del lasso di tempo intercorso tra le acquisizioni informative e documentali da parte del Dipartimento tecnologie digitali e sicurezza informatica del Garante e la redazione, da parte del medesimo, della relazione del 10 dicembre 2019 (documento 13.1) si evidenzia, in primo luogo, che le ultime acquisizioni documentali da parte dell'Ufficio sono da individuare nelle note del 24/27 maggio 2019 di NT DA AL (documenti 11 e 12), di riscontro alla richiesta di informazioni del 15 maggio 2019 (documento 10).
In secondo luogo, in ragione della particolare complessità dei profili di natura tecnologica, la valutazione della citata documentazione si è conclusa il 10 dicembre 2019 con la produzione, da parte del Dipartimento competente, di una relazione tecnica con cui sono state accertate le presunte condotte illecite imputabili al titolare e al responsabile del trattamento.
La particolare complessità dell'istruttoria, sotto il profilo tecnologico, ha reso necessaria la valutazione della documentazione agli atti nel periodo tra il 27 maggio 2019 e il 10 dicembre 2019 (tenuto conto, comunque, della sospensione dei termini nel mese di agosto 2019, di cui all'art. 6 del Reg. 2/2019), a dimostrazione della congruità del tempo trascorso tra le acquisizioni documentale e l'accertamento delle violazioni.
L'attività istruttoria nei confronti di RE è stata, infatti, avviata a seguito del DA breach - notificato pagina 4 di 12 al Garante il 22 ottobre 2018 (documenti 1 e 1.1) - determinato da un attacco ai suoi sistemi informatici, che ha comportato l'acquisizione illecita, da parte di terzi, dei dati personali di un numero elevato di clienti attuali e passati (circa 778.000).
In un primo momento l'attività istruttoria ha coinvolto, quindi, unicamente RE, dovendo valutarsi le misure tecniche e organizzative adottate per porre rimedio al DA breach e attenuarne i possibili effetti pregiudizievoli, ivi inclusa la comunicazione dell'incidente agli interessati coinvolti ai sensi dell'art. 34 del Regolamento. All'esito dell'esame delle informazioni acquisite nel corso dell'istruttoria, il Garante ha adottato, in via d'urgenza, un primo provvedimento, di natura correttiva, nei confronti di RE (n. 499 del 13 dicembre 2018: documento 4).
Con tale provvedimento l'Autorità ha ingiunto a RE, non avendovi essa provveduto d'iniziativa, di comunicare il DA breach a tutti gli interessati coinvolti, fornendo loro indicazioni specifiche sulle misure da adottare per proteggersi da eventuali conseguenze pregiudizievoli. In un secondo momento, invece, è stata avviata un'attività istruttoria volta a meglio delineare il ruolo e le responsabilità dei soggetti a vario titolo coinvolti nei trattamenti oggetto del DA breach.
A tal fine, l'Ufficio ha formulato due richieste di informazioni nei confronti di RE (note del 1° febbraio e del 12 aprile 2019: documenti 6 e 8), a cui RE ha fornito riscontro con note del 27 febbraio e del 3 maggio 2019 (documenti 7 e 9) e una richiesta di informazioni del 15 maggio 2019 nei Contr CP_ confronti di DA (documento 10), cui quest'ultima ha fornito riscontro con note del 24 e 27 maggio 2019 (documenti 11 e 12). Contr
In particolare, nell'ambito di tale attività istruttoria IT e DA AL hanno prodotto copiosa documentazione (anche solo dal punto di vista quantitativo si tra centinaia di pagine, gran parte delle quali in lingua inglese), comprensiva: del contratto e degli altri atti giuridici disciplinanti i rapporti tra Contr RE, UBIS e DA AL e contenenti le istruzioni a cui quest'ultima avrebbe attenersi (enunciando, tra le altre cose, il divieto di affidamento a terze parti dell'esecuzione, parziale o totale, delle attività di vulnerability assessment e penetration testing, nonché gli obblighi informativi in caso di rilevamento di vulnerabilità con gravità di livello critical o high) (allegato alla nota di RE del 3 maggio 2019: documento 9.1); del contratto e degli altri atti giuridici disciplinanti i rapporti tra NT DA AL e Truel IT Contr CP_ (allegati 1 e 2 alla nota di DA del 24 maggio 2019: documento 11.1 e 11.2); di tre “Mobile Application Penetration Test nical t” contenenti una descrizione delle attività e degli esiti di vulnerability assessement e penetration testing svolte sulle app per dispositivi iOS e Android e sul portale di mobile banking di RE (allegati 3 e 4 alla nota di NT DATA AL del 24 maggio 2019: documenti 11.3 e 11.4).
Il tempo intercorso tra l'acquisizione di informazioni e documentazione e la redazione della relazione tecnica del 10 dicembre 2019 deve ritenersi, dunque, del tutto congruo, in considerazione dell'elevata complessità dell'attività valutativa degli elementi di fatto acquisiti – indispensabile per il conseguimento della piena conoscenza di tutti gli elementi oggettivi e soggettivi delle violazioni – che ha riguardato: l'adempimento, da parte di RE, degli obblighi di notifica al Garante e di comunicazione agli interessati coinvolti (artt. 33 e 34 del Regolamento); le misure tecniche e organizzative in essere al momento del DA breach, e la loro adeguatezza rispetto ai rischi connotanti i trattamenti (artt. 5, par. 1, lett. Contr CP_ f), e 32 del Regolamento); i rapporti intercorrenti tra RE, UBIS e DA , gli atti giuridici Contr CP_ rilevanti e le istruzioni impartite (art. 28 del Regolamento); i rapporti in renti DA e Truel IT, gli atti giuridici rilevanti e le istruzioni impartite (art. 28 del Regolamento); l'adempimento, da parte di e Truel IT, degli obblighi informativi nei confronti di RE in caso di DA Controparte_1 breach (art. 33, par. 2, del Regolamento).
Lo svolgimento di un'accurata istruttoria tecnica, con l'elaborazione e la verifica di tutti gli elementi raccolti, ha consentito peraltro di ricostruire compiutamente il contesto in cui si è verificato il DA breach e la cronologia degli eventi permettendo un'adeguata e puntuale rappresentazione dei fatti, necessariamente prodromica alle valutazioni giuridiche inerenti alla sussistenza delle violazioni e alla loro adeguata pagina 5 di 12 rappresentazione nell'atto di avvio del procedimento. Ciò non solo per una corretta applicazione della normativa in materia di protezione dei dati personali, ma anche a tutela dei diritti degli stessi soggetti coinvolti nell'istruttoria, in particolare rispetto al principio di unicità e globalità dell'accertamento e alla previsione del cumulo giuridico delle sanzioni previste dall'art. 83, par. 3, del Regolamento per il concorso di illeciti, secondo il quale “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del [… Regolamento], l'importo totale della sanzioni amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”.
1.1.2.2. Il termine dei 18 mesi per l'adozione del provvedimento correttivo di cui all'art. 12 del Regolamento n. 1/2019 (punto 9.2. a pag. 18 del ricorso)
Nel caso di specie, non si applica il termine di 18 mesi invocato dalla ricorrente, previsto dal Regolamento n. 2/2019 per l'adozione di un provvedimento “correttivo”, che nella vicenda in esame non è stato adottato, trattandosi di un provvedimento esclusivamente “sanzionatorio”. Si legge, infatti, nell'atto impugnato che “considerata la natura delle violazioni, questa Autorità, nell'esercizio dei poteri correttivi attribuiti dall'art. 58, par. 2 del Regolamento, ritiene di non dover ingiungere misure correttive ai sensi dell'art. 58, par. 2, lett. d), e dispone una sanzione amministrativa pecuniaria ai sensi dell'art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i))”.
Nella fattispecie, pertanto, si applica il termine per l'adozione dell'ordinanza-ingiunzione in materia di sanzioni amministrative, previsto dalla tabella B del Regolamento 2/2019, che è di “5 anni dal giorno in cui è stata commessa la violazione”.
Anche nel caso in cui volesse ritenersi che il termine di 180 giorni previsto per l'adozione del provvedimento correttivo, sia applicabile anche al provvedimento sanzionatorio, dovrebbe comunque convenirsi sul carattere non perentorio, ma ordinatorio dei termini previsti per la conclusione del procedimento.
Al riguardo, la Corte di cassazione ha ribadito che in tema di sanzioni amministrative, il procedimento preordinato alla loro irrogazione sfugge all'ambito di applicazione della legge n. 241 del 1990, in quanto, per la sua natura sanzionatoria, è compiutamente retto dai principi sanciti dalla legge n. 689 del 1981, e, in secondo luogo che, di conseguenza, non assume alcuna rilevanza il termine eventualmente previsto dalla normativa interna dell'amministrazione procedente, per l'inidoneità di un regolamento interno (emesso nell'erroneo convincimento di dover regolare i tempi del procedimento ai sensi della legge n. 241 del 1990) a modificare le disposizioni della legge n. 689 del 1981, fermo restando il regime prescrizionale stabilito nell'art. 28 della stessa legge (Cassazione civile, sez. II, 3 novembre 2021 n. 31239, che ha stabilito il carattere ordinatorio del termine previsto dal regolamento per la conclusione dei procedimenti CP_3 sanzionatori).
Nella fattispecie, pertanto, non incide sulla validità del provvedimento impugnato il termine di 18 mesi previsto dal Regolamento n. 2/2019, in quanto non trova applicazione nella vicenda in questione e, in via subordinata, DA la sua natura ordinatoria.
Secondo il pacifico orientamento della giurisprudenza, da ultimo riassunto Consiglio di Stato, sez. V, 19 aprile 2024, n. 3569 “
7.1. Costituisce principio generale del diritto, di cui le previsioni dell'art. 2 della legge n. 241 del 1990 rappresentano ulteriore conferma a livello di normazione primaria, quello per cui i termini del procedimento amministrativo devono essere considerati ordinatori, ove non siano dichiarati espressamente perentori dalla legge (Cons. Stato, sez. IV, 6 agosto 2013, n. 4150; Cons. Stato, sez. VI, 29 dicembre 2010, n. 9569);
7.2. In siffatta direzione, il rispetto del termine di conclusione del procedimento resta ancorato all'area degli "obblighi di comportamento" senza essere trascinato "sul terreno del giudizio di validità dell'atto" (si veda, sul punto: Cons. Stato, sez. V, 11 ottobre 2013, n. 4980);
7.3. A simili conclusioni si perviene sulla base delle seguenti considerazioni:
"l'esercizio della funzione pubblica è connotato dai requisiti della doverosità e della continuità, cosicché i termini fissati per il suo svolgimento hanno giocoforza carattere acceleratorio, in funzione del rispetto dei principi di buon andamento (97 Cost.),
pagina 6 di 12 efficienza ed efficacia dell'azione amministrativa (art. 1, comma 1, l. n. 241/1990), e non già perentorio. Conseguentemente, la loro scadenza non priva l'amministrazione del dovere di curare l'interesse pubblico, né rende l'atto sopravvenuto di per sé invalido" (Cons. Stato, sez. V, 11 ottobre 2013, n. 4980, cit.);
7.4. Ed infatti: "la cessazione della potestà, derivante dal protrarsi del procedimento, potrebbe nuocere all'interesse pubblico alla cui cura quest'ultimo è preordinato, con evidente pregiudizio della collettività" (Cons. Stato, sez. VI, 2 febbraio 2015, n. 468);
7.5. Ne deriva da quanto detto che: "in assenza di una specifica disposizione che espressamente preveda il termine come perentorio, comminando la perdita della possibilità di azione da parte dell'Amministrazione al suo spirare o la specifica sanzione della decadenza, il termine stesso deve intendersi come meramente sollecitatorio o ordinatorio;
il suo superamento non determina, perciò, l'illegittimità dell'atto, ma una semplice irregolarità non viziante, poiché non esaurisce il potere dell'Amministrazione di provvedere: se tale conclusione vale con riferimento ad una norma di legge, è tanto più valida laddove, come nella fattispecie in esame, il termine finale sia stato previsto dalla stessa Amministrazione procedente" (Cons. Stato, sez. VI, 2 febbraio 2015, n. 468, cit. Si veda sul punto anche: Cons. Stato, sez. III, 22 dicembre 2017, n. 6044)” …”
°°°
-nel merito, il provvedimento in esame merita integrale conferma
-è opportuno esaminare innanzitutto la contestazione relativa alla violazione dell'art.33, par.2, del Regolamento il quale, in tema di violazione dei dati personali, dispone che “… il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione …”
-il 22 ottobre 2018 titolare del trattamento dei dati, aveva comunicato al Garante, ai sensi Controparte_4 dell'art.33 del Regolamento, la violazione di dati personali verificatisi a seguito di un attacco informatico al sistema di on-line banking per il canale web mobile
-tale violazione aveva determinato l'acquisizione illecita di alcuni dati personali dei clienti: in particolare, nome, cognome, codice fiscale e codice identificativo interno della banca, con esclusione dei dati bancari aveva rappresentato che i primi tentativi di accesso illegittimo si erano verificati nel Controparte_4
20 ottobre 20218 e che l'attacco informatico si era realizzato massicciamente il 21 ottobre 2018
-responsabile del trattamento, ai sensi dell'art.29 del Regolamento, era designata Parte_3 sulla base di un agreement da essa stipulato con il 5 giugno 2017 (doc.91. res.) CP_5
-con atto di nomina del 17 settembre 2018, aveva, a sua volta, nominato Truel IT Parte_3 s.r.l. sub-responsabile del trattamento senza effettuare alcuna comunicazione al titolare
-nel periodo dal 1° al 22 ottobre 2018, Truel IT s.r.l. aveva quindi effettuato attività di Vulnerability Assessment e un Penetration Test sul sistema Mobile Site (sito e APP per dispositivi mobili)
-il 19 ottobre 2018 Truel IT s.r.l. aveva inviato a una bozza di report contenente gli esiti Parte_3 dell'attività svolta
-questo report indicava la presenza di due vulnerabilità di gravità elevata: “User Data Disclosure” e “Lack of Reverse Bruteforce Protection” individuate da Truel IT s.r.l. rispettivamente nei giorni 10 e 11 ottobre 2018
-nella relazione tecnica del Garante-Dipartimento Tecnologie digitali e Sicurezza informatica (doc.13 res.) si legge che:
“… ha fornito copia dei report tecnici contenenti gli esiti delle citate attività di penetration CP_1 testing e di vulnerability assessment, sia nella versione bozza (v. allegato 3 alla nota del 24 maggio 2019) che in quella definitiva (v. allegati 4.1 e 4.2 alla nota del 24 maggio 2019). In questi report sono illustrate dieci vulnerabilità rilevate da Truel IT, comprese due vulnerabilità con gravità di livello high:
la prima vulnerabilità di tipo “User Data Disclosure” permetteva a un eventuale attaccante di enumerare tutte le User ID valide (composte da 8 cifre decimali) per l'accesso al Portale di mobile banking e di acquisire pagina 7 di 12 alcuni dati personali (quali il nome, il cognome e il codice fiscale) associati a tali User ID anche senza conoscere il relativo PIN (composto da 8 cifre decimali);
la seconda vulnerabilità di tipo “Lack of Reverse Bruteforce Protection” permetteva a un eventuale attaccante di effettuare un numero illimitato di tentativi di autenticazione al Portale di mobile banking con User ID sempre diverse, senza essere bloccato;
in tale scenario, un attaccante poteva tentare di individuare coppie di User ID / PIN valide, provando ad esempio PIN particolarmente “deboli” come “00000000” o
“12345678”.
Si evidenzia che le due predette vulnerabilità sono esattamente quelle utilizzate dall'attaccante nel corso dell'attacco informatico condotto, in maniera massiva, per individuare le User ID (REB code) valide per l'accesso al Portale di mobile banking e per acquisire illecitamente i dati personali ad esse associate.
ha dichiarato di essere “venuta a conoscenza della vulnerabilità “User Data disclosure” in DA CP_1 19 ottobre 2018 con l'invio della bozza di report da parte di Truel IT S.r.l.”, evidenziando che “tipicamente le potenziali vulnerabilità di un sistema sono rilevate nel corso delle attività di Penetration Test” e che “tale rilevazione, tuttavia, richiede, ai fini di una valutazione del rischio della stessa e, quindi, di una tempestiva comunicazione al cliente, l'esecuzione di una ulteriore attività di analisi (eliminazione di falsi positivi) e classificazione (high, medium and low) e remediation suggerite” (v. nota del 24 maggio 2019, p. 3).
ha inoltre rappresentato che “a fronte della ricezione della prima bozza del report tecnico da CP_1 parte di Truel IT S.r.l. è stata effettuata da come da prassi una propria analisi dei dati Controparte_1 ricevuti ed una valutazione ulteriore delle te le 10 vulnerabilità rilevate” e che
[...] ha quindi potuto confermare quanto ricevuto da Truel IT ed ha comunicato le vulnerabilità e CP_1 ediation suggerite ad IT mediante l'invio della prima versione del report tecnico in DA 22 ottobre 2018 ore 10:00 CEST” e ha precisato che “la rilevazione da parte di delle Controparte_1 vulnerabilità in parola non poteva determinare e non ha determinato la conoscenz te di medesima anche della violazione dei dati personali” (v. nota del 24 maggio 2019, pp. Controparte_1
3‐4) …”
-la natura tecnica delle due vulnerabilità ad altro rischio -- individuate da Truel IT s.r.l. rispettivamente nei giorni 10 e 11 ottobre 2018 -- consente di affermare che avrebbe dovuto Controparte_6 comunicare immediatamente al titolare del trattamento la violazione della riservatezza dei dati e, cioè, ben prima del report del 19 ottobre 2018
-al riguardo, il Dipartimento tecnologie digitali e sicurezza informatica presso il Garante ha correttamente affermato che:
“…Truel IT debba considerarsi “a conoscenza” della violazione dei dati personali dal momento in cui ha rilevato la vulnerabilità di tipo “User Data Disclosure”, in quanto in quel momento vi era la ragionevole certezza del fatto che si fosse verificata una violazione della riservatezza dei dati personali trattati nell'ambito del Portale di mobile banking.
Inoltre, l'individuazione da parte di Truel IT della vulnerabilità di tipo “Lack of Reverse Bruteforce Protection” metteva in evidenza la circostanza che la vulnerabilità di tipo “User Data Disclosure” potesse essere sfruttata in modo massivo, producendo effetti negativi su un numero elevato di interessati …”
-ciò premesso, la distinzione prospettata dalla difesa della ricorrente tra mera vulnerabilità e concreta violazione dei dati personali non può essere condivisa
-la prima sarebbe una criticità di natura tecnica che può essere sfruttata per la violazione dei dati personali, mentre la seconda consisterebbe nell'effettiva acquisizione dei dati da parte di terzi
-al riguardo, la difesa di ha richiamato le Linee Guida sulla notifica delle violazioni Controparte_1 dei dati personali ai sensi del Regolamento UE 2016/679 adottate il 3 ottobre 2017-6 febbraio 2018 dal Gruppo di lavoro articolo 29 per la protezione dei dati pagina 8 di 12 -secondo tali Linee Guida
“… il responsabile del trattamento non deve valutare la probabilità di rischio derivante dalla violazione prima di notificarla al titolare del trattamento;
spetta infatti a quest'ultimo effettuare la valutazione nel momento in cui viene a conoscenza della violazione. Il responsabile del trattamento deve soltanto stabilire se si è verificata una violazione e quindi notificarla al titolare del trattamento…”
“…mentre tutte le violazioni dei dati personali sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali…”
-nella propria relazione tecnica depositata nel procedimento innanzi al Garante (All.1 doc. 7),
[...] ha sostenuto che: CP_1
“…le attività svolte da e Truel IT consistevano nella simulazione di scenari di intrusione
CP_1 verso l'applicazione targe ne il grado di robustezza rispetto a potenziali azioni finalizzate alla creazione di condizioni di disservizio e/o di sottrazione di dati / informazioni critiche (DA exfiltration). Il perimetro di intervento concordato con UBIS, la natura stessa delle attività commissionate a e
CP_1 gli strumenti utilizzati dal personale / Truel IT nello svolgimento di tali attività non poteva
CP_1 consentire in alcun modo la rileva tivi di intrusione (effettivi e non simulati) realizzati in contemporanea da terzi. Tutta l'attività svolta da / Truel IT è stata comunque costantemente
CP_1 monitorata dal Cliente attraverso il proprio ration Center al quale sono state inviate comunicazioni via email per concordare i periodi di svolgimento delle attività e le ore di inizio e fine dei penetration test, come quelle riportate a titolo esemplificativo di seguito per comodità e disponibili in formato originario nei file che accompagnano la relazione (allegato 3) …”
“…in particolare, la rilevazione di un tentativo di accesso ai sistemi di IT da parte di malintenzionati può essere effettuata tramite:
- il monitoraggio di canali di segnalazione (email, sistemi di ticketing e altri canali) attraverso i quali proattivamente viene evidenziata questo tipo di attività da attori che accidentalmente possono essere venuti a conoscenza dell'evento;
- le attività di supervisione degli eventi di sicurezza svolte dal personale operante presso il Security Operation Center di UBIS, attraverso l'elaborazione e l'analisi dei log prodotti dalle infrastrutture di UBIS stessa;
- attività di intelligence svolte in Rete per la ricerca di informazioni riguardanti il cliente UBIS.
Nello specifico, in coerenza con quanto stabilito nel contratto, non erano e non sono attive collaborazioni con il cliente UBIS in questi ambiti e men che meno è stato dato accesso alle infrastrutture di supporto utilizzate per lo svolgimento di tali attività.
In sintesi, per la natura intrinseca del servizio fornito, per la tipologia di attività che devono essere svolte e per il sistema contrattuale in essere, non poteva né doveva sapere se al momento fossero in CP_1 corso dei tentativi di attacco ai siste anking di IT. Operando, per la natura stessa del compito di penetration test, all'”esterno” dei sistemi target non è possibile avere contezza di quanto viene monitorato e rilevato dall'”interno” è, cioè, da UBIS e dalle persone che gestiscono le applicazioni e il Security Operation Center. La separatezza tra chi svolge le attività di verifica di sicurezza simulando attacchi e verificando le risposte dei sistemi a tali attacchi e chi monitora i sistemi (UBIS) è uno degli elementi fondanti per ottenere esiti validi da queste attività. Chi verifica la sicurezza deve applicare la propria metodologia e svolgere il proprio lavoro senza essere influenzato da altri fattori. Oltre a questa precisazione è importante anche sottolineare che la conoscenza di queste circostanze non ha nessun valore tecnico per il corretto svolgimento dei penetration test …”
-in realtà, le superiori argomentazioni non possono in alcun modo giustificare la condotta di
[...] quanto agli oneri di comunicazione su di essa gravanti nei confronti del titolare del CP_1
pagina 9 di 12 ai sensi dell'art.33, par. 2, del Regolamento
-innanzitutto, va precisato che:
“…quando un responsabile del trattamento ricorre a un sub‐responsabile per l'esecuzione di specifiche attività di trattamento per conto di un titolare, la responsabilità dell'adempimento degli obblighi di cui agli articoli da 32 a 36 del Regolamento – tra i quali l'obbligo di informare il titolare del trattamento in caso di violazione dei dati personali previsto dall'art. 33, par. 2 – rimane in capo al responsabile iniziale il quale deve adottare adeguate misure tecniche e organizzative in modo che il trattamento rispetti le disposizioni del Regolamento ..” (doc.13.1 res.)
-nel merito, la condotta di –realizzata per il tramite di Truel IT s.r.l. -- dev'essere Controparte_1 valutata nel più ampio contesto nel quale si sono svolte le attività tecniche di verifica di inviolabilità del sistema di on-banking di affidate da all'attuale ricorrente in base all'Agreement Controparte_4 CP_5 del 5 giugno 2017 (doc.
9.1 res.)
titolare del trattamento, è tra i principali istituti bancari italiani con un numero Controparte_4 elevatissimo di utenti
-gli accertamenti definitivi relativi agli attacchi informatici verificatisi ai danni del sistema on-line banking di hanno consentito di individuare in ben 777.765 il numero dei soggetti (clienti ed ex clienti) Controparte_4 effettivamente coinvolti dalla violazione dei dati personali
-pertanto, per la rilevante qualifica economico-finanziaria del titolare del trattamento ( e le Controparte_4 estese dimensioni della sua attività di on-line banking oggetto delle verifiche di in vata diligenza professionale esigibile nei confronti di specializzata settore informatico di Controparte_1 riferimento giustifica la valutazione della con in termini di particolare rigore in relazione agli obblighi connessi alla qualifica della ricorrente di responsabile del trattamento dei dati in base al Regolamento UE
-questo rigore non può poi prescindere dalla significativa coesistenza delle due vulnerabilità ad alto rischio riscontrate da Truel IT s.r.l., le quali, per la sinergia offerta dalla possibilità sia di enumerare tutte le User ID valide per l'accesso al Portale di mobile banking sia, allo stesso tempo, di effettuare massicciamente un numero illimitato di tentativi di autenticazione al Portale, integravano un evidente, gravissimo e concreto pericolo di accesso ai dati personali degli utenti
-in conclusione, pur prescindendo dai rilievi del Garante relativi al fatto che l'accertamento delle due vulnerabilità aveva di per sé costituito, da parte della stessa Truel IT s.r.l., la violazione di quei dati (circostanza fermamente negata da , sussistevano comunque le condizioni, attuali e Controparte_1 concrete, per l'immediata comunicazione al titolare del trattamento dei risultati tecnici provvisoriamente acquisiti
-l'affermazione della responsabilità di ai sensi del cit. art.33, par.2, è infatti sorretta Controparte_1 dalla valutazione congiunta dello speci si stavano svolgendo le verifiche informatiche (rilevante statura bancaria del titolare del trattamento dei dati e ampia estensione del numero di utenti del Portale), degli esiti correlati, ancorché provvisori, del Penetration Test e del Vulnerability Assessment nonché della stessa risalenza del primo attacco (11 ottobre 2018)
-si tratta di circostanze che, per il loro rilievo, avrebbero dovuto indurre la ricorrente a darne immediata comunicazione a Controparte_4
-la verifica controfattuale dell'indifferibile urgenza della segnalazione relativa al grave, imminente e concreto pericolo di violazione dei dati personali è DA dalla collocazione temporale dei primi tentativi di accesso indebito effettuati nei giorni dal 11 al 20 ottobre 2018 nonché, da ultimo, da quella del massiccio attacco del successivo 21 ottobre
-Truel IT s.r.l. aveva individuato le due vulnerabilità rispettivamente nei giorni 10 e 11 ottobre 2018 e, pagina 10 di 12 pertanto, avrebbe dovuto in quell'occasione effettuare immediatamente la Controparte_1 comunicazione al Garante
-il responsabile del trattamento, come affermato dal Garante, non è tenuto a valutare il rischio derivante dalla violazione, prima di darne comunicazione al titolare del trattamento
-al responsabile spetta soltanto stabilire se si è verificata una violazione dei dati personali – o, secondo quanto sopra illustrato, se ricorra un pericolo concreto ed attuale della violazione – e, in tal caso, informare tempestivamente il titolare del trattamento per evitare che le vulnerabilità riscontrate potessero essere sfruttare, come in concreto avvenuto, da un eventuale attaccante fosse stata informata senza ritardo da della presenza delle due Controparte_7 Controparte_1 vulnerabilità ad alto rischio, la violazione dei dati personali sul Portale di mobile banking sarebbe rimasta circoscritta ad un numero limitato di utenti rispetto a quelli coinvolti nell'attacco del 21 ottobre 2018
-la tempestività della segnalazione al titolare prescinde, poi, dalla necessità di verificare, tramite analisi intermedie di conferma, la certezza della violazione o del relativo pericolo (nella specie: altamente probabile ed imminente), poiché grava sul titolare il compito di effettuare la menzionata valutazione allorché informato dal responsabile
-va infine sottolineato che il rapporto contrattuale intercorso tra e non Controparte_1 CP_5 esonerava la prima dall'obbligo di tempestiva segnalazione ad titolare del trattamento Controparte_4
-l'art.33, secondo comma, del Regolamento prevede espressamente che “…il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione …”
-in conclusione, deve ritenersi definitivamente accertata in capo a la violazione di cui Controparte_1 al cit. art.33, secondo comma
°°°
-ricorre poi nella specie l'ulteriore violazione e, cioè, quella relativa all'art.28, par.2 del Regolamento, secondo la quale “…il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica e generale, del titolare del trattamento …”
-l'autonoma designazione di Truel IT s.r.l. da parte di con atto del 17 settembre 2018 Controparte_1 è circostanza pacifica, ammessa dalla stessa ricorrente
-quest'ultima ha cercato di ridimensionare la gravità della violazione, sottolineandone la natura meramente colposa e l'assenza di una concreta offensività in ragione della limitatezza del volume dei dati effettivamente trattati, del limitato intervallo temporale del trattamento nonché della natura ordinaria dei dati personali dispersi nell'attacco informatico
-la ricorrente ha poi affermato che “…il Gruppo RE sta continuando a rivolgersi a quale CP_1 Contr fornitore, o, in altri termini, non ha mai smesso di affidarsi a Data …”
-in realtà, la gravità della violazione da parte del responsabile del trattamento deve essere considerata “a monte” e non alla luce né della condotta realizzata dall'ulteriore responsabile né delle conseguenze concretamente subite dal titolare
-inoltre – e soprattutto -- la violazione in esame deve essere valutata congiuntamente a quella dell'art. 33, par.2, del Regolamento
-nella specie, la scelta non autorizzata di affidare a Truel IT s.r.l. la delicata esecuzione del Penetration Test e del Vulnerability Assessmnt rientra nell'ambito delle misure tecniche e organizzative adottate dal responsabile del trattamento ( al fine della tutela della sicurezza dei dati Controparte_1
-pertanto, la necessità o l'opportunità di individuare un sub-responsabile del trattamento avrebbe dovuto pagina 11 di 12 costituire oggetto di una preventiva valutazione tecnico-imprenditoriale da parte di anche Controparte_1 in considerazione della possibile sopravvenienza di circostanze idonee ad aggravare il concreto espletamento, nei termini pattuiti, dell'incarico conferito da CP_5
-inoltre, il superiore obiettivo dell'esatto adempimento, da parte di degli obblighi in materia Controparte_4 di sicurezza dei dati personali imposti dal Regolamento UE è ente condizionato dalla designazione formalmente non autorizzata del sub-responsabile del trattamento Contr
-infatti, proprio il ritardo con il quale Truel IT s.r.l. ha comunicato a i risultati Controparte_1 provvisori delle verifiche informatiche in corso ha costituito il primo elemento costitutivo della violazione, da parte del responsabile del trattamento, dell'art.33, par.2, del Regolamento
°°°
-le superiori argomentazioni giustificano la conferma del provvedimento del Garante anche sotto il profilo della sanzione pecuniaria irrogata pari a € 800.000
-ricorrono infatti i principi di effettività, proporzionalità e dissuasività alla luce delle circostanze specificatamente illustrate ai par. a) – e) dell'ordinanza-ingiuntiva (pag.13)
-dall'altro canto, l'assenza di precedenti provvedimenti nei confronti di nonché la Controparte_1 fattiva collaborazione della stessa in ordine alla ricostruzione degli eventi e ai rapporti con il titolare del trattamento giustificano l'annullamento della sanzione ulteriore della pubblicazione sul sito Internet del Garante dell'ordinanza ingiunzione
-la sanzione pecuniaria irrogata è infatti sufficiente a dissuadere l'ingiunta dal compimento di ulteriori violazioni del Regolamento
-inoltre, la pubblicazione dell'ordinanza potrebbe indirettamente arrecare alla stessa un ulteriore e ingiustificato pregiudizio patrimoniale in termini di perdita di clientela anche futura
-in conclusione, l'opposizione proposta da art.10 d.lgv. n.150 del 2011 è fonDA Controparte_1 limitatamente al profilo dell'irrogazione della sanzione della pubblicazione
-le spese processuali seguono la soccombenza sostanziale e si liquidano come da dispositivo con applicazione dei valori previsti dalle Tabelle dei compensi con riferimento a ciascuna fase processuale effettivamente esperita
P.Q.M.
Il Tribunale, definitivamente pronunciando nel procedimento art.10 d.lgv. n.150 del 2011 relativo all'opposizione alla ordinanza ingiunzione n.66 emessa in DA 8 febbraio 2024 dal Garante per la protezione dei dati personali, ogni altra domanda od eccezione rigettata, così dispone:
1) conferma l'ordinanza ingiunzione indicata in epigrafe, ad eccezione della sanzione della pubblicazione della stessa sul sito Internet del Garante
2) condanna alla rifusione, in favore del Garante, delle spese processuali che si Controparte_1 liquidano in € 20.000,00 per compenso, oltre a CPA, spese generali ed IVA se dovuta.
Milano, 27 giugno 2025
Il Giudice
dott. Angelo Claudio Ricciardi
pagina 12 di 12
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di MILANO
PRIMA CIVILE
Il Tribunale in composizione monocratica nella persona del dott. Angelo Claudio Ricciardi
ha pronunciato ex art.10 d.lgv. n.150 del 2011 la seguente
SENTENZA
nella procedimento civile di I Grado iscritto al n. r.g. 11206/2024 promosso da:
(C.F. ), con il patrocinio dell'avv. BOFFI DAVIDE e dell'avv. Controparte_1 P.IVA_1
IP RT BI ( ) PIAZZA DEGLI AFFARI 1 MILANO;
C.F._1 [...]
( PIAZZA DEGLI AFFARI, 1 20133 MILANO;
Parte_1 C.F._2 Pt_2
( ) PIAZZA DEGLI AFFARI, 1 20123 MILANO, elettivamente
[...] C.F._3 domiciliato in PIAZZA DEGLI AFFARI, 1 20123 MILANO presso il difensore avv. BOFFI DAVIDE
RICORRENTE contro
(C.F. ), con il Controparte_2 P.IVA_2 patrocinio dell'AVVOCATURA STATO MILANO, elettivamente domiciliato in VIA FREGUGLIA, 1
20122 MILANO presso il difensore avv. Alessandro Pastorino Olmi dell'AVVOCATURA STATO
MILANO
RESISTENTE
CONCLUSIONI
Le parti hanno discusso e concluso come da verbale d'udienza del 27 giugno 2025
pagina 1 di 12
MOTIVI DELLA DECISIONE
Il Tribunale rilevato che:
-con ricorso ex art.10 d.lgv. n.150 del 2011 la ha proposto opposizione avverso il Controparte_1 provvedimento n.66 emesso dal Garante per la Protezione dei dati personali in DA 8 febbraio 2024
-il Garante, previo accertamento della violazione degli artt. 28, par.2, e 33, par.2, del Regolamento UE 2016/79, ha irrogato la sanzione di € 800.00,00 e disposto la pubblicazione del provvedimento sul sito web del Garante ai sensi dell'art.7 del cit. Regolamento e dell'art.166, settimo comma, del d.lgv. n.196 del 30 giugno 2003, come modificato dal d.lgv. n.101 del 10 agosto 2018
-la , ha preliminarmente eccepito, in base all'art.28 l.n.689 del 1981, l'intervenuta Controparte_1 pre Garante a contestare le violazioni ascritte alla ricorrente nonché la violazione dei termini applicabili al procedimento istruttorio e sanzionatorio in base all'art.165.5 del Codice Privacy
-nel merito, ha contestato la sussistenza della violazione di cui all'art.33, par.2, ed eccepito la natura non grave della violazione dell'art.28, par.2, del Regolamento UE 2016/79, chiedendo per quest'ultima l'annullamento della sanzione o, in subordine, l'applicazione della sanzione dell'ammonimento
-nel corso del procedimento è stata disposta la sospensione dell'efficacia esecutiva del provvedimento impugnato in relazione alla sanzione pecuniaria e alla relativa pubblicazione
°°°
-le eccezioni preliminari sollevate dalla difesa di non meritano accoglimento Controparte_1
-riguardo all'eccezione di intervenuta prescrizione ex art.28 l.n.689 del 1981 è sufficiente richiamare le condivisibili argomentazioni formulate dalla difesa del Garante nella comparsa di costituzione e risposta:
“…infonDA è l'eccezione di intervenuta prescrizione ai sensi dell'art. 28 della legge n. 689/1981, il cui comma 1 stabilisce che “Il diritto a riscuotere le somme dovute per le violazioni indicate dalla presente legge si prescrive nel termine di cinque anni dal giorno in cui è stata commessa la violazione”.
Secondo la ricorrente la prescrizione si sarebbe compiuta il 1° ottobre 2023, per ciò che concerne il mancato rispetto dell'art. 28, par. 2, del Regolamento, che essa colloca al 1° ottobre 2018, DA di inizio del periodo di svolgimento dell'attività di vulnerability assessment e penetration testing, e il 19 ottobre 2023, quanto alla violazione dell'articolo 33, par. 2, del Regolamento, che essa colloca al 19 ottobre 2018, quando sarebbe venuta a conoscenza della vulnerabilità del sistema di RE e avrebbe dovuto comunicarle al titolare del trattamento.
L'eccezione è infonDA perché, nel caso in questione, il decorso del termine di prescrizione del diritto alla riscossione delle somme dovute a titolo di sanzione amministrativa è stato interrotto con la notifica delle violazioni effettua con la nota del Dipartimento Realtà economiche e produttive n. 4938 del 5 febbraio 2020.
Il comma 2 dell'art. 28 dispone che “l'interruzione della prescrizione è regolata dalle norme del codice civile”. In particolare, l'interruzione fa iniziare un nuovo periodo di prescrizione (art. 2945 c.c.) e si verifica in presenza di ogni atto che valga a costituire in mora il debitore (art. 2943 c.c.). Sul punto, la giurisprudenza consoliDA della Corte di cassazione afferma che “in tema di sanzioni amministrative, ogni atto del procedimento previsto dalla legge per l'accertamento della violazione e per l'irrogazione della sanzione ha la funzione di far valere il diritto dell'Amministrazione alla riscossione della pena pecuniaria, in quanto, costituendo esso esercizio della pretesa sanzionatoria, è idoneo a costituire in mora il debitore ai sensi dell'art.2943 c.c. Ne consegue che tale idoneità va riconosciuta alla notifica al pagina 2 di 12 trasgressore del processo verbale di accertamento della infrazione (Cass. n. 4088 del 2005; Cass. n. 1393 del 2007; Cass. n. 9520 del 2001, Cass. n. 4201 del 1999). Del resto, la notifica del verbale di contestazione è atto che manifesta la pretesa dell'amministrazione di far valere il diritto alle conseguenti sanzioni” (Cassazione civile, sez. V, 20 luglio 2016, n. 14886; più recentemente, Cassazione civile, sez. II, 24 agosto 2023, n. 25226).
Nella fattispecie, quindi, la contestazione di violazione è stata notificata nel febbraio 2020, sicché il quinquennio non era compiuto al momento in cui è stata adottata l'ordinanza-ingiunzione nel febbraio 2024.
Non pertinente è invece Cassazione civile, sez. I, 1° agosto 2023, 23405 (documento 23), invocata dalla ricorrente, che esclude che possa riconoscersi l'idoneità a costituire in mora il debitore all'atto di audizione del contravventore, ma indirettamente conferma il principio secondo cui il termine di prescrizione decorre dall' “atto di contestazione del Garante” (si veda in particolare pagina 6).
L'assunto della ricorrente secondo cui nella fattispecie non vi sarebbe stato alcun atto che valesse a costituire in mora il debitore risulta dunque del tutto infonDA. È evidente, infatti, che tale atto è da individuarsi nell' “avvio del procedimento sanzionatorio ai sensi dell'art. 166, comma 5, d.lgs. n. 196/2003” del 5 febbraio 2020, a mezzo del quale sono state contestate alla ricorrente le violazioni in esame con le conseguenti sanzioni (documento 14) …”
-anche le ulteriori eccezioni relative alla violazione dei termini di inizio e di completamento del procedimento istruttorio e sanzionatorio non meritano accoglimento
-in ordine a questo profilo, la difesa del Garante ha sottolineato, con argomentazioni analitiche e del tutto condivisibili, che:
“…infondato è altresì l'assunto della ricorrente secondo cui il Garante non avrebbe rispettato i termini di 120 giorni per la comunicazione di avvio del procedimento sanzionatorio e di 18 mesi per l'adozione del provvedimento correttivo, previsti dal Regolamento n. 2/2019 del Garante.
1.1.2.1. Il termine dei 120 giorni per la notificazione della violazione (punto 9.2. pag. 17 e ss. del ricorso)
Erroneamente la ricorrente fa decorrere il termine dei 120 giorni, previsto per la notificazione della violazione, dal riscontro dato con nota del 27 maggio 2019 (documento 12) alla richiesta di informazioni del 15 maggio 2019, facendo coincidere con tale momento l'accertamento della medesima violazione.
Come è noto, infatti, la giurisprudenza è unanime nell'individuare il dies a quo del termine per contestare le violazioni (con riferimento a termine di 90 giorni di cui all'art. 14 della legge n. 689/1981, che si applicava anche ai procedimenti del Garante prima della riforma di cui al d. lgs. n. 101/2018) nel momento in cui l'amministrazione viene a conoscenza non già del fatto nella sua materialità, bensì dell'illiceità della condotta. Come precisato anche di recente dalla Suprema Corte, “il termine per la contestazione degli illeciti decorre dal momento del relativo accertamento, il quale non coincide necessariamente né con quello della mera constatazione dei fatti nella loro materialità né con quello in cui le relazioni o i rapporti finali degli incaricati degli accertamenti siano stati depositati o comunque messi a disposizione degli organi dell'autorità di supervisione competenti al relativo esame, dovendosi tener conto, a tal fine, del tempo strettamente necessario affinché, al termine delle verifiche preliminari, la constatazione dei fatti avrebbe potuto essere tradotta in accertamento” (Cassazione civile, Sez. II, 30 marzo 2023, n. 9022).
La necessità di tenere conto della complessità degli accertamenti istruttori è stata affermata anche dalla giurisprudenza amministrativa, secondo cui il “dies a quo” per la decorrenza del termine di notifica della contestazione non può coincidere con l'acquisizione del fatto illecito nella propria materialità in quanto
“l'accertamento ispettivo ha richiesto complessi accertamenti in ordine alla consistenza delle prassi e delle regole interne della società, volti alla più attenta valutazione di tutte le circostanze idonee a denotare in concreto anche le condizioni di esigibilità di comportamenti diversificati. (…). La valutazione degli elementi emersi durante la complessa attività ispettiva svolta non poteva essere compiutamente fatta durante l'attività ispettiva stessa ma in un momento successivo, ovvero quando il quadro delle risultanze istruttorie fosse risultato completamente chiaro” (Cons. Stato, Sez. VI, 12 gennaio 2023, n. 410). pagina 3 di 12 Anche il Tribunale di Milano, con sentenza n. 1164 del 30 aprile 2024, relativa proprio a una fattispecie di DA breach verificatasi sempre in RE, nel richiamare la giurisprudenza consoliDA della Corte di cassazione sul punto, ha evidenziato che seppur il Garante da un certo momento in poi avesse avuto a disposizione tutti gli elementi, necessari e sufficienti, per procedere alla valutazione della complessiva condotta del trasgressore, “vale osservare, tuttavia, che un tale compendio tecnico doveva essere trasfuso in una vera e propria contestazione, che, nella specie, deve tenere in considerazione una molteplicità di elementi anche attinenti alle caratteristiche dell'attività posta in essere dalla parte sottoposta ad indagine con un decisamente non modesto impianto valutativo. (…) Del resto, come ricorda la Suprema Corte, “la correttezza e completezza dell'accertamento rispondono sia all'interesse pubblico connaturato alla funzione pubblica svolta dall'ente accertatore, sia all'interesse dello stesso autore della condotta al fine di un'adeguata ponderazione della sua (eventuale) responsabilità. A tale esigenza si contrappone peraltro quella dell'ipotizzato autore della condotta di vedere concluso l'accertamento in tempi brevi, sia per definire la propria posizione incerta sia per poter eventualmente apprestare una pronta ed adeguata difesa. Nel contemperamento di tali esigenze, occorre quindi effettuare una valutazione di ragionevolezza dei tempi impiegati per l'accertamento” (Cass. nr. 7681/2014)”
(documento 24).
Nella fattispecie, quindi, il dies a quo deve farsi decorrere dalla relazione tecnica del 10 dicembre 2019 (documento 13.1.), che corrisponde al momento in cui il Garante all'esito della complessa istruttoria svolta anche nei confronti di RE e della valutazione di tutta la documentazione prodotta in corso di procedimento ha potuto accertare le violazioni in questione.
In particolare, nell'ambito dell'istruttoria – avviata dall'Autorità a seguito della notifica di violazione dei dati personali effettuata dal titolare in DA 22 ottobre 2018 – è stata acquisita copiosa documentazione al fine di ricostruire compiutamente i fatti occorsi e di meglio delineare il ruolo e le responsabilità dei diversi Contr CP_ soggetti coinvolti nel trattamento (RE, UBIS, DA e Truel IT).
Stante anche la particolare complessità dei profili di natura tecnologica, l'esame della citata documentazione si è concluso in DA 10 dicembre 2019 con la produzione di una relazione tecnica, nella quale sono state accertate le presunte condotte illecite addebitabili al titolare e al responsabile del trattamento.
Ne consegue che dal 10 dicembre 2019 (momento dell'accertamento delle violazioni) al 5 febbraio 2020 (momento della contestazione delle violazioni) non risultavano decorsi i 120 giorni previsti dal Regolamento n. 2/2019 del Garante e che, quindi, la notificazione del verbale di contestazione avvenuta in DA 5 febbraio 2020 è del tutto tempestiva rispetto alla DA dell'accertamento del 10 dicembre 2019.
In relazione alla congruità del lasso di tempo intercorso tra le acquisizioni informative e documentali da parte del Dipartimento tecnologie digitali e sicurezza informatica del Garante e la redazione, da parte del medesimo, della relazione del 10 dicembre 2019 (documento 13.1) si evidenzia, in primo luogo, che le ultime acquisizioni documentali da parte dell'Ufficio sono da individuare nelle note del 24/27 maggio 2019 di NT DA AL (documenti 11 e 12), di riscontro alla richiesta di informazioni del 15 maggio 2019 (documento 10).
In secondo luogo, in ragione della particolare complessità dei profili di natura tecnologica, la valutazione della citata documentazione si è conclusa il 10 dicembre 2019 con la produzione, da parte del Dipartimento competente, di una relazione tecnica con cui sono state accertate le presunte condotte illecite imputabili al titolare e al responsabile del trattamento.
La particolare complessità dell'istruttoria, sotto il profilo tecnologico, ha reso necessaria la valutazione della documentazione agli atti nel periodo tra il 27 maggio 2019 e il 10 dicembre 2019 (tenuto conto, comunque, della sospensione dei termini nel mese di agosto 2019, di cui all'art. 6 del Reg. 2/2019), a dimostrazione della congruità del tempo trascorso tra le acquisizioni documentale e l'accertamento delle violazioni.
L'attività istruttoria nei confronti di RE è stata, infatti, avviata a seguito del DA breach - notificato pagina 4 di 12 al Garante il 22 ottobre 2018 (documenti 1 e 1.1) - determinato da un attacco ai suoi sistemi informatici, che ha comportato l'acquisizione illecita, da parte di terzi, dei dati personali di un numero elevato di clienti attuali e passati (circa 778.000).
In un primo momento l'attività istruttoria ha coinvolto, quindi, unicamente RE, dovendo valutarsi le misure tecniche e organizzative adottate per porre rimedio al DA breach e attenuarne i possibili effetti pregiudizievoli, ivi inclusa la comunicazione dell'incidente agli interessati coinvolti ai sensi dell'art. 34 del Regolamento. All'esito dell'esame delle informazioni acquisite nel corso dell'istruttoria, il Garante ha adottato, in via d'urgenza, un primo provvedimento, di natura correttiva, nei confronti di RE (n. 499 del 13 dicembre 2018: documento 4).
Con tale provvedimento l'Autorità ha ingiunto a RE, non avendovi essa provveduto d'iniziativa, di comunicare il DA breach a tutti gli interessati coinvolti, fornendo loro indicazioni specifiche sulle misure da adottare per proteggersi da eventuali conseguenze pregiudizievoli. In un secondo momento, invece, è stata avviata un'attività istruttoria volta a meglio delineare il ruolo e le responsabilità dei soggetti a vario titolo coinvolti nei trattamenti oggetto del DA breach.
A tal fine, l'Ufficio ha formulato due richieste di informazioni nei confronti di RE (note del 1° febbraio e del 12 aprile 2019: documenti 6 e 8), a cui RE ha fornito riscontro con note del 27 febbraio e del 3 maggio 2019 (documenti 7 e 9) e una richiesta di informazioni del 15 maggio 2019 nei Contr CP_ confronti di DA (documento 10), cui quest'ultima ha fornito riscontro con note del 24 e 27 maggio 2019 (documenti 11 e 12). Contr
In particolare, nell'ambito di tale attività istruttoria IT e DA AL hanno prodotto copiosa documentazione (anche solo dal punto di vista quantitativo si tra centinaia di pagine, gran parte delle quali in lingua inglese), comprensiva: del contratto e degli altri atti giuridici disciplinanti i rapporti tra Contr RE, UBIS e DA AL e contenenti le istruzioni a cui quest'ultima avrebbe attenersi (enunciando, tra le altre cose, il divieto di affidamento a terze parti dell'esecuzione, parziale o totale, delle attività di vulnerability assessment e penetration testing, nonché gli obblighi informativi in caso di rilevamento di vulnerabilità con gravità di livello critical o high) (allegato alla nota di RE del 3 maggio 2019: documento 9.1); del contratto e degli altri atti giuridici disciplinanti i rapporti tra NT DA AL e Truel IT Contr CP_ (allegati 1 e 2 alla nota di DA del 24 maggio 2019: documento 11.1 e 11.2); di tre “Mobile Application Penetration Test nical t” contenenti una descrizione delle attività e degli esiti di vulnerability assessement e penetration testing svolte sulle app per dispositivi iOS e Android e sul portale di mobile banking di RE (allegati 3 e 4 alla nota di NT DATA AL del 24 maggio 2019: documenti 11.3 e 11.4).
Il tempo intercorso tra l'acquisizione di informazioni e documentazione e la redazione della relazione tecnica del 10 dicembre 2019 deve ritenersi, dunque, del tutto congruo, in considerazione dell'elevata complessità dell'attività valutativa degli elementi di fatto acquisiti – indispensabile per il conseguimento della piena conoscenza di tutti gli elementi oggettivi e soggettivi delle violazioni – che ha riguardato: l'adempimento, da parte di RE, degli obblighi di notifica al Garante e di comunicazione agli interessati coinvolti (artt. 33 e 34 del Regolamento); le misure tecniche e organizzative in essere al momento del DA breach, e la loro adeguatezza rispetto ai rischi connotanti i trattamenti (artt. 5, par. 1, lett. Contr CP_ f), e 32 del Regolamento); i rapporti intercorrenti tra RE, UBIS e DA , gli atti giuridici Contr CP_ rilevanti e le istruzioni impartite (art. 28 del Regolamento); i rapporti in renti DA e Truel IT, gli atti giuridici rilevanti e le istruzioni impartite (art. 28 del Regolamento); l'adempimento, da parte di e Truel IT, degli obblighi informativi nei confronti di RE in caso di DA Controparte_1 breach (art. 33, par. 2, del Regolamento).
Lo svolgimento di un'accurata istruttoria tecnica, con l'elaborazione e la verifica di tutti gli elementi raccolti, ha consentito peraltro di ricostruire compiutamente il contesto in cui si è verificato il DA breach e la cronologia degli eventi permettendo un'adeguata e puntuale rappresentazione dei fatti, necessariamente prodromica alle valutazioni giuridiche inerenti alla sussistenza delle violazioni e alla loro adeguata pagina 5 di 12 rappresentazione nell'atto di avvio del procedimento. Ciò non solo per una corretta applicazione della normativa in materia di protezione dei dati personali, ma anche a tutela dei diritti degli stessi soggetti coinvolti nell'istruttoria, in particolare rispetto al principio di unicità e globalità dell'accertamento e alla previsione del cumulo giuridico delle sanzioni previste dall'art. 83, par. 3, del Regolamento per il concorso di illeciti, secondo il quale “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del [… Regolamento], l'importo totale della sanzioni amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”.
1.1.2.2. Il termine dei 18 mesi per l'adozione del provvedimento correttivo di cui all'art. 12 del Regolamento n. 1/2019 (punto 9.2. a pag. 18 del ricorso)
Nel caso di specie, non si applica il termine di 18 mesi invocato dalla ricorrente, previsto dal Regolamento n. 2/2019 per l'adozione di un provvedimento “correttivo”, che nella vicenda in esame non è stato adottato, trattandosi di un provvedimento esclusivamente “sanzionatorio”. Si legge, infatti, nell'atto impugnato che “considerata la natura delle violazioni, questa Autorità, nell'esercizio dei poteri correttivi attribuiti dall'art. 58, par. 2 del Regolamento, ritiene di non dover ingiungere misure correttive ai sensi dell'art. 58, par. 2, lett. d), e dispone una sanzione amministrativa pecuniaria ai sensi dell'art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i))”.
Nella fattispecie, pertanto, si applica il termine per l'adozione dell'ordinanza-ingiunzione in materia di sanzioni amministrative, previsto dalla tabella B del Regolamento 2/2019, che è di “5 anni dal giorno in cui è stata commessa la violazione”.
Anche nel caso in cui volesse ritenersi che il termine di 180 giorni previsto per l'adozione del provvedimento correttivo, sia applicabile anche al provvedimento sanzionatorio, dovrebbe comunque convenirsi sul carattere non perentorio, ma ordinatorio dei termini previsti per la conclusione del procedimento.
Al riguardo, la Corte di cassazione ha ribadito che in tema di sanzioni amministrative, il procedimento preordinato alla loro irrogazione sfugge all'ambito di applicazione della legge n. 241 del 1990, in quanto, per la sua natura sanzionatoria, è compiutamente retto dai principi sanciti dalla legge n. 689 del 1981, e, in secondo luogo che, di conseguenza, non assume alcuna rilevanza il termine eventualmente previsto dalla normativa interna dell'amministrazione procedente, per l'inidoneità di un regolamento interno (emesso nell'erroneo convincimento di dover regolare i tempi del procedimento ai sensi della legge n. 241 del 1990) a modificare le disposizioni della legge n. 689 del 1981, fermo restando il regime prescrizionale stabilito nell'art. 28 della stessa legge (Cassazione civile, sez. II, 3 novembre 2021 n. 31239, che ha stabilito il carattere ordinatorio del termine previsto dal regolamento per la conclusione dei procedimenti CP_3 sanzionatori).
Nella fattispecie, pertanto, non incide sulla validità del provvedimento impugnato il termine di 18 mesi previsto dal Regolamento n. 2/2019, in quanto non trova applicazione nella vicenda in questione e, in via subordinata, DA la sua natura ordinatoria.
Secondo il pacifico orientamento della giurisprudenza, da ultimo riassunto Consiglio di Stato, sez. V, 19 aprile 2024, n. 3569 “
7.1. Costituisce principio generale del diritto, di cui le previsioni dell'art. 2 della legge n. 241 del 1990 rappresentano ulteriore conferma a livello di normazione primaria, quello per cui i termini del procedimento amministrativo devono essere considerati ordinatori, ove non siano dichiarati espressamente perentori dalla legge (Cons. Stato, sez. IV, 6 agosto 2013, n. 4150; Cons. Stato, sez. VI, 29 dicembre 2010, n. 9569);
7.2. In siffatta direzione, il rispetto del termine di conclusione del procedimento resta ancorato all'area degli "obblighi di comportamento" senza essere trascinato "sul terreno del giudizio di validità dell'atto" (si veda, sul punto: Cons. Stato, sez. V, 11 ottobre 2013, n. 4980);
7.3. A simili conclusioni si perviene sulla base delle seguenti considerazioni:
"l'esercizio della funzione pubblica è connotato dai requisiti della doverosità e della continuità, cosicché i termini fissati per il suo svolgimento hanno giocoforza carattere acceleratorio, in funzione del rispetto dei principi di buon andamento (97 Cost.),
pagina 6 di 12 efficienza ed efficacia dell'azione amministrativa (art. 1, comma 1, l. n. 241/1990), e non già perentorio. Conseguentemente, la loro scadenza non priva l'amministrazione del dovere di curare l'interesse pubblico, né rende l'atto sopravvenuto di per sé invalido" (Cons. Stato, sez. V, 11 ottobre 2013, n. 4980, cit.);
7.4. Ed infatti: "la cessazione della potestà, derivante dal protrarsi del procedimento, potrebbe nuocere all'interesse pubblico alla cui cura quest'ultimo è preordinato, con evidente pregiudizio della collettività" (Cons. Stato, sez. VI, 2 febbraio 2015, n. 468);
7.5. Ne deriva da quanto detto che: "in assenza di una specifica disposizione che espressamente preveda il termine come perentorio, comminando la perdita della possibilità di azione da parte dell'Amministrazione al suo spirare o la specifica sanzione della decadenza, il termine stesso deve intendersi come meramente sollecitatorio o ordinatorio;
il suo superamento non determina, perciò, l'illegittimità dell'atto, ma una semplice irregolarità non viziante, poiché non esaurisce il potere dell'Amministrazione di provvedere: se tale conclusione vale con riferimento ad una norma di legge, è tanto più valida laddove, come nella fattispecie in esame, il termine finale sia stato previsto dalla stessa Amministrazione procedente" (Cons. Stato, sez. VI, 2 febbraio 2015, n. 468, cit. Si veda sul punto anche: Cons. Stato, sez. III, 22 dicembre 2017, n. 6044)” …”
°°°
-nel merito, il provvedimento in esame merita integrale conferma
-è opportuno esaminare innanzitutto la contestazione relativa alla violazione dell'art.33, par.2, del Regolamento il quale, in tema di violazione dei dati personali, dispone che “… il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione …”
-il 22 ottobre 2018 titolare del trattamento dei dati, aveva comunicato al Garante, ai sensi Controparte_4 dell'art.33 del Regolamento, la violazione di dati personali verificatisi a seguito di un attacco informatico al sistema di on-line banking per il canale web mobile
-tale violazione aveva determinato l'acquisizione illecita di alcuni dati personali dei clienti: in particolare, nome, cognome, codice fiscale e codice identificativo interno della banca, con esclusione dei dati bancari aveva rappresentato che i primi tentativi di accesso illegittimo si erano verificati nel Controparte_4
20 ottobre 20218 e che l'attacco informatico si era realizzato massicciamente il 21 ottobre 2018
-responsabile del trattamento, ai sensi dell'art.29 del Regolamento, era designata Parte_3 sulla base di un agreement da essa stipulato con il 5 giugno 2017 (doc.91. res.) CP_5
-con atto di nomina del 17 settembre 2018, aveva, a sua volta, nominato Truel IT Parte_3 s.r.l. sub-responsabile del trattamento senza effettuare alcuna comunicazione al titolare
-nel periodo dal 1° al 22 ottobre 2018, Truel IT s.r.l. aveva quindi effettuato attività di Vulnerability Assessment e un Penetration Test sul sistema Mobile Site (sito e APP per dispositivi mobili)
-il 19 ottobre 2018 Truel IT s.r.l. aveva inviato a una bozza di report contenente gli esiti Parte_3 dell'attività svolta
-questo report indicava la presenza di due vulnerabilità di gravità elevata: “User Data Disclosure” e “Lack of Reverse Bruteforce Protection” individuate da Truel IT s.r.l. rispettivamente nei giorni 10 e 11 ottobre 2018
-nella relazione tecnica del Garante-Dipartimento Tecnologie digitali e Sicurezza informatica (doc.13 res.) si legge che:
“… ha fornito copia dei report tecnici contenenti gli esiti delle citate attività di penetration CP_1 testing e di vulnerability assessment, sia nella versione bozza (v. allegato 3 alla nota del 24 maggio 2019) che in quella definitiva (v. allegati 4.1 e 4.2 alla nota del 24 maggio 2019). In questi report sono illustrate dieci vulnerabilità rilevate da Truel IT, comprese due vulnerabilità con gravità di livello high:
la prima vulnerabilità di tipo “User Data Disclosure” permetteva a un eventuale attaccante di enumerare tutte le User ID valide (composte da 8 cifre decimali) per l'accesso al Portale di mobile banking e di acquisire pagina 7 di 12 alcuni dati personali (quali il nome, il cognome e il codice fiscale) associati a tali User ID anche senza conoscere il relativo PIN (composto da 8 cifre decimali);
la seconda vulnerabilità di tipo “Lack of Reverse Bruteforce Protection” permetteva a un eventuale attaccante di effettuare un numero illimitato di tentativi di autenticazione al Portale di mobile banking con User ID sempre diverse, senza essere bloccato;
in tale scenario, un attaccante poteva tentare di individuare coppie di User ID / PIN valide, provando ad esempio PIN particolarmente “deboli” come “00000000” o
“12345678”.
Si evidenzia che le due predette vulnerabilità sono esattamente quelle utilizzate dall'attaccante nel corso dell'attacco informatico condotto, in maniera massiva, per individuare le User ID (REB code) valide per l'accesso al Portale di mobile banking e per acquisire illecitamente i dati personali ad esse associate.
ha dichiarato di essere “venuta a conoscenza della vulnerabilità “User Data disclosure” in DA CP_1 19 ottobre 2018 con l'invio della bozza di report da parte di Truel IT S.r.l.”, evidenziando che “tipicamente le potenziali vulnerabilità di un sistema sono rilevate nel corso delle attività di Penetration Test” e che “tale rilevazione, tuttavia, richiede, ai fini di una valutazione del rischio della stessa e, quindi, di una tempestiva comunicazione al cliente, l'esecuzione di una ulteriore attività di analisi (eliminazione di falsi positivi) e classificazione (high, medium and low) e remediation suggerite” (v. nota del 24 maggio 2019, p. 3).
ha inoltre rappresentato che “a fronte della ricezione della prima bozza del report tecnico da CP_1 parte di Truel IT S.r.l. è stata effettuata da come da prassi una propria analisi dei dati Controparte_1 ricevuti ed una valutazione ulteriore delle te le 10 vulnerabilità rilevate” e che
[...] ha quindi potuto confermare quanto ricevuto da Truel IT ed ha comunicato le vulnerabilità e CP_1 ediation suggerite ad IT mediante l'invio della prima versione del report tecnico in DA 22 ottobre 2018 ore 10:00 CEST” e ha precisato che “la rilevazione da parte di delle Controparte_1 vulnerabilità in parola non poteva determinare e non ha determinato la conoscenz te di medesima anche della violazione dei dati personali” (v. nota del 24 maggio 2019, pp. Controparte_1
3‐4) …”
-la natura tecnica delle due vulnerabilità ad altro rischio -- individuate da Truel IT s.r.l. rispettivamente nei giorni 10 e 11 ottobre 2018 -- consente di affermare che avrebbe dovuto Controparte_6 comunicare immediatamente al titolare del trattamento la violazione della riservatezza dei dati e, cioè, ben prima del report del 19 ottobre 2018
-al riguardo, il Dipartimento tecnologie digitali e sicurezza informatica presso il Garante ha correttamente affermato che:
“…Truel IT debba considerarsi “a conoscenza” della violazione dei dati personali dal momento in cui ha rilevato la vulnerabilità di tipo “User Data Disclosure”, in quanto in quel momento vi era la ragionevole certezza del fatto che si fosse verificata una violazione della riservatezza dei dati personali trattati nell'ambito del Portale di mobile banking.
Inoltre, l'individuazione da parte di Truel IT della vulnerabilità di tipo “Lack of Reverse Bruteforce Protection” metteva in evidenza la circostanza che la vulnerabilità di tipo “User Data Disclosure” potesse essere sfruttata in modo massivo, producendo effetti negativi su un numero elevato di interessati …”
-ciò premesso, la distinzione prospettata dalla difesa della ricorrente tra mera vulnerabilità e concreta violazione dei dati personali non può essere condivisa
-la prima sarebbe una criticità di natura tecnica che può essere sfruttata per la violazione dei dati personali, mentre la seconda consisterebbe nell'effettiva acquisizione dei dati da parte di terzi
-al riguardo, la difesa di ha richiamato le Linee Guida sulla notifica delle violazioni Controparte_1 dei dati personali ai sensi del Regolamento UE 2016/679 adottate il 3 ottobre 2017-6 febbraio 2018 dal Gruppo di lavoro articolo 29 per la protezione dei dati pagina 8 di 12 -secondo tali Linee Guida
“… il responsabile del trattamento non deve valutare la probabilità di rischio derivante dalla violazione prima di notificarla al titolare del trattamento;
spetta infatti a quest'ultimo effettuare la valutazione nel momento in cui viene a conoscenza della violazione. Il responsabile del trattamento deve soltanto stabilire se si è verificata una violazione e quindi notificarla al titolare del trattamento…”
“…mentre tutte le violazioni dei dati personali sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali…”
-nella propria relazione tecnica depositata nel procedimento innanzi al Garante (All.1 doc. 7),
[...] ha sostenuto che: CP_1
“…le attività svolte da e Truel IT consistevano nella simulazione di scenari di intrusione
CP_1 verso l'applicazione targe ne il grado di robustezza rispetto a potenziali azioni finalizzate alla creazione di condizioni di disservizio e/o di sottrazione di dati / informazioni critiche (DA exfiltration). Il perimetro di intervento concordato con UBIS, la natura stessa delle attività commissionate a e
CP_1 gli strumenti utilizzati dal personale / Truel IT nello svolgimento di tali attività non poteva
CP_1 consentire in alcun modo la rileva tivi di intrusione (effettivi e non simulati) realizzati in contemporanea da terzi. Tutta l'attività svolta da / Truel IT è stata comunque costantemente
CP_1 monitorata dal Cliente attraverso il proprio ration Center al quale sono state inviate comunicazioni via email per concordare i periodi di svolgimento delle attività e le ore di inizio e fine dei penetration test, come quelle riportate a titolo esemplificativo di seguito per comodità e disponibili in formato originario nei file che accompagnano la relazione (allegato 3) …”
“…in particolare, la rilevazione di un tentativo di accesso ai sistemi di IT da parte di malintenzionati può essere effettuata tramite:
- il monitoraggio di canali di segnalazione (email, sistemi di ticketing e altri canali) attraverso i quali proattivamente viene evidenziata questo tipo di attività da attori che accidentalmente possono essere venuti a conoscenza dell'evento;
- le attività di supervisione degli eventi di sicurezza svolte dal personale operante presso il Security Operation Center di UBIS, attraverso l'elaborazione e l'analisi dei log prodotti dalle infrastrutture di UBIS stessa;
- attività di intelligence svolte in Rete per la ricerca di informazioni riguardanti il cliente UBIS.
Nello specifico, in coerenza con quanto stabilito nel contratto, non erano e non sono attive collaborazioni con il cliente UBIS in questi ambiti e men che meno è stato dato accesso alle infrastrutture di supporto utilizzate per lo svolgimento di tali attività.
In sintesi, per la natura intrinseca del servizio fornito, per la tipologia di attività che devono essere svolte e per il sistema contrattuale in essere, non poteva né doveva sapere se al momento fossero in CP_1 corso dei tentativi di attacco ai siste anking di IT. Operando, per la natura stessa del compito di penetration test, all'”esterno” dei sistemi target non è possibile avere contezza di quanto viene monitorato e rilevato dall'”interno” è, cioè, da UBIS e dalle persone che gestiscono le applicazioni e il Security Operation Center. La separatezza tra chi svolge le attività di verifica di sicurezza simulando attacchi e verificando le risposte dei sistemi a tali attacchi e chi monitora i sistemi (UBIS) è uno degli elementi fondanti per ottenere esiti validi da queste attività. Chi verifica la sicurezza deve applicare la propria metodologia e svolgere il proprio lavoro senza essere influenzato da altri fattori. Oltre a questa precisazione è importante anche sottolineare che la conoscenza di queste circostanze non ha nessun valore tecnico per il corretto svolgimento dei penetration test …”
-in realtà, le superiori argomentazioni non possono in alcun modo giustificare la condotta di
[...] quanto agli oneri di comunicazione su di essa gravanti nei confronti del titolare del CP_1
pagina 9 di 12 ai sensi dell'art.33, par. 2, del Regolamento
-innanzitutto, va precisato che:
“…quando un responsabile del trattamento ricorre a un sub‐responsabile per l'esecuzione di specifiche attività di trattamento per conto di un titolare, la responsabilità dell'adempimento degli obblighi di cui agli articoli da 32 a 36 del Regolamento – tra i quali l'obbligo di informare il titolare del trattamento in caso di violazione dei dati personali previsto dall'art. 33, par. 2 – rimane in capo al responsabile iniziale il quale deve adottare adeguate misure tecniche e organizzative in modo che il trattamento rispetti le disposizioni del Regolamento ..” (doc.13.1 res.)
-nel merito, la condotta di –realizzata per il tramite di Truel IT s.r.l. -- dev'essere Controparte_1 valutata nel più ampio contesto nel quale si sono svolte le attività tecniche di verifica di inviolabilità del sistema di on-banking di affidate da all'attuale ricorrente in base all'Agreement Controparte_4 CP_5 del 5 giugno 2017 (doc.
9.1 res.)
titolare del trattamento, è tra i principali istituti bancari italiani con un numero Controparte_4 elevatissimo di utenti
-gli accertamenti definitivi relativi agli attacchi informatici verificatisi ai danni del sistema on-line banking di hanno consentito di individuare in ben 777.765 il numero dei soggetti (clienti ed ex clienti) Controparte_4 effettivamente coinvolti dalla violazione dei dati personali
-pertanto, per la rilevante qualifica economico-finanziaria del titolare del trattamento ( e le Controparte_4 estese dimensioni della sua attività di on-line banking oggetto delle verifiche di in vata diligenza professionale esigibile nei confronti di specializzata settore informatico di Controparte_1 riferimento giustifica la valutazione della con in termini di particolare rigore in relazione agli obblighi connessi alla qualifica della ricorrente di responsabile del trattamento dei dati in base al Regolamento UE
-questo rigore non può poi prescindere dalla significativa coesistenza delle due vulnerabilità ad alto rischio riscontrate da Truel IT s.r.l., le quali, per la sinergia offerta dalla possibilità sia di enumerare tutte le User ID valide per l'accesso al Portale di mobile banking sia, allo stesso tempo, di effettuare massicciamente un numero illimitato di tentativi di autenticazione al Portale, integravano un evidente, gravissimo e concreto pericolo di accesso ai dati personali degli utenti
-in conclusione, pur prescindendo dai rilievi del Garante relativi al fatto che l'accertamento delle due vulnerabilità aveva di per sé costituito, da parte della stessa Truel IT s.r.l., la violazione di quei dati (circostanza fermamente negata da , sussistevano comunque le condizioni, attuali e Controparte_1 concrete, per l'immediata comunicazione al titolare del trattamento dei risultati tecnici provvisoriamente acquisiti
-l'affermazione della responsabilità di ai sensi del cit. art.33, par.2, è infatti sorretta Controparte_1 dalla valutazione congiunta dello speci si stavano svolgendo le verifiche informatiche (rilevante statura bancaria del titolare del trattamento dei dati e ampia estensione del numero di utenti del Portale), degli esiti correlati, ancorché provvisori, del Penetration Test e del Vulnerability Assessment nonché della stessa risalenza del primo attacco (11 ottobre 2018)
-si tratta di circostanze che, per il loro rilievo, avrebbero dovuto indurre la ricorrente a darne immediata comunicazione a Controparte_4
-la verifica controfattuale dell'indifferibile urgenza della segnalazione relativa al grave, imminente e concreto pericolo di violazione dei dati personali è DA dalla collocazione temporale dei primi tentativi di accesso indebito effettuati nei giorni dal 11 al 20 ottobre 2018 nonché, da ultimo, da quella del massiccio attacco del successivo 21 ottobre
-Truel IT s.r.l. aveva individuato le due vulnerabilità rispettivamente nei giorni 10 e 11 ottobre 2018 e, pagina 10 di 12 pertanto, avrebbe dovuto in quell'occasione effettuare immediatamente la Controparte_1 comunicazione al Garante
-il responsabile del trattamento, come affermato dal Garante, non è tenuto a valutare il rischio derivante dalla violazione, prima di darne comunicazione al titolare del trattamento
-al responsabile spetta soltanto stabilire se si è verificata una violazione dei dati personali – o, secondo quanto sopra illustrato, se ricorra un pericolo concreto ed attuale della violazione – e, in tal caso, informare tempestivamente il titolare del trattamento per evitare che le vulnerabilità riscontrate potessero essere sfruttare, come in concreto avvenuto, da un eventuale attaccante fosse stata informata senza ritardo da della presenza delle due Controparte_7 Controparte_1 vulnerabilità ad alto rischio, la violazione dei dati personali sul Portale di mobile banking sarebbe rimasta circoscritta ad un numero limitato di utenti rispetto a quelli coinvolti nell'attacco del 21 ottobre 2018
-la tempestività della segnalazione al titolare prescinde, poi, dalla necessità di verificare, tramite analisi intermedie di conferma, la certezza della violazione o del relativo pericolo (nella specie: altamente probabile ed imminente), poiché grava sul titolare il compito di effettuare la menzionata valutazione allorché informato dal responsabile
-va infine sottolineato che il rapporto contrattuale intercorso tra e non Controparte_1 CP_5 esonerava la prima dall'obbligo di tempestiva segnalazione ad titolare del trattamento Controparte_4
-l'art.33, secondo comma, del Regolamento prevede espressamente che “…il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione …”
-in conclusione, deve ritenersi definitivamente accertata in capo a la violazione di cui Controparte_1 al cit. art.33, secondo comma
°°°
-ricorre poi nella specie l'ulteriore violazione e, cioè, quella relativa all'art.28, par.2 del Regolamento, secondo la quale “…il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica e generale, del titolare del trattamento …”
-l'autonoma designazione di Truel IT s.r.l. da parte di con atto del 17 settembre 2018 Controparte_1 è circostanza pacifica, ammessa dalla stessa ricorrente
-quest'ultima ha cercato di ridimensionare la gravità della violazione, sottolineandone la natura meramente colposa e l'assenza di una concreta offensività in ragione della limitatezza del volume dei dati effettivamente trattati, del limitato intervallo temporale del trattamento nonché della natura ordinaria dei dati personali dispersi nell'attacco informatico
-la ricorrente ha poi affermato che “…il Gruppo RE sta continuando a rivolgersi a quale CP_1 Contr fornitore, o, in altri termini, non ha mai smesso di affidarsi a Data …”
-in realtà, la gravità della violazione da parte del responsabile del trattamento deve essere considerata “a monte” e non alla luce né della condotta realizzata dall'ulteriore responsabile né delle conseguenze concretamente subite dal titolare
-inoltre – e soprattutto -- la violazione in esame deve essere valutata congiuntamente a quella dell'art. 33, par.2, del Regolamento
-nella specie, la scelta non autorizzata di affidare a Truel IT s.r.l. la delicata esecuzione del Penetration Test e del Vulnerability Assessmnt rientra nell'ambito delle misure tecniche e organizzative adottate dal responsabile del trattamento ( al fine della tutela della sicurezza dei dati Controparte_1
-pertanto, la necessità o l'opportunità di individuare un sub-responsabile del trattamento avrebbe dovuto pagina 11 di 12 costituire oggetto di una preventiva valutazione tecnico-imprenditoriale da parte di anche Controparte_1 in considerazione della possibile sopravvenienza di circostanze idonee ad aggravare il concreto espletamento, nei termini pattuiti, dell'incarico conferito da CP_5
-inoltre, il superiore obiettivo dell'esatto adempimento, da parte di degli obblighi in materia Controparte_4 di sicurezza dei dati personali imposti dal Regolamento UE è ente condizionato dalla designazione formalmente non autorizzata del sub-responsabile del trattamento Contr
-infatti, proprio il ritardo con il quale Truel IT s.r.l. ha comunicato a i risultati Controparte_1 provvisori delle verifiche informatiche in corso ha costituito il primo elemento costitutivo della violazione, da parte del responsabile del trattamento, dell'art.33, par.2, del Regolamento
°°°
-le superiori argomentazioni giustificano la conferma del provvedimento del Garante anche sotto il profilo della sanzione pecuniaria irrogata pari a € 800.000
-ricorrono infatti i principi di effettività, proporzionalità e dissuasività alla luce delle circostanze specificatamente illustrate ai par. a) – e) dell'ordinanza-ingiuntiva (pag.13)
-dall'altro canto, l'assenza di precedenti provvedimenti nei confronti di nonché la Controparte_1 fattiva collaborazione della stessa in ordine alla ricostruzione degli eventi e ai rapporti con il titolare del trattamento giustificano l'annullamento della sanzione ulteriore della pubblicazione sul sito Internet del Garante dell'ordinanza ingiunzione
-la sanzione pecuniaria irrogata è infatti sufficiente a dissuadere l'ingiunta dal compimento di ulteriori violazioni del Regolamento
-inoltre, la pubblicazione dell'ordinanza potrebbe indirettamente arrecare alla stessa un ulteriore e ingiustificato pregiudizio patrimoniale in termini di perdita di clientela anche futura
-in conclusione, l'opposizione proposta da art.10 d.lgv. n.150 del 2011 è fonDA Controparte_1 limitatamente al profilo dell'irrogazione della sanzione della pubblicazione
-le spese processuali seguono la soccombenza sostanziale e si liquidano come da dispositivo con applicazione dei valori previsti dalle Tabelle dei compensi con riferimento a ciascuna fase processuale effettivamente esperita
P.Q.M.
Il Tribunale, definitivamente pronunciando nel procedimento art.10 d.lgv. n.150 del 2011 relativo all'opposizione alla ordinanza ingiunzione n.66 emessa in DA 8 febbraio 2024 dal Garante per la protezione dei dati personali, ogni altra domanda od eccezione rigettata, così dispone:
1) conferma l'ordinanza ingiunzione indicata in epigrafe, ad eccezione della sanzione della pubblicazione della stessa sul sito Internet del Garante
2) condanna alla rifusione, in favore del Garante, delle spese processuali che si Controparte_1 liquidano in € 20.000,00 per compenso, oltre a CPA, spese generali ed IVA se dovuta.
Milano, 27 giugno 2025
Il Giudice
dott. Angelo Claudio Ricciardi
pagina 12 di 12