De Italiaanse bank UniCredit heeft, wegens een datalek waarbij de gegevens van zo'n 780.000 huidige en voormalige klanten door HTML-responses op straat kwamen te liggen, een AVG-boete van 2,8 miljoen euro gekregen. Het datalek deed zich voor bij een cyberaanval op de mobiele bankierenportaal van UniCredit. De aanvallers probeerden via een bruteforce-aanval, waarbij automatisch allemaal pincodes werden gegenereerd, op de accounts van klanten in te loggen.

De bankportaal bevatte twee kwetsbaarheden. De eerste betrof de HTML-responses die bij een inlogpoging werden verstuurd, ook als die onsuccesvol was. Deze responses bleken de gegevens van klanten te bevatten, zoals voornaam, achternaam, belastingnummer en interne bankidentificatiecode. Daarnaast had de bank geen maatregelen tegen bruteforce-aanvallen genomen en stond het eenvoudige pincodes toe, waardoor de aanvallers allerlei combinaties konden proberen.

Vanwege de kwetsbaarheid met de HTML-responses gaf elke inlogpoging de aanvallers toegang tot de gegevens van huidige en voormalige klanten. Bij zevenduizend klanten was de inlogpoging uiteindelijk succesvol. Na ontdekking van de aanval werden de gecompromitteerde pincodes geblokkeerd. Volgens de bank was er geen sprake van een 'hoog-risicovol' datalek. Op de website plaatste UniCredit een algemene waarschuwing en de zevenduizend klanten van wie het account was gecompromitteerd werden direct ingelicht.

De Italiaanse privacytoezichthouder GPDP was het hier niet mee eens en stelde dat het datalek een groot risico voor getroffen klanten vormde. Eind 2018 werd de bank opgedragen om ook de andere klanten gericht te informeren, wat het ook deed. De bank stelde in een reactie aan de GPDP dat het beschermende maatregelen had getroffen die verder gingen dan gebruikelijk waren op dat moment.

De GPDP verwierp het verweer. "Het is niet moeilijk om te zien dat toegang tot de persoonlijke data van klanten en voormalige klanten, zonder authenticatie, niet voldoet aan de privacywetgeving", aldus de toezichthouder. Daarnaast was het toestaan van eenvoudige pincodes zoals 00000000 en 12345678 en het ontbreken van bescherming tegen bruteforce-aanvallen een grote misser. Vanwege de impact, eerdere datalekken bij de bank, samenwerking en genomen tegenmaatregelen kwam de GPDP uiteindelijk uit op een boete van 2,8 miljoen euro. De bank heeft bezwaar tegen de boete aangetekend.