Aktia sai lähes miljoonan euron rapsut tietoturvallisuuden laiminlyönnistä – vahvalla tunnistautumisella pääsi asioimaan toisen nimissä

Aktia on saanut 865 000 euron seuraamusmaksun henkilötietoihin liittyvän tietoturvallisuuden laiminlyönnistä, kertoo tietosuojavaltuutetun toimisto. Ratkaisu koskee toissa vuonna tapahtunutta häiriötä pankin sähköisen tunnistautumisen palvelussa.

Häiriön vuoksi osa Aktian asiakkaista näki toisten asiakkaiden henkilökohtaisia tietoja tunnistautuessaan pankin verkkopankkitunnuksilla vahvaa tunnistautumista vaativiin palveluihin. Näitä olivat eri viranomaispalvelut, työttömyyskassat, vakuutusyhtiöt ja terveydenhuollon palveluntarjoajat.

Myös asiointi toisen asiakkaan nimissä oli ollut mahdollista. Vika ei kuitenkaan koskenut Aktian verkkopankkiin kirjautumista. Tietoturvaloukkaus koski noin 350 henkilöä. Tietosuojavaltuutetun toimisto sanoo, ettei tietojen väärinkäyttöä ole tullut Aktian tietoon.

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi seuraamusmaksusta 23. lokakuuta annetussa päätöksessään. Ratkaisun mukaan pankki ei ollut noudattanut tietosuojalainsäädännön vaatimuksia henkilötietojen turvallisesta käsittelystä.

Tiedotteessaan toimisto kertoo, että Aktian häiriötä edelsi pankin tunnistuspalvelussa tehty tekninen muutos. Tietosuojavaltuutetun mukaan pankilla oli puutteita muutoksen suunnittelussa, toteutuksessa ja testauksessa.

– Mitä suurempia määriä henkilötietoja käsitellään ja mitä vakavampia seurauksia niiden vaarantuminen voi ihmisille aiheuttaa, sitä enemmän on panostettava turvallisuuteen ja tarvittaviin toimenpiteisiin, sanoo apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa tiedotteessa.

Toimisto kertoo, että Aktia on ottanut häiriön jälkeen käyttöön testausmenetelmiä, joilla voi varmistaa, etteivät asiakkaiden tunnistautumiset mene ristiin.