L'autorité de protection des données italienne a infligé une amende de 2,8 millions d'euros à UniCredit Spa. La banque avait subi une cyberattaque sur son portail de banque mobile, au cours de laquelle les attaquants ont eu accès à de nombreuses données (par exemple, nom, numéro de sécurité sociale, codes d'identification) de milliers de clients et d'anciens clients. Les attaquants ont également pu déterminer le code PIN permettant d'accéder au portail de plus de 6 800 clients. Au cours de son enquête, l'autorité de protection des données a constaté que le responsable du traitement n'avait pas mis en œuvre les mesures techniques et de sécurité appropriées pour contrer une telle cyberattaque. Le responsable du traitement n'avait pas non plus empêché les clients d'utiliser des codes PIN faibles. Lors de la fixation de l'amende, l'autorité de protection des données a tenu compte du grand nombre de personnes concernées et de la gravité de la violation. Cependant, le fait que la banque ait pris des mesures correctives en temps utile et qu'aucune donnée bancaire n'ait été affectée a été pris en compte de manière positive.