Lo scorso anno il data breach che aveva colpito la Capital One aveva causato la divulgazione dei dati personali di oltre 106 milioni di clienti e richiedenti carte di credito, e già all’epoca la stessa società bancaria americana aveva previsto che la violazione avrebbe pesato complessivamente con costi a breve termine trai 100 ed i 150 milioni di dollari, ma ora arriva pure la stangata dal Governo e dalla Federal Reserve con una maxi sanzione da 80 milioni di dollari.
Come il Washington Business Journal, la Capital One aveva ammesso che la violazione massiva era avvenuta a causa di “una specifica vulnerabilità nella configurazione” che era stata poi risolta.
L’Office of the Comptroller of the Currency, che è un’agenzia federale governativa che ha la funzione di regolare e vigilare su tutte le banche statunitensi e sulle filiali delle banche estere presenti negli Stati Uniti, sostiene che la Capital One non è riuscita a stabilire efficaci processi di valutazione del rischio prima della migrazione a un ambiente cloud, ma la Capital One non ha né ammesso né negato.
Nel provvedimento governativo, che è stato anche accompagnato da un ordine di cessazione e desistenza, viene affermato che “l’audit interno della banca non è riuscito a identificare numerose vulnerabilità e lacune dei controlli nell’ambiente operativo cloud.”
Comunque, l’agenzia federale americana ha preso atto che Capital One “ha iniziato ad affrontare l’azione correttiva individuata e si è impegnata a fornire risorse per rimediare alle carenze”, anche se la banca dovrà presentare rapporti sullo stato di avanzamento entro 45 giorni dalla fine di ogni trimestre su tutte le azioni intraprese per conformarsi alle prescrizioni dei regolatori.
Fonte: Federprivacy