Bank inwestycyjny Morgan Stanley został ukarany grzywną w wysokości 35 milionów dolarów przez Komisję Papierów Wartościowych i Giełd (SEC) za rozległe zaniedbania w zakresie zabezpieczania danych osobowych klientów banku. Zdaniem SEC bank zaniedbań dokonywał co najmniej od 2015 roku. Zgodnie z wynikami dochodzenia federalnego regulatora, to właśnie od tego czasu Morgan Stanley nie pozbywał się urządzeń przechowujących wrażliwe dane w sposób właściwy.
W jednym z przypadków Morgan Stanley wynajął firmę, która „nie miała doświadczenia” w zakresie niszczenia danych do likwidacji tysięcy twardych dysków i serwerów przechowujących dane klientów. Efektem tej operacji było wystawienie tych urządzeń na sprzedaż w internetowym serwisie aukcyjnym bez usunięcia przynajmniej z części z nich danych klientów. Morgan Stanley był w stanie odzyskać część urządzeń, ale nie wszystkie.
-– Zaniedbania Morgan Stanley w tej sprawie są zdumiewające. Jeżeli nie są odpowiednio zabezpieczone, te wrażliwe dane mogą trafić w niepowołane ręce i mieć katastrofalne konsekwencje dla inwestorów – stwierdził, cytowany przez CNN, Gurbir Grewal, dyrektor wydziały egzekucyjnego SEC.
Czytaj więcej
Komisja Nadzoru Finansowego nałożyła kary finansowe o łącznej kwocie 3,35 mln zł na byłego prezesa firmy GetBack (obecnie Capitea) Konrada Kąkolewskiego.
Poza aferą (czy też w sumie w jej ramach) z twardymi dyskami i serwerami SEC udało się wykryć, że Morgan Stanley nie zabezpieczył danych klientów i nie pozbył się prawidłowo informacji o raportach konsumenckich. Były one zawarte na serwerach lokalnych biur i oddziałów. W ugodzie z SEC Morgan Stanley przyznał się do „zagubienia” 42 serwerów potencjalnie zawierających niezaszyfrowane dane i informacje o konsumentach.
Bank zdecydował się na ugodę z Komisją Papierów Wartościowych i Giełd, w wyniku której zapłaci 35 milionów dolarów grzywny. Morgan Stanley zgodził się na zapłatę grzywny bez przyznawania się do ustalonych przewin, ale też bez zaprzeczania ich istnieniu.
– Powiadomiliśmy klientów o tych przypadkach, które miały miejsce kilka lat temu i nie wykryliśmy żadnego nieautoryzowanego dostępu do osobistych informacji o klientach ani ich niewłaściwego wykorzystania – stwierdził bank w oświadczeniu towarzyszącym ogłoszeniu ugody z SEC.
