Le autorità di regolamentazione statunitensi hanno multato Morgan Stanley di $ 35 milioni per una “sorprendente” mancata protezione dei dati dei clienti, che ha portato alla vendita all’asta online di alcuni hardware del computer contenenti dati sensibili dei clienti.

La US Securities and Exchange Commission ha dichiarato martedì che l’attività di gestione patrimoniale della banca di Wall Street non è riuscita a proteggere le informazioni che identificano circa 15 milioni di clienti in un periodo di cinque anni.

Almeno dal 2015, la banca, che ha accettato di saldare le spese senza ammettere o negare le accuse, non ha smaltito correttamente i dispositivi che memorizzano i dati personali dei clienti, secondo la SEC.

Morgan Stanley ha assunto una società di traslochi che non era specializzata nello scarto di dati e le ha affidato il compito di disabilitare migliaia di server e dischi rigidi, ha affermato l’agenzia.

La società di traslochi ha successivamente venduto migliaia di dispositivi della banca, alcuni dei quali contenevano dati dei clienti, a terzi prima che fossero infine rivenduti su un sito di aste online. La banca ha recuperato parte ma non la maggior parte delle attrezzature, ha affermato la SEC.

Le autorità hanno anche scoperto che Morgan Stanley non è riuscita a proteggere i dati dei clienti durante la chiusura di alcuni server sulla sua rete. Durante questa procedura, la banca si è resa conto che mancavano 42 server che potrebbero aver memorizzato informazioni personali non crittografate dei clienti.

“Siamo lieti di risolvere questa questione. Abbiamo precedentemente informato i clienti interessati in merito a queste questioni, che si sono verificate diversi anni fa, e non abbiamo rilevato alcun accesso non autorizzato o uso improprio delle informazioni personali dei clienti”, ha affermato Morgan Stanley in una nota.

Il direttore della divisione esecutiva della SEC, Gurbir Grewal, ha descritto i fallimenti di Morgan Stanley come “sorprendenti”.

“L’azione di oggi invia un chiaro messaggio alle istituzioni finanziarie che devono prendere sul serio il loro obbligo di salvaguardare tali dati”, ha affermato Grewal in una nota.

La sanzione è significativamente maggiore della multa di $ 1 milione che l’azienda di gestione patrimoniale ha accettato di pagare alla SEC nel 2016 per un reato simile. La stessa divisione ha anche raggiunto un accordo in un’azione collettiva per violazione dei dati, una risoluzione che includeva la creazione di un fondo di 60 milioni di dollari per risarcire le vittime.

Morgan Stanley ha acquisito una partecipazione di maggioranza nell’attività di gestione patrimoniale Smith Barney di Citigroup nel 2009 prima di completare un’acquisizione completa nel 2012.

La divisione ha costituito il fulcro della spinta di Morgan Stanley alla gestione patrimoniale e dei suoi sforzi per ridurre la sua dipendenza dall’investment banking e dal trading.

La mossa contro Morgan Stanley arriva quando la SEC intensifica il controllo sulle pratiche di tenuta dei registri di Wall Street. L’agenzia ha avviato un’indagine sull’archiviazione delle comunicazioni che si è diffusa in tutto il settore bancario, con i prestatori che si preparano a pagare oltre 1 miliardo di dollari di sanzioni alla SEC e alla Commodity and Futures Trading Commission.

JPMorgan a dicembre ha accettato di pagare alle autorità di regolamentazione statunitensi un record di 200 milioni di dollari per non aver mantenuto i registri delle comunicazioni dei dipendenti sui dispositivi personali.