Il Garante per la protezione dei dati personali ha inflitto una sanzione di 31,8 milioni di euro a Intesa Sanpaolo per gravi violazioni nella gestione dei dati personali dei clienti. Il provvedimento arriva al termine di un’istruttoria avviata dopo un data breach notificato dalla banca nel luglio 2024.
Data breach: accessi abusivi ai conti di oltre 3.500 clienti
Secondo quanto accertato dall’Autorità, un dipendente ha effettuato accessi non autorizzati ai dati bancari di 3.573 clienti, con oltre 6.600 consultazioni tra febbraio 2022 e aprile 2024.
Questi accessi indebiti non sono stati intercettati dai sistemi interni, evidenziando gravi lacune nei controlli di sicurezza e monitoraggio. Un aspetto particolarmente critico riguarda il fatto che tra i clienti coinvolti figuravano anche soggetti “ad alto rischio”, inclusi individui con incarichi pubblici rilevanti.
Violazione del GDPR: integrità, riservatezza e accountability
Il Garante ha rilevato la violazione di principi fondamentali previsti dal Regolamento generale sulla protezione dei dati, tra cui:
- Integrità e riservatezza dei dati personali
- Principio di accountability
- Adeguatezza delle misure tecniche e organizzative
Il modello operativo della banca consentiva ai dipendenti di accedere all’intera base clienti senza adeguati filtri, rendendo possibile l’abuso senza un sistema efficace di prevenzione o rilevazione.
Gestione del data breach: ritardi e comunicazioni incomplete
Ulteriori criticità sono emerse nella gestione dell’incidente:
- La notifica del data breach è risultata tardiva e incompleta
- La comunicazione ai clienti coinvolti è avvenuta solo dopo un precedente intervento del Garante (novembre 2024)
Queste mancanze hanno compromesso la possibilità di un intervento tempestivo a tutela degli interessati.
Perché la multa è così alta
Nel determinare l’importo della sanzione, il Garante ha considerato:
- La gravità e durata delle violazioni
- Il numero elevato di clienti coinvolti
- Le carenze strutturali nei sistemi di controllo
- Le misure correttive adottate successivamente dalla banca
Nonostante gli interventi migliorativi implementati dopo i fatti, la condotta è stata ritenuta complessivamente illecita.
Implicazioni per il settore bancario e la sicurezza dei dati
Questo caso rappresenta un importante precedente per tutto il settore finanziario, sottolineando la necessità di:
- Rafforzare i sistemi di controllo interno
- Limitare gli accessi ai dati secondo il principio del “need to know”
- Migliorare la capacità di rilevare accessi anomali
- Gestire i data breach in modo tempestivo e trasparente.