Una sanzione da 31,8 milioni di euro è stata comminata dal Garante per la protezione dei dati personali a Intesa Sanpaolo. Il motivo è pesante: un dipendente della banca ha avuto accesso, senza alcun motivo giustificato, alle informazioni bancarie di 3.573 clienti, totalizzando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024. Un arco temporale lungo più di due anni, durante il quale i sistemi di sicurezza interni non hanno rilevato nulla. Ed è proprio questo il punto che ha reso la vicenda ancora più grave agli occhi dell’Autorità: le misure tecniche e organizzative adottate dall’istituto bancario sono state giudicate del tutto inadeguate.
L’istruttoria è partita dopo la notifica di data breach inviata dalla banca nel luglio 2024. Il Garante ha evidenziato come gli accessi indebiti siano sfuggiti completamente ai meccanismi di monitoraggio e prevenzione interni. Un fallimento su più livelli, insomma, che ha messo in discussione l’intero modello operativo della banca. Quel modello, infatti, consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, senza che fossero previsti controlli adeguati a intercettare e bloccare consultazioni prive di giustificazione.
Coinvolti anche clienti con ruoli di rilievo pubblico
A rendere il quadro ancora più delicato c’è la natura dei correntisti coinvolti. Tra le vittime del data breach figurano anche clienti classificati come “ad alto rischio”, tra cui persone con ruoli di rilievo pubblico. Per questi soggetti, sottolinea il Garante, sarebbero stati necessari presidi di controllo rafforzati, che evidentemente non erano stati implementati a dovere.
L’Autorità ha accertato la violazione dei principi di integrità e riservatezza dei dati personali, oltre che del principio di accountability. Il sistema di Intesa Sanpaolo, nel suo complesso, non era in grado di garantire quel livello minimo di protezione che la normativa richiede.
Notifica tardiva e comunicazione incompleta
Ci sono poi le criticità legate alla gestione stessa del data breach. La notifica al Garante è risultata incompleta e tardiva rispetto ai termini previsti dalla legge. Lo stesso vale per la comunicazione ai clienti coinvolti, che è avvenuta soltanto dopo un precedente provvedimento del Garante datato 2 novembre 2024. Questo ritardo, secondo l’Autorità, ha compromesso la possibilità di intervenire tempestivamente a tutela dei diritti e delle libertà delle persone interessate.
Alla luce di tutti questi elementi, il Garante ha dichiarato illecita la condotta di Intesa Sanpaolo. Per quanto riguarda la determinazione della sanzione da 31,8 milioni di euro, l’Autorità ha tenuto conto della gravità e della durata delle violazioni, dell’elevato numero di clienti coinvolti e anche delle misure correttive che l’istituto ha adottato dopo i fatti, finalizzate al rafforzamento dei sistemi di controllo interno e dei presidi di sicurezza.
