Conti bancari spiati: Intesa Sanpaolo multata dal Garante Privacy per 31,8 milioni

Il Garante per la protezione dei dati personali ha comminato una sanzione di 31,8 milioni di euro a Intesa Sanpaolo a causa di gravi lacune nella sicurezza dei dati. La decisione segue un data breach segnalato nel 2024, che ha rivelato come un dipendente abbia avuto accesso illecito ai conti di 3.573 clienti per oltre due anni, senza essere rilevato dai sistemi interni della banca.

Powered by

Accessi impropri e criticità dei controlli

Durante il periodo tra febbraio 2022 e aprile 2024, il dipendente ha consultato più di 6.600 volte le informazioni bancarie, comprese quelle di clienti definiti “ad alto rischio”, come soggetti con incarichi pubblici, per i quali sarebbero necessarie misure di protezione più severe. Il modello operativo della banca, secondo il Garante, permetteva un accesso troppo esteso alla base clienti, senza strumenti adeguati per prevenire o rilevare accessi non autorizzati.

Gestione inadeguata del data breach

L’autorità ha sottolineato anche ritardi e incompletezze nella notifica del data breach, sia verso l’Autorità sia verso i clienti coinvolti. La comunicazione ai clienti è avvenuta solamente dopo un provvedimento del Garante del 2 novembre 2024, compromettendo la possibilità di un intervento tempestivo a tutela dei diritti degli interessati.

Gravità e conseguenze della sanzione

La misura sanzionatoria tiene conto della durata prolungata delle violazioni, del numero elevato di clienti coinvolti e della serietà delle carenze organizzative e tecniche rilevate. Intesa Sanpaolo ha successivamente adottato misure correttive per rafforzare la sicurezza dei sistemi e migliorare la protezione dei dati personali.

Questo provvedimento si inserisce in un contesto più ampio di interventi dell’Autorità verso il gruppo, come il recente caso Isybank, relativo al trattamento dei dati di milioni di clienti.