Il Garante per la protezione dei dati personali ha irrogato una sanzione di 31,8 milioni di euro a Intesa Sanpaolo S.p.A. per gravi carenze nella sicurezza dei dati personali, riconducibili all’inadeguatezza delle misure tecniche e organizzative adottate dall’istituto bancario.
L’istruttoria dell’Autorità è stata avviata a seguito del data breach notificato dalla banca nel luglio 2024. Le indagini hanno accertato che un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti, effettuando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024. Tali accessi indebiti non sono stati rilevati dai sistemi di controllo interni, evidenziando significative criticità nei meccanismi di monitoraggio e prevenzione.
Tra i clienti coinvolti figurano anche soggetti classificati come “ad alto rischio”, tra cui persone con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati. Il Garante ha in particolare accertato la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate dalla banca.
Il modello operativo in uso consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, senza che tale accesso fosse adeguatamente bilanciato da controlli idonei a prevenire e individuare consultazioni non giustificate da ragioni di servizio.
Ulteriori criticità sono emerse nella gestione del data breach stesso. Secondo il Garante, la notifica all’Autorità è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa. Anche la comunicazione ai clienti coinvolti ha subito notevoli ritardi: è avvenuta solo a seguito di un provvedimento del Garante del 2 novembre 2024, compromettendo la possibilità di un tempestivo intervento a tutela dei diritti delle persone coinvolte.
Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto della gravità e della durata delle violazioni, dell’elevato numero di clienti interessati, nonché delle misure correttive adottate dall’istituto successivamente ai fatti, finalizzate al rafforzamento dei sistemi di controllo interno e dei presidi di sicurezza. Per restare sempre aggiornato scarica GRATIS la nostra App!
