Intesa Sanpaolo, multa da 31,8 milioni per violazione della privacy
Una sanzione da 31,8 milioni di euro. È il conto che il Garante per la protezione dei dati personali ha presentato a Intesa Sanpaolo per gravi carenze nella sicurezza delle informazioni dei propri clienti. Al centro del caso, un dipendente della banca che per oltre due anni ha consultato illecitamente i dati bancari di migliaia di correntisti e i sistemi interni dell’istituto non si sono accorti di niente.
La spia in banca.
L’istruttoria del Garante, avviata dopo che la stessa Intesa Sanpaolo aveva notificato il data breach nel luglio 2024, ha ricostruito una vicenda che si estende per più di due anni: tra il 21 febbraio 2022 e il 24 aprile 2024, un singolo dipendente ha effettuato oltre 6.600 consultazioni non autorizzate, accedendo ai dati bancari di 3.573 clienti senza alcun giustificato motivo.
Il fatto che nessuno dei sistemi di controllo interni abbia rilevato queste attività per tutto quel tempo è, per il Garante, la prova più eloquente dell’inadeguatezza delle misure di sicurezza adottate dalla banca. Il modello operativo in uso consentiva agli operatori di interrogare liberamente l’intera base clienti, senza che esistessero meccanismi sufficienti a individuare e bloccare gli accessi anomali.
Tra i clienti colpiti figurano anche soggetti con ruoli di rilievo pubblico, persone per le quali, secondo le norme vigenti, sarebbero stati necessari presidi di protezione ancora più stringenti.
Le violazioni contestate.
Il Garante ha accertato la violazione di principi fondamentali del Regolamento europeo sulla protezione dei dati: integrità e riservatezza delle informazioni personali, ma anche il principio di accountability, ovvero la responsabilità della banca di dimostrare di aver adottato misure adeguate a prevenire episodi simili.
A aggravare il quadro, la gestione del data breach stessa è risultata difettosa: la notifica all’Autorità è arrivata in ritardo e incompleta rispetto ai termini previsti dalla normativa. I clienti coinvolti, inoltre, sono stati informati dell’accaduto solo dopo un provvedimento del Garante del 2 novembre 2024, mesi dopo che la banca era venuta a conoscenza della violazione.
La sanzione.
Nel quantificare la multa, l’Autorità ha tenuto conto della durata prolungata delle violazioni, dell’elevato numero di clienti coinvolti e della gravità complessiva della condotta. Ha però considerato anche le misure correttive adottate da Intesa Sanpaolo dopo la scoperta dei fatti, con cui la banca ha provveduto a rafforzare i sistemi di monitoraggio e i presidi di sicurezza interni.
foto StockSnap da pixabay.com
