Intesa Sanpaolo, maxi multa da 31,8 milioni: accessi illeciti ai dati e gestione del data breach sotto accusa
Intesa Sanpaolo torna al centro dell’attenzione per una nuova sanzione legata alla gestione dei dati personali. Dopo una prima multa ricevuta nelle scorse settimane, l’istituto è stato nuovamente colpito dal Garante per la protezione dei dati personali con una sanzione da 31,8 milioni di euro.
Il provvedimento arriva a seguito di un’istruttoria che ha evidenziato criticità rilevanti nella sicurezza e nella gestione delle informazioni dei clienti, in parte collegate a un data breach notificato nel 2024.
Si tratta della seconda sanzione nel giro di un mese, dopo quella da 17,6 milioni di euro relativa al trasferimento dei dati verso Isybank.
Le carenze nei sistemi di sicurezza
Secondo quanto comunicato dal Garante, l’indagine ha accertato che un dipendente ha effettuato accessi non autorizzati ai dati bancari di 3.573 clienti, per un totale di oltre 6.600 consultazioni tra febbraio 2022 e aprile 2024.
Questi accessi, ritenuti privi di giustificazione, non sono stati intercettati dai sistemi di controllo interni, evidenziando una debolezza nelle misure di monitoraggio adottate.
Tra i profili coinvolti figurano anche clienti considerati ad alto rischio, inclusi soggetti con ruoli pubblici rilevanti, per i quali sono generalmente richiesti livelli di protezione più elevati.
L’autorità ha quindi rilevato la violazione dei principi fondamentali del trattamento dei dati, tra cui integrità, riservatezza e accountability, sottolineando l’inadeguatezza complessiva delle misure tecniche e organizzative adottate.
La gestione del data breach
Un ulteriore elemento emerso riguarda la gestione del data breach segnalato nel 2024. Secondo il Garante, la comunicazione dell’incidente è avvenuta in modo incompleto e tardivo rispetto agli obblighi previsti dalla normativa europea.
In particolare, la notifica non avrebbe rispettato i tempi stabiliti e la comunicazione agli interessati sarebbe avvenuta solo dopo un intervento diretto dell’autorità.
La normativa di riferimento, contenuta nel Regolamento generale sulla protezione dei dati (GDPR), prevede che in caso di violazioni potenzialmente rischiose per gli utenti, la comunicazione debba avvenire senza ingiustificato ritardo.
Nel caso specifico, il Garante ha ritenuto che la gestione dell’evento non fosse conforme a tali disposizioni, portando alla contestazione formale della condotta.
Due sanzioni in poche settimane
La multa da 31,8 milioni di euro si aggiunge a quella già inflitta nelle settimane precedenti, portando a un totale di quasi 50 milioni di euro di sanzioni in un arco temporale molto breve.
Il primo provvedimento riguardava il trasferimento dei dati di circa 2,4 milioni di clienti alla controllata Isybank, effettuato senza un adeguato consenso secondo quanto rilevato dall’autorità.
Con questa nuova decisione, il Garante ha ribadito la necessità per gli operatori finanziari di adottare sistemi di sicurezza adeguati e procedure rigorose nella gestione delle informazioni personali.
