Maximulta per ‘Intesa Sanpaolo’: accessi indebiti ai dati di oltre tremila clienti

‘Data breach’, il ‘Garante per la privacy’ sanziona ‘Intesa Sanpaolo s.p.a.’ con una multa di quasi 32milioni di euro (provvedimento del 26 marzo 2026). Accertati accessi indebiti, per più di due anni, alle informazioni bancarie di oltre tremila e cinquecento clienti. Appurate gravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate.
L’istruttoria del ‘Garante’ – avviata a seguito del ‘data breach’ (ossia ‘violazione dei dati personali’) comunicato dalla banca nel luglio del 2024 – ha accertato che un dipendente dell’istituto di credito ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di ben tremila e cinquecentosettantatré clienti, effettuando oltre seimila e seicento consultazioni tra il 21 febbraio del 2022 e il 24 aprile del 2024. Tali accessi indebiti non sono stati rilevati dai sistemi di controllo interni, evidenziando, sottolinea il ‘Garante’, significative criticità nei meccanismi di monitoraggio e prevenzione.
L’accesso illecito ha riguardato anche dati relativi a clienti cosiddetti ad alto rischio, tra cui soggetti con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati.
Il ‘Garante’ ha accertato, in particolare, la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di ‘accountability’, rilevando l’inadeguatezza complessiva delle misure adottate. Il modello operativo utilizzato, che consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, non era infatti adeguatamente bilanciato da controlli idonei a prevenire e individuare accessi non giustificati.
Ulteriori criticità, precisa il ‘Garante’, sono emerse nella gestione del ‘data breach’. La notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione ai soggetti coinvolti, comunicazione avvenuta solo a seguito di un precedente provvedimento del ‘Garante’, provvedimento datato 2 novembre del 2024.
Tali condotte hanno compromesso la possibilità di un tempestivo intervento del ‘Garante’ a tutela dei diritti e delle libertà delle persone coinvolte.
Evidente, quindi, l’illecita condotta posta in essere da ‘Intesa Sanpaolo’, secondo il ‘Garante’, che, nel determinare l’importo della sanzione, ha tenuto conto della gravità e della durata delle violazioni, dell’elevato numero di clienti coinvolti, nonché delle misure correttive adottate dall’istituto successivamente ai fatti, finalizzate al rafforzamento dei sistemi di controllo interno e dei presidi di sicurezza.