Il Garante per la protezione dei dati personali ha comminato a Intesa Sanpaolo una sanzione di 31,8 milioni di euro in seguito a un’istruttoria avviata alla fine del 2024, a causa di un significativo data breach. Durante le indagini, sono emerse gravi violazioni del GDPR (Regolamento generale sulla protezione dei dati), in particolare riguardanti misure inadeguate per il monitoraggio degli accessi. A marzo, la banca era già stata multata per 17,6 milioni di euro per la profilazione dei clienti del servizio Isybank.
Accesso Abusivo ai Dati di Clienti
Il 17 luglio 2024, Intesa Sanpaolo ha segnalato un accesso abusivo ai dati bancari di diversi clienti da parte di un dipendente della filiale Agribusiness di Barletta, poi licenziato per giusta causa. La banca inizialmente aveva dichiarato che gli accessi, avvenuti tra il 21 febbraio 2022 e il 24 aprile 2024, interessavano solo 9 clienti. Comunque, a seguito di articoli di stampa in ottobre, il Garante ha avviato un’indagine che ha rivelato un numero molto maggiore di clienti colpiti.
L’ex dipendente ha effettuato 6.637 accessi ai dati di 3.572 clienti, inclusi 34 politici nazionali considerati “ad alto rischio”. Il Garante ha riscontrato che Intesa Sanpaolo non aveva comunicato adeguatamente il data breach a tutti i clienti interessati, informandoli solo dopo l’ordine di novembre 2024. Inoltre, i sistemi di controllo della banca non erano sufficientemente efficaci da rilevare gli accessi non autorizzati.
Misure Correttive e Sanzioni
L’autorità ha constatato che i meccanismi di monitoraggio e prevenzione erano inadeguati. Infatti, i dipendenti avevano accesso ai dati di tutti i clienti, senza restrizioni necessarie. A fronte della gravità e della durata delle violazioni, del numero di clienti coinvolti e delle misure correttive adottate, il Garante ha deciso di infliggere una sanzione di 31,8 milioni di euro. Intesa Sanpaolo ha la possibilità di presentare ricorso entro 30 giorni.
