Si torna a parlare di sicurezza bancaria, con la sanzione da 31,8 milioni di euro irrogata a Intesa Sanpaolo dal Garante per la protezione dei dati personali.
Il provvedimento, tra i più rilevanti degli ultimi anni in Italia in materia di privacy, nasce da un data breach (in italiano, violazione dei dati personali) notificato dalla stessa banca nel luglio 2024.
Indice
Data breach in Intesa Sanpaolo: il caso
L’istruttoria, ha ricostruito il Garante in un comunicato stampa, ha accertato che tra il 21 febbraio 2022 e il 24 aprile 2024, un dipendente ha effettuato oltre 6.600 accessi non autorizzati ai dati bancari di 3.573 clienti, senza alcun giustificato motivo.
Il punto più critico evidenziato dall’Autorità riguarda l’assenza di sistemi di controllo efficaci. Gli accessi indebiti, prolungati per oltre due anni, non sono stati intercettati dai meccanismi interni della banca, segnalando falle nei sistemi di monitoraggio e prevenzione.
Particolarmente delicato è il fatto che tra i soggetti coinvolti figurino anche clienti “ad alto rischio”, inclusi individui con ruoli di rilievo pubblico. In questi casi, secondo il Garante, sarebbero stati necessari livelli di protezione e vigilanza più stringenti.
Violazioni del Gdpr e principio di accountability
Dal punto di vista normativo, il caso evidenzia violazioni significative del Regolamento europeo sulla protezione dei dati (Gdpr). In particolare, sono stati compromessi:
- il principio di integrità e riservatezza dei dati;
- il principio di accountability che impone alle aziende di dimostrare l’adeguatezza delle misure adottate.
Il modello operativo della banca, che consentiva agli operatori di accedere in modo trasversale all’intera base clienti, non era accompagnato da controlli adeguati per prevenire o individuare accessi non giustificati. Un’impostazione che, di fatto, ha ampliato il rischio.
Gestione tardiva del data breach
Ulteriori criticità sono emerse nella gestione del data breach stesso. La notifica all’Autorità è stata giudicata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione ai clienti coinvolti, avvenuta solo dopo un intervento del Garante nel novembre 2024.
Questi ritardi hanno limitato la possibilità di un intervento tempestivo a tutela degli interessati, aggravando la posizione dell’istituto nella valutazione finale della sanzione.
Le conseguenze e la reazione del mercato
Nel determinare la multa da 31,8 milioni di euro, il Garante ha tenuto conto di diversi fattori:
- la gravità e la durata delle violazioni;
- l’elevato numero di clienti coinvolti;
- le carenze sistemiche nei controlli interni;
- le misure correttive adottate successivamente dalla banca.
Nonostante la rilevanza della sanzione, il titolo di Intesa Sanpaolo non ha registrato contraccolpi significativi in Borsa, segno che i mercati hanno probabilmente già incorporato il rischio reputazionale e normativo o considerano gestibile l’impatto economico dell’episodio, che considerano ormai superato.
Cosa cambia per gli utenti di Intesa Sanpaolo
La sanzione del Garante della privacy, di fatto, non cambia nulla per le migliaia di clienti di Intesa Sanpaolo.
Un cambiamento, semmai, è già stato registrato in precedenza secondo l’eterno principio “ex malo bonum”: la violazione dei dati personali ha costretto l’istituto a correre ai ripari rivedendo il funzionamento di sistemi informatici e protocolli. Oggi, di fatto, gli utenti di Intesa Sanpaolo vengono tutelati da una protezione dei dati nettamente superiore rispetto al passato.
