Sanzione per carenze nella sicurezza dei dati: il Garante interviene sul caso bancario

Un uso improprio e prolungato delle informazioni personali può mettere in discussione l’affidabilità dei sistemi di controllo interni anche in contesti altamente regolati come quello bancario. È in questa cornice che si inserisce il provvedimento adottato dal Garante per la protezione dei dati personali nei confronti di Intesa Sanpaolo, destinataria di una sanzione pari a 31,8 milioni di euro per violazioni rilevanti in materia di sicurezza dei dati.

L’intervento dell’Autorità segue un’istruttoria avviata dopo la notifica di una violazione dei dati personali risalente al luglio 2024. Gli accertamenti hanno evidenziato che, per un arco temporale superiore a due anni, un dipendente ha effettuato accessi non giustificati ai conti di migliaia di clienti. Le consultazioni, oltre 6.600, hanno riguardato informazioni bancarie di 3.573 persone, senza che i sistemi interni riuscissero a intercettare tempestivamente l’anomalia.

Il quadro emerso mette in luce criticità strutturali nei meccanismi di prevenzione e monitoraggio. In particolare, il modello operativo adottato consentiva un accesso esteso alla base clienti, senza che tale apertura fosse accompagnata da strumenti di controllo adeguati a individuare comportamenti anomali. Questo aspetto è stato ritenuto centrale nella valutazione dell’Autorità, che ha rilevato la violazione dei principi di integrità e riservatezza dei dati, oltre a carenze nell’accountability, ossia nella capacità del titolare di dimostrare la conformità alle norme.

Un elemento di particolare rilievo riguarda la tipologia di dati coinvolti. Tra i clienti interessati figurano anche soggetti qualificati come “ad alto rischio”, inclusi individui con incarichi pubblici, per i quali sarebbero stati necessari livelli di protezione più stringenti. La mancanza di presidi rafforzati ha contribuito ad aggravare la valutazione complessiva del caso.

Ulteriori criticità sono state riscontrate nella gestione stessa della violazione. La notifica del data breach è stata giudicata incompleta e tardiva rispetto agli obblighi previsti dal Regolamento generale sulla protezione dei dati, così come la comunicazione agli interessati, avvenuta solo successivamente a un intervento formale dell’Autorità. Questo ritardo ha limitato la possibilità di un’azione tempestiva a tutela delle persone coinvolte.

Nel determinare l’entità della sanzione, il Garante ha considerato diversi fattori: la durata delle violazioni, il numero elevato di clienti interessati e la natura dei dati trattati. Allo stesso tempo, sono state valutate le misure correttive adottate dall’istituto in seguito all’accaduto, orientate a rafforzare i controlli interni e i sistemi di sicurezza.

Il caso si inserisce in un contesto più ampio in cui la protezione dei dati personali rappresenta un elemento cruciale per la fiducia nei servizi digitali e finanziari. Episodi come questo evidenziano come, accanto agli obblighi normativi, sia determinante l’effettiva capacità organizzativa di prevenire e individuare tempestivamente comportamenti non conformi.

Approfondimenti:

• Data breach, Garante privacy sanziona Intesa Sanpaolo per 31,8 milioni di euro