Il Garante per la protezione dei dati personali ha inflitto a Intesa Sanpaolo una sanzione di 31,8 milioni di euro per gravi violazioni in materia di sicurezza dei dati. Il provvedimento chiude un’istruttoria che ha messo in luce falle significative nei sistemi di controllo interno del primo gruppo bancario italiano.
Al centro della vicenda nota è la condotta di un singolo dipendente della banca che, tra il 21 febbraio 2022 e il 24 aprile 2024, ha consultato senza alcuna giustificazione le informazioni bancarie di 3.573 clienti, effettuando complessivamente più di 6.600 accessi. Più di due anni di attività illecita che i sistemi interni di Intesa Sanpaolo non sono riusciti a intercettare, un fatto che da solo aiuta a comprendere la portata del problema. L’indagine del Garante ha accertato peraltro che tra i soggetti i cui dati sono stati consultati abusivamente figurano anche clienti classificati “ad alto rischio”, comprese persone con ruoli di rilievo pubblico. E per questa categoria di correntisti la normativa prevede presidi di sicurezza rafforzati, che nel caso specifico si sono rivelati del tutto insufficienti.
Modelli operativi inadeguati
Il Garante non si è limitato a sanzionare l’episodio in sé, ma ha messo sotto la lente l’intero impianto organizzativo. L’Autorità ha riscontrato la violazione dei principi di integrità e riservatezza dei dati personali previsti dal Gdpr, oltre al principio di accountability, ovvero l’obbligo per il titolare del trattamento di dimostrare la conformità delle proprie misure di protezione. Il punto critico riguarda il modello operativo adottato dalla banca all’epoca dei fatti: gli operatori potevano interrogare liberamente e senza restrizioni l’intera base clienti. Un’architettura di accesso che, per funzionare in sicurezza, avrebbe dovuto essere compensata da meccanismi di monitoraggio robusti, capaci di rilevare e segnalare tempestivamente comportamenti anomali. Meccanismi che, nei fatti, non hanno funzionato. Per oltre 24 mesi un dipendente ha potuto accedere a migliaia di posizioni senza che nessun alert venisse generato, nessun controllo automatico scattasse, nessun responsabile interno si accorgesse dell’anomalia. Si tratta di una carenza che va ben oltre il singolo caso. Il modello a “piena circolarità” – nell’ambito della data governance è la possibilità per qualsiasi operatore di accedere a qualsiasi posizione — è diffuso nel settore bancario per ragioni operative. Ma il Garante ha chiarito con questo provvedimento che la funzionalità non può prescindere dalla sicurezza: se si sceglie un modello aperto, i controlli devono essere proporzionalmente più stringenti.
La gestione del data breach
Un ulteriore profilo di criticità riguarda come Intesa Sanpaolo ha gestito la comunicazione della violazione, secondo il Garante. Il data breach è stato notificato al Garante nel luglio 2024, ma la notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa. Soprattutto, nelle prime comunicazioni inviate all’Autorità la banca non aveva evidenziato adeguatamente la reale portata della violazione, che è emersa solo successivamente — anche grazie alla copertura giornalistica del caso.
Ancora, è rilevato il ritardo nella comunicazione agli interessati. I clienti coinvolti non sono stati informati spontaneamente dalla banca: è stato necessario un provvedimento specifico del Garante, datato 2 novembre 2024, per obbligare Intesa Sanpaolo a notificare la violazione ai diretti interessati entro 20 giorni. In quel provvedimento l’Autorità ha espressamente dissentito dalla valutazione della banca, che non riteneva necessaria la comunicazione individuale, sottolineando invece come la violazione presentasse un rischio elevato per i diritti e le libertà delle persone coinvolte: divulgazione di informazioni patrimoniali, possibile danno reputazionale, esposizione a rischi ulteriori. Il ritardo nella comunicazione ha avuto una conseguenza concreta: per mesi i clienti spiati non avrebbero saputo che i propri dati erano stati consultati abusivamente, e non hanno potuto adottare alcuna misura di tutela. Una circostanza che il Garante ha pesato nella determinazione della sanzione, perché ha compromesso la possibilità di un intervento tempestivo a protezione degli interessati.
La sanzione e le implicazioni per il settore
Nell’individuare l’importo, il Garante ha tenuto conto di diversi fattori: la gravità intrinseca delle violazioni, la loro durata prolungata nel tempo, il numero elevato di persone coinvolte e le carenze nella gestione del data breach. Di segno opposto, come fattore attenuante, ha considerato le misure correttive che l’istituto ha adottato dopo la scoperta dei fatti per rafforzare i propri sistemi di controllo interno e i presidi di sicurezza. Si tratta comunque di una delle sanzioni più significative mai irrogate dal Garante italiano in materia di protezione dei dati personali e certamente la più rilevante nel settore bancario. Un segnale chiaro al mercato: la compliance privacy nel settore finanziario non può ridursi a un esercizio formale, ma deve tradursi in misure tecniche e organizzative effettivamente capaci di prevenire e rilevare gli accessi illegittimi.
La decisione del Garante indica con chiarezza che le banche devono dotarsi di strumenti in grado di rilevare pattern anomali — accessi massivi, consultazioni di posizioni non coerenti con l’attività lavorativa, interrogazioni su profili di persone esposte politicamente — e di generare alert in tempo reale. L’approccio reattivo, basato sulla scoperta a posteriori, non è compatibile con gli obblighi previsti dal Gdpr.
Il provvedimento conferma inoltre che la trasparenza nella gestione dei data breach non è opzionale. Minimizzare la portata di una violazione nelle comunicazioni al Garante, o ritardare l’informativa agli interessati, espone a conseguenze sanzionatorie aggiuntive e, soprattutto, aggrava il danno per le persone coinvolte.
Per Intesa Sanpaolo, oltre all’impatto economico diretto della multa, la vicenda rappresenta un danno reputazionale significativo, in un momento in cui la fiducia dei clienti nella gestione dei propri dati è un asset competitivo sempre più centrale.
© RIPRODUZIONE RISERVATA
