NEWS

La scure del Garante Privacy colpisce ancora Intesa Sanpaolo: sanzione da 31,8 milioni di euro per misure di sicurezza inadeguate

A distanza di appena pochi giorni dalla sanzione di 17,6 milioni di euro per il trasferimento dei dati di 2,4 milioni di clienti alla controllata al 100% Isybank Spa, Intesa Sanpaolo finisce ancora sotto la scure del Garante Privacy con una seconda sanzione di 31,8 milioni di euro, stavolta per gravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate.

L’istruttoria dell’Autorità – avviata a seguito del data breach notificato dalla banca nel luglio 2024 – ha accertato che un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti, effettuando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024. Tali accessi indebiti non sono stati rilevati dai sistemi di controllo interni, evidenziando significative criticità nei meccanismi di monitoraggio e prevenzione.

L’accesso illecito ha riguardato anche dati relativi a clienti “ad alto rischio”, tra cui soggetti con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati.

L’Autorità ha accertato, in particolare, la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate. Il modello operativo utilizzato, che consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, non era infatti adeguatamente bilanciato da controlli idonei a prevenire e individuare accessi non giustificati.

Ulteriori criticità sono emerse nella gestione del data breach. La notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione agli interessati, avvenuta solo a seguito di un precedente provvedimento del Garante del 2 novembre 2024 (doc. web n. 10070521). Tali condotte hanno compromesso la possibilità di un tempestivo intervento dell’Autorità a tutela dei diritti e delle libertà delle persone coinvolte.

Alla luce delle violazioni riscontrate, il Garante ha ritenuto illecita la condotta posta in essere da Intesa Sanpaolo.

Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto della gravità e della durata delle violazioni, dell’elevato numero di clienti coinvolti, nonché delle misure correttive adottate dall’istituto successivamente ai fatti, finalizzate al rafforzamento dei sistemi di controllo interno e dei presidi di sicurezza.

Con questo secondo provvedimento, l'ammontare delle sanzioni inflitte dal Garante a Intesa Sanpaolo sale quindi a 49,4 milioni di euro nell'arco di pochi giorni.

Fonte: Garante Privacy

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Pubblicato senza consenso il numero di telefono di una donna in un annuncio online, il Garante Privacy sanziona Bakeca
Next Pubblicato online un atto di citazione con i dati anagrafici di 12 cittadini firmatari: sanzionata Eni per violazione della privacy

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy