NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • Dipendenti “curiosi”: le misure organizzative necessarie per proteggere i dati aziendali ed evitare sanzioni del Garante Privacy

Dipendenti “curiosi”: le misure organizzative necessarie per proteggere i dati aziendali ed evitare sanzioni del Garante Privacy

Un dipendente di filiale apre il gestionale. Digita il nome di un cliente — non suo, non della sua area, non per ragioni di lavoro. Lo fa per curiosità, o per qualcosa di peggio. Ripete questa operazione ben 6.637 volte nell’arco di due anni, senza che alcun sistema di controllo si attivi. Questo è la sintesi del caso Intesa Sanpaolo.

L’aspetto sorprendente è che non si tratta di un attacco informatico sofisticato dall’esterno, ma di un “banale” accesso da parte di un “curioso” dotato di credenziali e privilegi, in assenza di un’adeguata supervisione.

Il 26 marzo 2026 il Garante per la protezione dei dati personali ha emesso il Provvedimento n. 208, comminando a Intesa Sanpaolo S.p.A. una sanzione mostre di 31,8 milioni di euro. Il protagonista della vicenda è un dipendente della filiale Agribusiness di Barletta che, tra febbraio 2022 e aprile 2024, aveva fatto accesso senza alcuna giustificazione professionale ai dati bancari di migliaia di clienti — tra cui persone politicamente esposte, figure istituzionali e conoscenti privati.

Il dipendente è attualmente indagato per accesso abusivo a sistemi informatici e tentato procacciamento di notizie concernenti la sicurezza dello Stato. «…Il modello operativo consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, senza controlli idonei a prevenire e individuare accessi non giustificati…», così recita il provvedimento.

Il fallimento non risiede nella condotta individuale del dipendente — che non è oggetto di alcuna sanzione da parte del Garante — bensì nell’inadeguatezza delle misure tecniche e organizzative, che hanno reso possibile tale comportamento in modo invisibile e prolungato nel tempo.

Il sistema consentiva a qualunque operatore di filiale di interrogare l’intera base dati dei clienti della banca senza restrizioni (geografiche, operative, temporali).

Un modello pensato per la flessibilità del day by day, non per la sicurezza. Nessun alert veniva generato per ricerche anomale in termini di volume, frequenza o pertinenza rispetto al ruolo. Il risultato finale è che un singolo dipendente ha potuto curiosare in oltre tremila posizioni finanziarie nel silenzio dei sistemi di monitoraggio.

L’insider threat - La sicurezza informatica aziendale è storicamente orientata verso l’esterno: firewall, antivirus, MFA, VAPT, ecc. Soluzioni implementate per tenere fuori chi non deve entrare. Tuttavia, una quota significativa delle violazioni di dati aziendali non proviene dall’esterno, bensì dall’interno.

L’agente di minaccia (insider) è rappresentato da dipendenti, collaboratori e consulenti, ovvero persone con accesso legittimo ai sistemi che utilizzano tale accesso in modo improprio.

Il fenomeno viene definito insider threat e presenta caratteristiche diverse a seconda della motivazione. Ci sono gli insider malevoli, mossi da interesse economico, rancore o intenti di spionaggio. Ci sono gli insider negligenti, che condividono credenziali o lasciano sessioni aperte. E poi ci sono gli insider “curiosi” — forse la categoria più diffusa e meno discussa — che accedono a dati senza autorizzazione non per arrecare danno, ma per semplice curiosità: lo stipendio di un collega, la situazione finanziaria di un vicino, i movimenti di un personaggio pubblico. È un impulso umano diffuso. I sistemi devono essere progettati per contenerlo.

I segnali d’allarme che avrebbero dovuto emergere - Con il senno di poi, la condotta del dipendente avrebbe dovuto generare numerosi alert. Sono segnali evidenti di anomalia le interrogazioni effettuate da un operatore di filiale su migliaia di clienti fuori dalla propria area di competenza, con una frequenza incompatibile con qualsiasi mansione ordinaria, nonché gli accessi a posizioni di persone politicamente esposte in assenza di attività di compliance correlate. Il problema è che nessun sistema era configurato per intercettare tali anomalie. I moderni sistemi di User and Entity Behavior Analytics (UEBA), spesso basati anche su soluzioni di AI, sono progettati esattamente per questo: definire una baseline comportamentale per ciascun utente e segnalare deviazioni statisticamente significative, sia in termini quantitativi sia qualitativi, rispetto al comportamento atteso.

(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione per Data Manager)

Le misure di prevenzione - Le misure di prevenzione non sono particolarmente complesse da implementare, e sono ampiamente consolidate per chi si occupa di protezione dei dati, tra le quali vi sono:

- Principio del minimo privilegio. Ogni dipendente deve poter accedere solo ai dati strettamente necessari al proprio ruolo. Niente accesso “circolare” all’intera base dati. Le autorizzazioni devono essere granulari, limitate e sottoposte a revisione periodica. Le eccezioni devono essere motivate, autorizzate e riesaminate nel tempo.

- Monitoraggio comportamentale (UEBA). Implementare sistemi che definiscano una baseline per ogni utente e segnalino anomalie, come accessi fuori orario, volumi insoliti di consultazioni o accessi al di fuori dell’area operativa.

- Alert automatici su comportamenti sospetti. Configurare soglie di allerta automatiche (es. X accessi a dati omogenei in Y giorni, picchi di attività fuori orario). Ogni alert deve attivare un processo di verifica.

- Log completi e immodificabili. In conformità al Provvedimento sugli amministratori di sistema, ogni accesso deve essere tracciato (chi, quando, quali dati, da quale dispositivo). I log devono essere conservati in modo immodificabile e resi disponibili per audit o incident response.

- Procedure operative. Predisporre procedure chiare per la gestione di situazioni sospette, utilizzabili anche come riferimento in sede di audit. Tali procedure devono essere periodicamente aggiornate e non devono configurarsi come strumenti di controllo occulto dei lavoratori.

- Formazione e cultura della privacy. I dipendenti devono comprendere perché certe azioni sono vietate, quali conseguenze comportano — per sé e per l’azienda — ed essere consapevoli delle misure adottate, anche a tutela dei propri dati, nonché delle soglie di alert.

- Sistema sanzionatorio. Condividere un sistema sanzionatorio e diffonderlo tra i dipendenti affinché siano chiare le conseguenze per il mancato rispetto delle regole definite.

- Controlli e audit. Pianificare ed eseguire controlli periodici per verificare l’efficacia delle misure implementate.

Conclusioni - Il caso Intesa Sanpaolo è scomodo non perché eccezionale, ma perché, purtroppo, comune. Quasi ogni organizzazione convive con sistemi di accesso ai dati che, se sottoposti a un controllo rigoroso, rivelerebbero criticità analoghe. Le misure di prevenzione descritte dovrebbero quindi essere valutate dai Titolari ed implementate nelle modalità opportune.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Articoli correlati

Prev Dati sensibili su carta riciclata: quando la violazione della privacy è nel retro del foglio
Next Telemarketing e frodi telefoniche, da Agcom numeri brevi a tre cifre per riconoscere le chiamate legittime

Galleria Video

Tavola rotonda su privacy e intelligenza artificiale nel mondo del lavoro

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza