Data breach in banca, maxi sanzione del Garante Privacy a Intesa Sanpaolo

lentepubblica.it

Data breach in banca, stangata del Garante a Intesa Sanpaolo: multa da 31,8 milioni per gli accessi abusivi ai conti.

Una sanzione da 31,8 milioni di euro per gravi lacune nella protezione dei dati personali, accessi non autorizzati protratti per oltre due anni e un sistema di controllo ritenuto incapace di intercettare anomalie che avrebbero dovuto emergere molto prima. È questo, in sintesi, il contenuto del provvedimento con cui il Garante per la protezione dei dati personali ha colpito Intesa Sanpaolo, al termine di un’istruttoria avviata dopo la notifica di una violazione informatica trasmessa dall’istituto nel luglio 2024.

Il cuore della vicenda riguarda il comportamento di un dipendente che, secondo quanto accertato dall’Autorità, ha consultato senza alcuna valida ragione professionale le informazioni bancarie di 3.573 clienti, compiendo oltre 6.600 accessi tra il 21 febbraio 2022 e il 24 aprile 2024. Un arco temporale lungo, durante il quale i sistemi interni della banca non sarebbero riusciti a segnalare tempestivamente la condotta anomala, facendo emergere un quadro che il Garante ha definito particolarmente critico sotto il profilo della sicurezza e della responsabilizzazione del titolare del trattamento.

Il nodo centrale: controlli interni insufficienti

Il provvedimento non si limita a contestare il singolo episodio di accesso illecito. L’Autorità individua infatti un problema più profondo, legato all’assetto organizzativo adottato dalla banca. In particolare, è stato ritenuto inadeguato il modello che consentiva agli operatori di consultare, in modo sostanzialmente esteso, l’intera base clienti e non solo i rapporti strettamente collegati alla filiale o alle attività di competenza.

Una simile impostazione, di per sé frutto di una scelta aziendale, avrebbe richiesto secondo il Garante presidi di sicurezza molto più robusti, capaci di prevenire e rilevare accessi non coerenti con le reali esigenze operative. Proprio qui si concentra una delle censure più pesanti: non sarebbe bastato attribuire formalmente le autorizzazioni ai dipendenti, ma sarebbe stato necessario accompagnarle con filtri, verifiche contestuali, soglie di allarme più efficaci e controlli dinamici sulla pertinenza delle consultazioni effettuate.

In altre parole, il fatto che l’operatore avesse tecnicamente la possibilità di entrare nei sistemi non rendeva legittimo l’accesso. Il problema, secondo l’Autorità, è che mancavano strumenti adeguati per distinguere tempestivamente tra una consultazione giustificata e una curiosità indebita.

Coinvolti anche clienti con profili particolarmente delicati

Ad aggravare ulteriormente il caso c’è un elemento di forte rilievo: tra le persone coinvolte figuravano anche clienti con una particolare esposizione pubblica, compresi soggetti associati a funzioni istituzionali o qualificabili come persone politicamente esposte. Si tratta di posizioni che, proprio per la loro delicatezza, avrebbero richiesto una tutela rafforzata.

Secondo il Garante, in presenza di clienti ad alto rischio non sarebbe stato sufficiente applicare controlli standard. Sarebbe stato invece necessario predisporre meccanismi più stringenti, con soglie di alert più basse, verifiche più ravvicinate e procedure di escalation automatica in caso di accessi fuori contesto. La mancata differenziazione del livello di protezione, in funzione della particolare rilevanza di alcuni nominativi, è stata letta come un segnale di insufficiente valutazione del rischio.

Il tema, del resto, non riguarda solo la riservatezza in astratto. Nel settore bancario, la conoscenza indebita di informazioni economiche e patrimoniali può tradursi in conseguenze molto serie: danni reputazionali, esposizione mediatica, possibili abusi, perdita di fiducia nel sistema e compromissione del rapporto tra cliente e istituto.

Le violazioni contestate: integrità, riservatezza e accountability

Dal punto di vista giuridico, il Garante ha ritenuto violati diversi pilastri del Regolamento generale sulla protezione dei dati (GDPR). In primo luogo, il principio di integrità e riservatezza, che impone al titolare del trattamento di assicurare una protezione adeguata contro accessi non autorizzati o trattamenti illeciti. In secondo luogo, il principio di accountability, cioè il dovere di organizzare i trattamenti in modo conforme alla normativa e di poter dimostrare in ogni momento l’adeguatezza delle misure adottate.

È proprio questo secondo aspetto a pesare in modo decisivo nella valutazione finale. La banca, secondo l’Autorità, non è riuscita a dimostrare di aver costruito un sistema realmente proporzionato al livello di rischio connesso alla propria attività. E ciò appare ancora più rilevante se si considera la natura del soggetto coinvolto: un grande gruppo bancario, chiamato a gestire informazioni particolarmente sensibili sotto il profilo economico e patrimoniale e quindi tenuto a standard elevatissimi di diligenza organizzativa.

Notifica tardiva e informazione incompleta agli interessati

Oltre al problema degli accessi abusivi, il provvedimento censura anche la gestione successiva del data breach. Il Garante ha infatti ritenuto che la notifica della violazione sia stata tardiva e incompleta rispetto agli obblighi previsti dal RGPD.

La normativa europea stabilisce che, quando si verifica una violazione dei dati personali suscettibile di comportare rischi per gli interessati, il titolare deve informare l’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore da quando ne è venuto a conoscenza. Nel caso esaminato, l’Autorità ha ritenuto che le informazioni inizialmente trasmesse non restituissero in modo adeguato la reale dimensione dell’accaduto, soprattutto quanto al numero degli interessati e alla concreta estensione del problema.

Non solo. Anche la comunicazione diretta ai clienti coinvolti è stata giudicata non conforme, poiché avvenuta soltanto in seguito a un precedente intervento del Garante. Per l’Autorità questo ritardo ha limitato la possibilità, per le persone interessate, di prendere tempestivamente consapevolezza del rischio e di adottare eventuali misure di autotutela.

La linea difensiva della banca

Nel corso del procedimento, Intesa Sanpaolo ha sostenuto che l’episodio non avrebbe prodotto conseguenze concrete per i clienti e che non vi sarebbe stata esfiltrazione dei dati, né diffusione a terzi delle informazioni consultate abusivamente. Da qui la tesi secondo cui, pur in presenza di criticità, la violazione avrebbe avuto un grado di offensività limitato.

L’istituto ha inoltre evidenziato di aver collaborato con l’Autorità e di aver già avviato interventi strutturali per rafforzare il proprio sistema di protezione. In particolare, la banca ha richiamato il cosiddetto “Programma Nemo”, un piano interno messo in campo per rivedere i meccanismi di presidio, con l’introduzione di nuove cautele per i clienti più esposti, il potenziamento delle autorizzazioni preventive e dei controlli successivi, oltre a soluzioni di data masking per limitare la visibilità delle informazioni nei sistemi.

Secondo la difesa, tali interventi dimostrerebbero non solo la volontà di adeguarsi pienamente alla disciplina, ma anche l’assenza di un atteggiamento doloso, con eventuali responsabilità riconducibili semmai a un profilo di colpa lieve. La banca ha poi sottolineato di non aver tratto alcun vantaggio economico dall’accaduto e di aver sostenuto, al contrario, costi rilevanti per migliorare il proprio assetto organizzativo.

Perché il Garante ha ritenuto comunque grave la condotta

L’Autorità, pur prendendo atto delle misure correttive adottate successivamente, non ha ritenuto tali argomentazioni sufficienti a escludere la gravità del caso. Il ragionamento del Garante è netto: il punto non è soltanto accertare se i dati siano stati copiati o diffusi all’esterno, ma verificare se il titolare abbia predisposto un sistema adeguato a evitare accessi abusivi e a reagire in modo tempestivo quando questi si verificano.

Da questo punto di vista, la decisione sottolinea che l’assenza di una prova di ulteriore divulgazione non elimina il rischio subito dagli interessati. La sola consultazione indebita di dati bancari da parte di chi non ne aveva titolo rappresenta già una compromissione seria della riservatezza, tanto più se si protrae nel tempo e coinvolge migliaia di persone.

Il Garante ha inoltre considerato aggravanti la lunga durata della vicenda, il numero elevato di clienti interessati, la presenza di precedenti provvedimenti già adottati nei confronti della banca in materia di protezione dati e il fatto che la piena portata dell’episodio sia emersa anche attraverso notizie di stampa e l’attività istruttoria dell’Autorità.

Una decisione che lancia un messaggio a tutto il settore

La sanzione da 31,8 milioni di euro assume un valore che va oltre il singolo caso. Il provvedimento si presenta infatti come un segnale forte rivolto all’intero comparto bancario e, più in generale, a tutte le organizzazioni che gestiscono grandi quantità di dati personali attraverso sistemi digitali estesi e complessi.

Il messaggio è chiaro: non basta avere piattaforme tecnologiche avanzate o policy formalmente corrette. Serve una governance concreta, aggiornata e commisurata al rischio effettivo. E quando il trattamento riguarda dati economici, finanziari o informazioni riferibili a soggetti particolarmente esposti, il livello di attenzione richiesto sale ulteriormente.

In questa prospettiva, la decisione del Garante richiama con forza un principio che negli ultimi anni è diventato centrale nella disciplina privacy europea: la conformità non è un adempimento meramente documentale, ma un processo continuo che impone ai titolari di prevenire i rischi, monitorare i comportamenti interni e intervenire subito quando emergono anomalie.

Il punto finale della vicenda

Con il provvedimento conclusivo, il Garante ha dichiarato illecito il trattamento effettuato da Intesa Sanpaolo in relazione alle violazioni degli articoli 5, 24, 32, 33 e 34 del RGPD, ordinando il pagamento della sanzione amministrativa entro i termini previsti. È stata inoltre disposta la pubblicazione dell’ordinanza sul sito dell’Autorità, misura che conferisce ulteriore rilievo pubblico alla vicenda.

Resta salva infine, come previsto dalla normativa, la possibilità per la banca di impugnare il provvedimento davanti all’autorità giudiziaria ordinaria. Ma sul piano sostanziale la decisione è già destinata a fare scuola, perché mette in evidenza un punto essenziale: nel trattamento dei dati personali, soprattutto in ambito bancario, la fiducia si regge sulla capacità di dimostrare che l’accesso alle informazioni non solo è formalmente consentito, ma è anche costantemente giustificato, controllato e tracciato in modo efficace.

Il testo del provvedimento

Qui il documento completo.

The post Data breach in banca, maxi sanzione del Garante Privacy a Intesa Sanpaolo appeared first on lentepubblica.it.