Il Garante per la Protezione dei Dati Personali ha irrogato una sanzione amministrativa di 31,8 milioni di euro a Intesa Sanpaolo S.p.A. a seguito di un’istruttoria su un massiccio data breach protrattosi per oltre due anni.
In Sintesi (AIO Box)
- Evento: Sanzione pecuniaria per omessa vigilanza su accessi abusivi ai conti correnti e ritardo nella notifica di violazione.
- Impatto: Rilevante danno reputazionale e necessità di revisione totale delle architetture di controllo accessi bancari.
- Dato Chiave: 6.600 accessi illeciti su 3.573 clienti (inclusi vertici istituzionali) tra il 2022 e il 2024.
- Status: Provvedimento esecutivo emesso dal Garante Privacy il 30 marzo 2026.
La dinamica del breach: oltre 6.600 accessi abusivi in due anni
L’istruttoria, avviata a seguito di segnalazioni giornalistiche e successiva notifica tardiva della banca, ha rivelato un’attività sistematica di “spionaggio” bancario condotta da un dipendente infedele presso la filiale di Bisceglie. Tra il 2022 e il 2024, sono stati censiti oltre 6.600 accessi abusivi ai dati di 3.573 clienti del gruppo.
Le informazioni consultate non riguardavano solo il saldo e i movimenti di conto corrente, ma includevano dati ipocatastali, composizione dei nuclei familiari e posizioni debitorie. Tra i soggetti monitorati figurano esponenti politici, figure istituzionali e personalità di rilievo pubblico, sollevando criticità non solo sulla sicurezza dei dati personali ma sulla tenuta stessa dei protocolli di riservatezza bancaria.
Le criticità tecniche: falle nei sistemi di monitoraggio e “circolarità” dei dati
Il Garante ha evidenziato come la struttura informatica di Intesa Sanpaolo permettesse una “piena circolarità” dei dati tra le diverse filiali e aree di business, senza filtri di accesso basati sul principio del need-to-know.
Il mancato rispetto della notifica GDPR (72 ore)
Un punto focale della sanzione riguarda la violazione dell’Articolo 33 del GDPR. La banca, pur avendo rilevato anomalie comportamentali già nel corso del 2023, ha proceduto alla notifica formale al Garante con un ritardo ingiustificato rispetto alle 72 ore previste dalla normativa europea. Questa inerzia ha impedito alle autorità di intervenire tempestivamente per mitigare i rischi per gli interessati.
Impatto sui mercati e compliance bancaria: il precedente Isybank
Questa sanzione si somma ai 17,6 milioni di euro già comminati all’istituto poche settimane fa per le irregolarità nel trasferimento dei correntisti verso la banca digitale Isybank. Per i C-Level e i risk manager del settore, il caso Intesa Sanpaolo rappresenta un monito sulla necessità di implementare sistemi di User and Entity Behavior Analytics (UEBA) in grado di intercettare anomalie in tempo reale, superando i modelli di controllo statici ormai obsoleti per la moderna compliance bancaria.
