Il Garante per la Protezione dei Dati Personali ha comunicato in una nota di aver irrogato «una sanzione di 31,8 milioni di euro a Intesa Sanpaolo S.p.A. per gravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate».
«L’istruttoria dell’Autorità - avviata a seguito del data breach notificato dalla banca nel luglio 2024 - ha accertato che un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti, effettuando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024. Tali accessi indebiti non sono stati rilevati dai sistemi di controllo interni, evidenziando significative criticità nei meccanismi di monitoraggio e prevenzione», sottolinea la nota del Garante della Privacy.
«L’accesso illecito ha riguardato anche dati relativi a clienti ’ad alto rischio’, tra cui soggetti con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati», specifica la nota, aggiungendo come l’Autorità abbia accertato, in particolare, «la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate. Il modello operativo utilizzato, che consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, non era infatti adeguatamente bilanciato da controlli idonei a prevenire e individuare accessi non giustificati».
