Una sanzione record da 31,8 milioni di euro per una delle violazioni di dati bancari più estese e prolungate mai registrate in Italia. È quanto stabilito dal Garante per la Protezione dei Dati Personali nei confronti di Intesa Sanpaolo, ritenuta responsabile di non aver vigilato sull’attività di un dipendente che, tra il 21 febbraio 2022 e il 24 aprile 2024, ha effettuato oltre 6.600 accessi abusivi ai dossier finanziari di 3.573 clienti. Secondo l’Autorità, il sistema di monitoraggio interno dell’istituto non è stato in grado di rilevare per oltre due anni un volume anomalo di consultazioni seriali, evidenziando una falla strutturale nei presidi di sicurezza che ha compromesso l’integrità e la riservatezza dei saldi, dei movimenti e dei dati personali dei correntisti coinvolti, costringendo oggi la banca a rispondere di gravi carenze organizzative.
Cosa leggere
Gli accessi indebiti ai dati sono durati dal 2022 al 2024
Secondo quanto emerso dall’istruttoria, le consultazioni non autorizzate si sono protratte dal 21 febbraio 2022 al 24 aprile 2024. In questo periodo un dipendente di Intesa Sanpaolo ha interrogato senza motivo legittimo i rapporti bancari e i dati personali di migliaia di clienti, superando le 6.600 consultazioni complessive. L’elemento più critico non è soltanto il numero degli accessi, ma la durata della violazione, rimasta invisibile per oltre due anni. Un arco temporale così esteso evidenzia limiti strutturali nei controlli interni, soprattutto in un settore dove i dati trattati includono saldo, movimenti, rapporti finanziari e informazioni identificative ad alta sensibilità. La permanenza indisturbata dell’attività abusiva ha amplificato il rischio per i clienti coinvolti e ha reso il caso particolarmente grave agli occhi dell’Autorità.
Il modello di accesso ai dati presentava carenze gravi di sicurezza
Il nodo centrale individuato dal Garante riguarda il modello operativo adottato dalla banca, che consentiva interrogazioni molto ampie sull’intera base clienti. I presidi di prevenzione e rilevazione delle anomalie non si sono dimostrati adeguati né sul piano tecnico né su quello organizzativo. In termini GDPR, la banca non avrebbe garantito pienamente i principi di integrità, riservatezza e accountability, lasciando aperta la possibilità di accessi interni non coerenti con le mansioni. In un’infrastruttura bancaria moderna, i controlli dovrebbero rilevare pattern anomali come volumi eccessivi di consultazione, accessi seriali su clienti non collegati al portafoglio dell’operatore o consultazioni ripetute di profili ad alta esposizione. Il fatto che tutto questo non sia emerso per oltre due anni ha pesato in modo decisivo sulla sanzione finale.
Coinvolti clienti esposti e soggetti con ruoli pubblici
Tra i 3.573 clienti coinvolti figurano anche soggetti considerati ad alto rischio e persone con ruoli di rilievo pubblico, una circostanza che aumenta ulteriormente la gravità dell’episodio. Per questi profili, il livello di protezione atteso è normalmente più elevato, perché la divulgazione indebita di dati bancari può esporre a rischi reputazionali, sicurezza personale, profiling illecito o possibili attività di pressione esterna. La presenza di queste categorie tra gli interessati ha evidenziato l’assenza di meccanismi di controllo rafforzati che, in casi simili, dovrebbero attivare alert prioritari e auditing più frequenti.
La notifica del data breach è stata giudicata incompleta e tardiva
Un altro elemento contestato riguarda la gestione del data breach notification process. Intesa Sanpaolo ha notificato l’incidente al Garante soltanto nel luglio 2024, e l’Autorità ha ritenuto la comunicazione non completa e non tempestiva rispetto agli obblighi previsti dal GDPR. Anche la comunicazione verso i clienti interessati sarebbe avvenuta solo successivamente a un precedente intervento del Garante del 2 novembre 2024, riducendo la possibilità per gli utenti di adottare rapidamente contromisure, monitorare i rapporti e segnalare ulteriori anomalie. Nel contesto bancario, la tempestività della notifica è cruciale perché consente al cliente di verificare movimenti sospetti, cambiare credenziali e richiedere misure di protezione aggiuntive.
La multa da 31,8 milioni riflette durata e impatto della violazione
La sanzione da 31,8 milioni di euro è stata calibrata tenendo conto di diversi fattori: durata superiore ai due anni, numero elevato di clienti coinvolti, impatto potenziale sui diritti fondamentali e presenza di soggetti ad alta esposizione. Il Garante ha però considerato positivamente le misure correttive introdotte successivamente dalla banca, elemento che ha contribuito a modulare l’importo finale. Senza gli interventi successivi, la cifra avrebbe potuto essere ancora più severa. Sul piano sistemico, il provvedimento manda un messaggio molto chiaro al settore finanziario: la protezione dei dati non riguarda solo minacce esterne e cyber attacchi, ma anche il monitoraggio rigoroso degli insider risk.
Intesa Sanpaolo rafforza monitoraggio e sicurezza interna
Dopo il provvedimento, Intesa Sanpaolo ha implementato nuovi sistemi di controllo orientati al rilevamento delle attività anomale sugli archivi clienti. L’obiettivo è rafforzare i presidi di auditing interno, segmentare meglio i privilegi di accesso e aumentare la capacità di identificare comportamenti non coerenti con il ruolo dell’operatore. È probabile che la banca abbia introdotto sistemi più avanzati di behavior analytics, soglie di alert dinamiche e controlli basati su pattern di accesso, strumenti ormai essenziali nelle grandi organizzazioni finanziarie. Queste misure hanno avuto un peso positivo nella valutazione finale dell’Autorità, ma il caso resta un precedente importante per tutto il settore bancario italiano.
Il caso Intesa alza il livello di attenzione su GDPR e insider threat bancarie
La decisione del Garante segna un passaggio rilevante per il mercato finanziario italiano. Il tema non è soltanto il singolo episodio, ma la capacità delle banche di gestire minacce interne, segregazione dei privilegi, logging e data governance in modo realmente proattivo. Nel 2026, con la crescita di AI, automazione e accessi distribuiti, i rischi insider diventano sempre più centrali. Il caso Intesa Sanpaolo dimostra che anche infrastrutture mature possono fallire quando mancano sistemi di monitoraggio continuo realmente efficaci. Per il settore bancario, questa multa rappresenta un chiaro richiamo: la conformità GDPR non si misura sulla carta, ma sulla capacità concreta di individuare accessi impropri prima che durino anni.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
