Intesa Sanpaolo nel mirino del Garante per la Protezione dei Dati Personali per la seconda volta in un solo mese. Dopo essere stata sanzionata, appena qualche settimana fa, con una multa da 17,6 milioni di euro “per aver trattato in modo illecito i dati di circa 2,4 milioni di clienti trasferiti, unilateralmente, alla controllata al 100% Isybank Spa”, ora la banca ha ricevuto una sanzione da 31,8 milioni di euro “per gravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate”, anche a seguito di un data breach notificato a luglio 2024. Una punizione pesante, che va a ledere la reputazione di Intesa Sanpaolo, mettendone in discussione l’affidabilità e la sicurezza.
La sicurezza carente
Secondo quanto riportato in una nota pubblicata ieri dal GdPR, un’istruttoria avviata dall’autorità ha accertato che “un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3573 clienti, effettuando oltre 6600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024”. Accessi indebiti che, a quanto pare, non sono stati rilevati dai sistemi di controllo interni, dimostrando di fatto una carenza nei protocolli di sicurezza volti a prevenire o evitare le violazioni dei dati degli utenti da parte di terzi. A rendere ancora più difficile la questione, poi, c’è il fatto che gli accessi illeciti hanno riguardato anche i profili di “clienti ‘ad alto rischio’, tra cui soggetti con ruoli di rilievo pubblico”, per i quali sono solitamente richieste pratiche di controllo rafforzato. Invece, secondo quanto rilevato dal Garante, Intesa Sanpaolo non avrebbe seguito in maniera corretta l’intero ciclo di gestione delle informazioni sensibili dei suoi clienti, violando “i principi di integrità e riservatezza dei dati personali”, nonché il “principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate”.
