Data breach, Garante per la Privacy sanziona Intesa Sanpaolo per €31,8mln: “accessi indebiti a info di oltre 3500 clienti”

L’istruttoria dell’Autorità – avviata a seguito del data breach notificato dalla banca nel luglio 2024 – ha accertato che un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti, effettuando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024

Il Garante per la Privacy ha irrogato una sanzione di 31,8 milioni di euro a Intesa Sanpaolo S.p.A. per presuntegravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate dopo che dalla banca è emerso un data breach con “accessi indebiti a info di oltre 3500 clienti” per oltre due anni". L’Autorità ha ritenuto necessaria la sanzione per riaffermare i principi di integrità, riservatezza e accountability nella protezione dei dati personali.

De Felice (Intesa Sanpaolo): "Tre scenari sull'evoluzione del conflitto in Iran; la questione dello stretto di Hormuz è la più preoccupante"

Il Chief Economist di Intesa Sanpaolo ha rilasciato un'intervista a Il Giornale d'Italia in occasione dell'EFFAS Capital Markets Forum 2026 su Savings and Investment Union Latest Developments

Data breach, Garante per la Privacy sanziona Intesa Sanpaolo per 31,8mln: “accessi indebiti a info di oltre 3500 clienti”

L’istruttoria dell’Autorità – avviata a seguito del data breach notificato dalla banca nel luglio 2024 – ha accertato che un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti, effettuando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024. Tali accessi indebiti non sono stati rilevati dai sistemi di controllo interni, evidenziando significative criticità nei meccanismi di monitoraggio e prevenzione.

L’accesso illecito ha riguardato anche dati relativi a clienti “ad alto rischio”, tra cui soggetti con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati.

L’Autorità ha accertato, in particolare, la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate. Il modello operativo utilizzato, che consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, non era infatti adeguatamente bilanciato da controlli idonei a prevenire e individuare accessi non giustificati.

De Felice (Intesa Sanpaolo): "La crisi nello Stretto di Hormuz ci tocca; la chiave è trasformare risparmio e innovazione in crescita"

L’economista sottolinea come tensioni geopolitiche, mercato energetico e frammentazione europea possano ridurre il PIL e influenzare risparmio e competitività delle imprese

Ulteriori criticità sono emerse nella gestione del data breach. La notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione agli interessati, avvenuta solo a seguito di un precedente provvedimento del Garante del 2 novembre 2024. Tali condotte hanno compromesso la possibilità di un tempestivo intervento dell’Autorità a tutela dei diritti e delle libertà delle persone coinvolte.

Alla luce delle violazioni riscontrate, il Garante ha ritenuto illecita la condotta posta in essere da Intesa Sanpaolo.

Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto della presunta "gravità e della durata delle violazioni, dell’elevato numero di clienti coinvolti, nonché delle misure correttive adottate dall’istituto successivamente ai fatti, finalizzate al rafforzamento dei sistemi di controllo interno e dei presidi di sicurezza".