Il Garante della privacy ha sanzionato Banca Intesa Sanpaolo per 31,8 milioni di euro a seguito di gravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate.
Secondo quanto accertato, un dipendente ha avuto accesso, senza giustificato motivo e senza alcun controllo dai sistemi interni, alle informazioni bancarie di 3.573 clienti, effettuando 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024. Tra i clienti erano presenti anche quelli “ad alto rischio”, quindi con ruoli di rilievo pubblico. Le violazioni hanno riguardato i principi di integrità, riservatezza dei dati personali e il principio di accountability.
Ulteriori criticità sono emerse nella gestione del data breach, con una notifica incompleta e tardiva rispetto ai termini previsti dalla normativa, così come una comunicazione non adeguata agli interessati.
Nel determinare la sanzione, il Garante considerato numerosi fattori: la gravità e la durata delle violazioni, l’elevato numero di clienti coinvolti, le misure adottate dall’istituto successivamente ai fatti.
Aggiornamento finanziato dal MIMIT. D.D. 12 maggio 2025
