Garante Privacy, maxi sanzione da 31,8 milioni a Intesa Sanpaolo per data breach

Il Garante per la Protezione dei Dati Personali ha inflitto una sanzione di 31,8 milioni di euro a Intesa Sanpaolo per gravi carenze nella sicurezza dei dati. L’istruttoria ha accertato che un dipendente ha effettuato oltre 6.600 accessi abusivi alle informazioni bancarie di 3.573 clienti tra il 2022 e il 2024, senza che i sistemi di controllo interni rilevassero l’anomalia. L’accesso illecito ha riguardato anche clienti “ad alto rischio”, inclusi soggetti con ruoli pubblici, per i quali sarebbero stati necessari presidi di sicurezza rafforzati. L’Autorità ha contestato la violazione dei principi di integrità e riservatezza, evidenziando l’inadeguatezza del modello operativo che consentiva a un operatore di interrogare l’intera base clienti. Sono emerse criticità anche nella gestione del data breach, con una notifica al Garante e una comunicazione ai clienti risultate tardive e incomplete.