Multa record intesa 32 milioni per i conti spiati di meloni e ministri
Una sanzione del Garante per la protezione dei dati personali colpisce Intesa Sanpaolo per gravi carenze nella sicurezza dei dati personali. Il provvedimento richiama l’attenzione su un caso di data breach emerso dopo la notifica dell’istituto, avvenuta nel luglio 2024, e ricostruisce accessi non autorizzati che hanno coinvolto un numero molto elevato di clienti.
multa garante privacy a intesa sanpaolo: importo e motivazioni
La decisione dell’Autorità si traduce in una multa da 31,8 euro, motivata da carenze gravi nelle misure tecniche e organizzative adottate per proteggere i dati personali. L’istruttoria, indicata come avviata a seguito del data breach notificato dalla banca nel luglio 2024, evidenzia criticità nel modo in cui sono stati gestiti i controlli interni e la prevenzione di accessi indebiti.
accessi indebiti e consultazioni non giustificate
L’istruttoria accerta che un dipendente, successivamente licenziato nell’agosto dello stesso anno, avrebbe avuto accesso senza giustificato motivo alle informazioni bancarie di 3.573 clienti. Durante l’arco temporale compreso tra il 21 febbraio 2022 e il 24 aprile 2024, risultano effettuate oltre 6.600 consultazioni.
Gli accessi illeciti non sarebbero stati intercettati dai sistemi di controllo interni, con l’Autorità che sottolinea criticità rilevanti nei meccanismi di monitoraggio e prevenzione.
dati di clienti ad alto rischio e violazione di principi di protezione
L’accesso illecito avrebbe riguardato anche dati relativi a clienti definiti “ad alto rischio”. Tra questi rientrano soggetti con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati.
categorie di persone coinvolte nel caso
Tra gli altri, la ricostruzione cita il presidente del Senato Ignazio La Russa e il procuratore della Dna Giovanni Melillo. Vengono inoltre menzionati i governatori di Puglia e Veneto, rispettivamente Michele Emiliano e Luca Zaia, oltre al procuratore di Trani Renato Nitti. Sono indicati anche ufficiali dell’Arma e della Guardia di Finanza.
violazioni del garante privacy: integrità, riservatezza e accountability
L’Autorità accerta la violazione dei principi di integrità e riservatezza dei dati personali, oltre al principio di accountability. Il provvedimento evidenzia una valutazione complessiva di inadeguatezza delle misure adottate.
Secondo quanto riportato, il modello operativo utilizzato consentiva agli operatori di interrogare in piena circolarità l’intera base clienti. Tale configurazione non sarebbe stata adeguatamente accompagnata da controlli idonei a prevenire e individuare accessi non giustificati.
gestione del data breach: notifica incompleta e tempi fuori norma
Ulteriori criticità riguardano la gestione del data breach. La notifica risulterebbe incompleta e tardiva rispetto ai termini previsti dalla normativa. Anche la comunicazione agli interessati sarebbe avvenuta solo dopo un precedente provvedimento del 2 novembre 2024 adottato dal Garante.
Le condotte descritte avrebbero compromesso la possibilità di un intervento tempestivo dell’Autorità per la tutela di diritti e libertà delle persone coinvolte.
valutazione della sanzione: gravità, durata e misure correttive
Il Garante considera illecita la condotta posta in essere da Intesa Sanpaolo. Nel determinare l’importo della sanzione, l’Autorità tiene conto di più elementi: gravità e durata delle violazioni, elevato numero di clienti coinvolti e misure correttive adottate dalla banca successivamente ai fatti.
Tra le misure valutate rientrano interventi finalizzati al rafforzamento di sistemi di controllo interno e presidi di sicurezza.
Persone e figure citate tra i soggetti i cui dati sarebbero stati consultati:
- Ignazio La Russa
- Giovanni Melillo
- Michele Emiliano
- Luca Zaia
- Renato Nitti
- ufficiali dell’Arma
- ufficiali della Guardia di Finanza
