Due anni di accessi abusivi ai suoi sistemi sono costati quasi 32 milioni di euro di multa ad Intesa Sanpaolo
Il caso di data breach Intesa Sanpaolo si è concluso con una sanzione record da 31,8 milioni di euro inflitta dal Garante per la protezione dei dati personali. L’indagine ha rivelato un sistema di controlli interni inefficace che ha permesso accessi non autorizzati ai dati bancari di oltre 3.500 clienti tra il 2022 e il 2024.
La violazione è stata causata da un dipendente che ha effettuato migliaia di consultazioni indebite, raggiungendo oltre 6.600 accessi complessivi. Si tratta di una delle più gravi violazioni della privacy bancaria registrate in Italia negli ultimi anni, con impatti significativi sulla fiducia dei clienti e sulla reputazione dell’istituto.
Le violazioni del GDPR e i ritardi nella comunicazione
Secondo il GDPR, le aziende devono notificare un data breach entro 72 ore dalla scoperta. Nel caso di Intesa Sanpaolo, la comunicazione è avvenuta con mesi di ritardo rispetto alle prime anomalie interne, aggravando notevolmente la posizione della banca.
Inizialmente, l’istituto aveva segnalato solo 9 soggetti coinvolti, ma le successive verifiche hanno portato alla luce un numero molto più ampio di clienti colpiti. Questo ritardo ha limitato la possibilità per gli interessati di adottare misure di protezione tempestive.
Comunicazione ai clienti insufficiente
Un altro punto critico riguarda la mancata informazione diretta ai clienti coinvolti, avvenuta solo dopo un ordine formale del Garante. Questo rappresenta una grave carenza nella gestione della sicurezza dei dati bancari.
Controlli interni inefficaci e rischi organizzativi
Il modello operativo della banca permetteva agli operatori di accedere all’intero database clienti senza autorizzazioni preventive. Questo sistema ad alta esposizione ha facilitato la violazione, soprattutto nei confronti di soggetti sensibili come politici e figure pubbliche.
Nonostante la presenza di log e sistemi di alert, i controlli non sono riusciti a individuare tempestivamente le anomalie. Il data breach Intesa Sanpaolo è rimasto invisibile per oltre due anni, evidenziando gravi lacune nei sistemi di sicurezza informatica.
Le difese della banca e la posizione del Garante
Intesa Sanpaolo ha dichiarato che non vi è stata alcuna esfiltrazione di dati, sostenendo che i sistemi interni hanno comunque permesso di individuare il problema. Tuttavia, il Garante ha respinto questa linea difensiva, sottolineando che anche la semplice consultazione non autorizzata costituisce una violazione della privacy.
Sanzione e misure correttive adottate
La multa di 31,8 milioni tiene conto di diversi fattori aggravanti:
- durata prolungata della violazione
- elevato numero di clienti coinvolti
- inefficienza dei controlli interni
Tra gli elementi attenuanti, invece, figurano le misure introdotte successivamente dalla banca:
Miglioramenti implementati
- sistemi di autorizzazione preventiva più rigorosi
- controlli interni rafforzati
- segmentazione dei clienti più sensibili
Questi interventi mirano a prevenire futuri episodi di violazione dei dati personali e a migliorare la compliance normativa.
Conclusioni: I nostri dati non sono mai al sicuro
Il data breach Intesa Sanpaolo rappresenta un caso emblematico di come una gestione inefficace della sicurezza possa generare conseguenze legali ed economiche rilevanti. La vicenda evidenzia l’importanza di sistemi di controllo avanzati e di una comunicazione tempestiva in caso di violazione.
Per aziende e istituti finanziari, questo episodio diventa un riferimento concreto per rafforzare le strategie di cybersecurity e garantire la tutela dei dati dei clienti. Un fatto tanto grave, che sicuramente farà scuola.
INDICE DEI CONTENUTI
