Il Garante per la protezione dei dati personali ha irrogato una sanzione di 31,8 milioni di euro a Intesa Sanpaolo S.p.A. per gravi carenze nella sicurezza dei dati personali, riconducibili all´inadeguatezza delle misure tecniche e organizzative adottate.
Un dipendente, tra il 21 febbraio 2022 e il 24 aprile 2024, ha infatti avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti – tra cui anche clienti “ad alto rischio” come soggetti con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati – ed effettuando oltre 6.600 consultazioni senza che i sistemi di controllo interni rilevassero questi accessi indebiti, mettendo quindi alla luce importanti criticità nei meccanismi di monitoraggio e prevenzione.
L’Autorità ha accertato, in particolare, la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability.
Ulteriori criticità sono emerse nella gestione del data breach: la notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione agli interessati, avvenuta solo a seguito di un precedente provvedimento del Garante del 2 novembre 2024.
Nella determinazione dell’importo della sanzione, l’Autorità ha tenuto conto della gravità e della durata delle violazioni, dell’elevato numero di soggetti coinvolti e delle misure correttive adottate successivamente dall’istituto, finalizzate al rafforzamento dei sistemi di controllo interno e dei presidi di sicurezza.