Il Garante per la protezione dei dati personali ha inflitto a Intesa Sanpaolo una sanzione amministrativa pari a 31,8 milioni di euro, all’esito di un’istruttoria che evidenzia profili di particolare rilievo per gli operatori del diritto in materia di compliance privacy e responsabilità organizzativa.
Il provvedimento trae origine da un data breach notificato nel luglio 2024, dal quale è emerso che un dipendente ha effettuato accessi indebiti ai dati bancari di 3.573 clienti, per un totale di oltre 6.600 consultazioni protrattesi per più di due anni. Centrale, nella valutazione dell’Autorità, è risultata l’assenza di sistemi idonei a intercettare tempestivamente condotte anomale, a fronte di un modello operativo che consentiva un’ ampia circolazione interna delle informazioni . Particolarmente critico il coinvolgimento di clienti “ad alto rischio”, rispetto ai quali sarebbero stati necessari presidi rafforzati. Il Garante ha quindi ravvisato la violazione dei principi di integrità, riservatezza e accountability , sottolineando l’inadeguatezza delle misure tecniche e organizzative adottate. Non meno rilevanti le carenze nella gestione del breach : la notifica è stata ritenuta tardiva e incompleta, così come la comunicazione agli interessati, intervenuta solo su impulso dell’Autorità. La decisione si segnala per l’impatto sistemico: rafforza l’orientamento volto a valorizzare l’effettività dei controlli interni e la tracciabilità degli accessi quale presidio essenziale di conformità al GDPR, con implicazioni dirette anche in termini di responsabilità degli enti.