Gli accessi abusivi ai dati dei clienti
La sanzione si riferisce a fatti avvenuti tra il 2022 e il 2024 presso una filiale della banca. In sintesi, un dipendente aveva effettuato circa 6.600 accessi abusivi ai rapporti in essere, in particolare ai saldi dei conti correnti di diversi clienti. Questi accessi includevano dati di clienti di alto profilo, come il Presidente del Consiglio, diversi politici, esponenti della finanza e altri personaggi famosi.
Per maggiori approfondimenti consulta la nostra newsletter pubblicata nel dicembre 2024
Le violazioni accertate dal Garante
Il Garante, dopo un’istruttoria durata due anni, ha accertato la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate.
Il modello operativo utilizzato, che consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, non era adeguatamente bilanciato da controlli idonei a prevenire e individuare accessi non giustificati.
In pratica, la possibilità dei dipendenti di accedere ai dati dei clienti era troppo ampia. La banca avrebbe dovuto precludere l’accesso ai dati dei clienti di altre filiali e all’interno delle stesse filiali, limitarlo a determinate figure professionali.
Le carenze nella gestione del data breach
Sono state inoltre accertate delle lacune nella gestione del data breach. In particolare, la notifica al Garante è stata tardiva rispetto ai tempi previsti dal GDPR (72 ore dalla scoperta della violazione) e lacunosa.
Anche la comunicazione agli interessati è avvenuta soltanto a seguito di un precedente provvedimento del Garante.
Per tali motivi il Garante ha comminato a Intesa Sanpaolo una sanzione di 31,8 milioni di euro.
Le nostre fonti:
Intesa Sanpaolo, multa da 31,8 milioni per accesso illecito ai conti di 3.573 clienti
Condividi