Data breach Intesa Sanpaolo: multa di 32 milioni di euro
Topic
Approfondimenti
Trending
tutti

Data breach Intesa Sanpaolo: multa di 32 milioni di euro

Il Garante della privacy ha inflitto una multa di 31,8 milioni di euro a Intesa Sanpaolo per non aver impedito l'accesso ai dati di oltre 3.500 clienti.
Data breach Intesa Sanpaolo: multa di 32 milioni di euro
Sicurezza Privacy
Il Garante della privacy ha inflitto una multa di 31,8 milioni di euro a Intesa Sanpaolo per non aver impedito l'accesso ai dati di oltre 3.500 clienti.
Intesa Sanpaolo

Il Garante per la protezione dei dati personali ha inflitto una sanzione di 31,8 milioni di euro a Intesa Sanpaolo al termine dell’istruttoria avviata a fine 2024 in seguito alla notifica di un data breach. L’autorità ha accertato gravi violazioni del GDPR (Regolamento generale sulla protezione dei dati), tra cui inadeguate misure di monitoraggio degli accessi. A metà marzo era stata inflitta una multa di 17,6 milioni di euro per la profilazione dei clienti Isybank.

Accesso abusivo ai dati di oltre 3.500 clienti

Il 17 luglio 2024, Intesa Sanpaolo ha notificato l’accesso abusivo ai dati bancari di alcuni clienti da parte di un dipendente della filiale Agribusiness di Barletta (successivamente licenziato per giusta causa). La banca aveva comunicato che tali accessi, avvenuti tra il 21 febbraio 2022 e il 24 aprile 2024, hanno interessato solo 9 clienti.

A seguito delle notizie di stampa pubblicate all’inizio di ottobre 2024, il Garante ha avviato un procedimento istruttorio, durante il quale è stato rilevato un numero notevolmente superiore di clienti. L’ex dipendente ha effettuato 6.637 accessi ai dati di 3.572 clienti, alcuni dei quali “ad alto rischio” (34 politici nazionali).

Il Garante della privacy ha innanzitutto accertato la mancata comunicazione del data breach a tutti i clienti interessati. Ciò è avvenuto solo dopo l’ordine emesso all’inizio di novembre 2024. I sistemi di controllo della banca non ha inoltre rilevato tutti gli accessi abusivi.

L’autorità ha verificato anche l’inadeguatezza dei meccanismi di monitoraggio e prevenzione. I dipendenti potevano accedere ai dati di tutti i clienti della banca, non solo a quelli della filiale di appartenenza. Non sono stati quindi adottati controlli idonei per evitare e individuare accessi non giustificati, ad esempio un’autorizzazione da parte di un dirigente.

Considerando la gravità e la durata delle violazioni, il numero elevato di clienti interessati e le successive misure correttive implementate da Intesa Sanpaolo, il Garante ha inflitto una sanzione di 31,8 milioni di euro. La banca può presentare ricorso entro 30 giorni.

Fonte: Garante Privacy

Pubblicato il 31 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

L'app della Casa Bianca registra la posizione degli utenti

L'app della Casa Bianca registra la posizione degli utenti
Indagine GPEN: troppi rischi per i minori su app e siti

Indagine GPEN: troppi rischi per i minori su app e siti
Telemarketing senza consenso: multa per Enel Energia

Telemarketing senza consenso: multa per Enel Energia
Fine del Chat Control: nessun accordo, proroga non approvata

Fine del Chat Control: nessun accordo, proroga non approvata
L'app della Casa Bianca registra la posizione degli utenti

L'app della Casa Bianca registra la posizione degli utenti
Indagine GPEN: troppi rischi per i minori su app e siti

Indagine GPEN: troppi rischi per i minori su app e siti
Telemarketing senza consenso: multa per Enel Energia

Telemarketing senza consenso: multa per Enel Energia
Fine del Chat Control: nessun accordo, proroga non approvata

Fine del Chat Control: nessun accordo, proroga non approvata
Luca Colantuoni
Pubblicato il
31 mar 2026
Link copiato negli appunti