Il Garante per la protezione dei dati personali ha irrogato una sanzione di 31,8 milioni di euro a Intesa Sanpaolo S.p.A. per gravi carenze nella sicurezza dei dati personali, riconducibili all´inadeguatezza delle misure tecniche e organizzative adottate.

Un dipendente, tra il 21 febbraio 2022 e il 24 aprile 2024, ha infatti avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti - tra cui anche clienti "ad alto rischio" come soggetti con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati - ed effettuando oltre 6.600 consultazioni senza che i sistemi di controllo interni rilevassero questi accessi indebiti, mettendo quindi alla luce importanti criticità nei meccanismi di monitoraggio e prevenzione.

L´Autorità ha accertato, in particolare, la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability.

Ulteriori criticità sono emerse nella gestione del data breach: la notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione agli interessati, avvenuta solo a seguito di un precedente provvedimento del Garante del 2 novembre 2024.

Nella determinazione dell´importo della sanzione, l´Autorità ha tenuto conto della gravità e della durata delle violazioni, dell´elevato numero di soggetti coinvolti e delle misure correttive adottate successivamente dall´istituto, finalizzate al rafforzamento dei sistemi di controllo interno e dei presidi di sicurezza.