Privacy, multa del Garante a Intesa Sanpaolo per accessi indebiti ai dati

Mani con carta di credito e grafici digitali su schermo, immagine generica su servizi finanziari online

Il Garante per la protezione dei dati personali ha sanzionato Intesa Sanpaolo con una multa da 31,8 milioni di euro per gravi carenze nella sicurezza dei dati personali. Secondo l’Autorità, le misure tecniche e organizzative adottate dalla banca non erano adeguate a impedire o individuare accessi non giustificati alle informazioni dei clienti.

L’istruttoria, avviata dopo la notifica del data breach da parte dell’istituto, ha accertato che un dipendente ha consultato senza motivo dati bancari di 3.573 clienti, effettuando oltre 6.600 accessi tra il 21 febbraio 2022 e il 24 aprile 2024.

Il punto più grave, secondo il Garante, è che questi accessi indebiti sono andati avanti per più di due anni senza essere intercettati dai sistemi di controllo interni. Questo ha evidenziato criticità rilevanti nei meccanismi di monitoraggio e prevenzione adottati dalla banca.

L’Autorità ha inoltre rilevato che tra i soggetti coinvolti c’erano anche clienti considerati “ad alto rischio”, compresi profili con ruoli pubblici rilevanti, per i quali sarebbero stati necessari controlli ancora più rigorosi.

Secondo il provvedimento, Intesa Sanpaolo ha violato i principi di integrità e riservatezza dei dati personali, oltre al principio di accountability, cioè l’obbligo per il titolare del trattamento di dimostrare di aver adottato misure adeguate a proteggere i dati. In particolare, il modello operativo che consentiva agli operatori di consultare in modo molto ampio l’intera base clienti non era accompagnato da verifiche sufficienti a prevenire abusi.

Altre criticità sono emerse nella gestione successiva del data breach. Il Garante ha contestato alla banca una notifica incompleta e tardiva, oltre a una comunicazione agli interessati arrivata solo dopo un precedente intervento dell’Autorità. Secondo il Garante, questi ritardi hanno limitato la possibilità di intervenire tempestivamente a tutela delle persone coinvolte.

Nel determinare la sanzione, l’Autorità ha tenuto conto della gravità e della lunga durata delle violazioni, del numero elevato di clienti interessati e delle misure correttive adottate successivamente dalla banca per rafforzare i controlli interni e la sicurezza.

Il commento di Associazione Consumatori ACP

Questo caso dimostra ancora una volta che la tutela dei dati personali non è un tema astratto né una questione solo tecnica. Quando i sistemi di controllo non funzionano, i cittadini restano esposti per anni senza saperlo, e il danno non riguarda solo la riservatezza ma anche il rapporto di fiducia con chi gestisce informazioni estremamente sensibili come quelle bancarie.

Ufficio Stampa ACP – 31 marzo 2026

Per maggiori informazioni è possibile consultare il sito del Garante Privacy.

Privacy, multa da 31,8 milioni a Intesa Sanpaolo per accessi indebiti ai dati di oltre 3.500 clienti

Privacy, multa da 31,8 milioni a Intesa Sanpaolo per accessi indebiti ai dati di oltre 3.500 clienti

Newsletter ACP

Articoli Correlati

Banca d’Italia: esposti solo online dal 13 aprile 2026, stop a email e PEC

Antitrust sanziona Revolut per oltre 11 milioni di euro

Arbitro Assicurativo, dal 15 gennaio un nuovo strumento di tutela nelle controversie assicurative