Apr 01, 2026
3 min read
La banca è stata sanzionata per gravi carenze nel trattamento dei dati personali dei clienti e per la cattiva gestione del data Breach subito nel 2024.
Intesa Sanpaolo stasera va nel segno della tutela dei dati personali per la seconda volta in appena un mese. Dopo essere stata condannata, solo poche settimane fa, ad una multa di 17,6 milioni di euro "per il trattamento dei dati di 2,4 milioni di clienti ceduti, unilateralmente, ad una società controllata al 100% da Isybank Spa", la banca è ora multata di 31,8 milioni di euro ricevuti "per gravi carenze nella sicurezza dei dati personali e nei successivi provvedimenti. Notifica di data Breach nel luglio 2024. Una sanzione pesante, che lede la reputazione di Intesa Sanpaolo, e solleva dubbi sulla sua affidabilità e sicurezza.
Mancanza di sicurezza.
Secondo una nota pubblicata ieri dal GdPR, da un'indagine dell'agenzia è emerso che "un solo dipendente ha avuto accesso non autorizzato alle informazioni bancarie di 3.573 clienti, oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024". È necessario rafforzare l'abitudine.Invece, secondo quanto emerso dalla garanzia, Intesa Sanpaolo non ha seguito adeguatamente l'intero ciclo di gestione delle informazioni sensibili dei clienti, nonché ha violato il “principio di privacy e riservatezza dei dati personali”.
La violazione dei dati
Sembra che la sicurezza degli utenti non sia stata una priorità in Intesa Sanpaolo negli ultimi anni.Dall'indagine del Garante è infatti emerso che la banca aveva gestito male un data Breach avvenuto alla fine del 2024. In particolare, le autorità riferiscono che "la notifica è stata incompleta e tardiva rispetto ai termini di legge, così come la comunicazione con i soggetti interessati, avvenuta solo dopo i precedenti provvedimenti del Garante".Una posizione che già all'epoca dell'incidente aveva suscitato forti critiche, con esperti di sicurezza e protezione dei dati che sottolineavano che la tardiva segnalazione dell'incidente costituiva di fatto una violazione dell'articolo 34, paragrafo 1, del Regolamento generale europeo sulla protezione dei dati, che recita: "Quando una violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve informare tempestivamente le parti interessate della violazione".Il data Breach ha avuto un impatto minore di quanto riportato dai media, ma ora, a un anno e mezzo di distanza, è stata emessa una sentenza cautelare che commina una multa salata e “dichiara illegali le azioni svolte da Intesa Sanpaolo”.
