Il caso della violazione dei dati
Negli ultimi mesi, Intesa Sanpaolo è stata al centro di un grave caso di violazione dei dati personali, che ha sollevato preoccupazioni sia tra i clienti che tra le autorità competenti. Il Garante per la protezione dei dati personali ha emesso un provvedimento che obbliga la banca a contattare entro 20 giorni tutti i clienti interessati dal data breach, scoperto circa quattro mesi fa e reso noto al pubblico all’inizio di ottobre tramite articoli di stampa.
Le circostanze della violazione
Secondo quanto riportato, un dipendente della filiale Agribusiness di Barletta, successivamente licenziato, ha effettuato accessi non autorizzati ai conti correnti di nove clienti. Sebbene la banca avesse inizialmente assegnato un rischio medio all’evento, il Garante ha rilevato che il dipendente ha effettuato circa 7.000 accessi ai conti di oltre 3.500 clienti in 679 filiali tra febbraio 2022 e aprile 2024.
Questo è stato scoperto grazie alla denuncia di un cliente, il che ha portato a una revisione della gravità della situazione.
Le conseguenze per Intesa Sanpaolo
Il provvedimento del Garante è stato emesso poiché le prime comunicazioni inviate dalla banca non avevano adeguatamente evidenziato l’ampiezza della violazione. L’autorità ha sottolineato che la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone coinvolte, considerando la natura della violazione e le possibili conseguenze, come la divulgazione di informazioni sensibili riguardanti lo stato patrimoniale dei clienti.
In caso di inosservanza dell’ordine, Intesa Sanpaolo rischia una sanzione amministrativa che può arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore.
Questo mette in evidenza l’importanza della protezione dei dati e della trasparenza nei confronti dei clienti, specialmente in un’epoca in cui la sicurezza informatica è diventata una priorità assoluta per le istituzioni finanziarie.
La posizione della banca
Intesa Sanpaolo ha confermato gli accessi non autorizzati, ma ha anche dichiarato che non ci sono prove di estrazione dei dati. La banca ha giustificato la mancata informazione ai clienti sostenendo che la violazione non fosse di rischio elevato, come previsto dall’articolo 34 del GDPR. Tuttavia, il Garante ha contestato questa valutazione, evidenziando la necessità di una comunicazione tempestiva e chiara ai clienti coinvolti.
La situazione attuale rappresenta un importante monito per tutte le istituzioni finanziarie riguardo alla gestione dei dati personali e alla responsabilità di informare i clienti in caso di violazioni.
La fiducia dei clienti è fondamentale, e la trasparenza è essenziale per mantenere questa fiducia, soprattutto in un contesto in cui le minacce informatiche sono in costante aumento.