Il Garante per la protezione dei dati personali ha ordinato a Intesa Sanpaolo di contattare, entro 20 giorni, tutti clienti interessati al data breach scoperto circa quattro mesi fa e reso noto al pubblico all’inizio di ottobre tramite articoli di stampa. In caso di inosservanza, la banca rischia una pesante sanzione amministrativa.
Violazione più grave di quanto comunicato
Come scritto nel testo del provvedimento, Intesa Sanpaolo ha notificato la violazione dei dati personali il 17 luglio 2024. Un dipendente della filiale Agribusiness di Barletta (successivamente licenziato) ha effettuato accessi non autorizzati ai conti correnti di 9 clienti. Questi ultimi sono stati informati anche se la banca ha assegnato un rischio medio all’evento.
L’autorità ha tuttavia appreso da articoli di stampa (10 ottobre 2024) che il dipendente ha effettuato circa 7.000 accessi ai conti correnti di oltre 3.500 clienti di 679 filiali tra febbraio 2022 e aprile 2024, scoperti da Intesa Sanpaolo in seguito alla denuncia di un cliente.
La banca ha confermato gli accessi, evidenziando però che il numero esatto degli interessati non è determinabile, in quanto richiede uno “sforzo sproporzionato“. Intesa Sanpaolo ha sottolineato che non ci sono prove di “estrazione dei dati“. Gli interessati non sono stati informati perché la violazione non è stata considerata di rischio elevato, come prevede l’art. 34 del GDPR (Regolamento generale sulla protezione dei dati).
Il Garante della privacy ha avviato un’istruttoria (ancora in corso) e ordinato alla banca di informare singolarmente tutti i clienti coinvolti entro 20 giorni dalla pubblicazione del provvedimento.
L’autorità ritiene infatti, diversamente da quanto valutato dalla banca, che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale). Il provvedimento si è reso necessario poiché nelle prime comunicazioni inviate dalla banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti.
In caso di inosservanza dell’ordine, Intesa Sanpaolo rischia una sanzione amministrativa fino a 20 milioni di euro o il 4% del fatturato mondiale annuo (se superiore).
Ti potrebbe interessare
6 nov 2024