Il Garante per la protezione dei dati personali ha irrogato a Intesa Sanpaolo S.p.A. una sanzione di 31,8 milioni di euro per gravi carenze nelle misure tecniche e organizzative adottate a tutela dei dati personali dei propri clienti.

L’istruttoria, avviata a seguito della notifica di data breach trasmessa dalla Banca nel luglio 2024, ha accertato che un dipendente in servizio presso una filiale ha avuto accesso, per oltre due anni consecutivi, alle informazioni bancarie di 3.573 clienti, effettuando più di 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024.

Il provvedimento assume una rilevanza che va ben oltre l’importo della sanzione, già di per sé tra i più elevati mai inflitti dall’Autorità a un istituto bancario italiano. Esso rappresenta, in un’unica decisione, un’analisi dei punti di cedimento strutturale più frequenti nei sistemi di trattamento dei dati nelle organizzazioni complesse: l’inadeguatezza dei controlli interni, l’opacità nella gestione dell’incidente, e la violazione del principio di accountability inteso non come adempimento formale, ma come presidio sostanziale.

Il fatto: due anni di accessi non rilevati

La vicenda prende avvio da una notifica di violazione trasmessa da Intesa Sanpaolo al Garante nel luglio 2024. La Banca comunicava di essere venuta a conoscenza di un accesso abusivo da parte di un proprio dipendente.

Nella notifica iniziale, la banca riferiva che la violazione aveva riguardato 9 interessati e che non si rilevavano rischi elevati per i diritti e le libertà delle persone. In conseguenza di tale valutazione, la comunicazione agli interessati era prevista in forma di colloquio diretto presso le filiali di radicamento dei rapporti, senza alcun obbligo di notifica pubblica.

Con una notifica integrativa del 30 agosto 2024, ISP precisava che, a seguito del procedimento disciplinare avviato nei confronti del dipendente, aveva disposto il licenziamento per giusta causa in data 7 agosto 2024.

L’istruttoria del Garante ha tuttavia ridisegnato completamente il perimetro dell’incidente: gli interessati coinvolti non erano 9, ma 3.573. Le consultazioni non erano poche e circoscritte, ma oltre 6.600, distribuite su un arco temporale di più di due anni.

La composizione degli interessati è significativa:

• 34 politici nazionali, appartenenti a forze politiche di centrodestra e centrosinistra, con 102 consultazioni complessivamente a loro dedicate, di cui 10 soggetti che al momento degli accessi non avevano alcun rapporto attivo con la Banca;
• 43 personaggi di fama nazionale tra spettacolo, sport e cronaca;
• 73 dipendenti e manager della Banca, inclusi soggetti apicali;
• i restanti 3.422 clienti appartenenti prevalentemente alla sfera personale e professionale del dipendente, con circa 2.450 concentrati nelle piazze di Bari e comuni limitrofi al suo comune di residenza.

Gli accessi riguardavano posizioni contrattuali, movimentazione di conti correnti e carte di pagamento, e attività finanziarie.

Ed è significativo che la reale portata della violazione sia emersa non dalla disclosure spontanea della Banca, ma dalla pubblicazione di notizie di stampa e dall’attività istruttoria avviata d’ufficio dallo stesso Garante.

Un elemento che il provvedimento registra con precisione, e che grava in modo determinante sulla valutazione complessiva della condotta di ISP.

Il modello operativo e i controlli mancanti

Gli operatori della Banca potevano interrogare in piena circolarità l’intera base senza limitazioni correlate al ruolo o al portafoglio gestito. Il Garante chiarisce che questa scelta organizzativa è insindacabile: rientra nelle prerogative aziendali.

Ciò che il GDPR richiede, però, è che una simile ampiezza operativa sia bilanciata da misure proporzionate al rischio che essa genera.

Il sistema di monitoraggio adottato dalla banca si basava su soglie esclusivamente quantitative con frequenze temporali dilatate, una struttura inidonea a intercettare accessi ripetuti ma distribuiti nel tempo, che si sono verosimilmente mantenuti al di sotto delle soglie di allarme per l’intera durata della condotta.

Il Garante individua le misure che avrebbero potuto essere adottate:

• autorizzazione preventiva del supervisore per accessi a clienti fuori portafoglio o senza rapporti attivi;
• accesso limitato ai dati delle altre filiali;
• collegamento obbligatorio a rapporti contrattuali pendenti;
• sistemi di limitazione dinamica delle abilitazioni;
• alert differenziati per tipologia di cliente.

E, in aggiunta, meccanismi di escalation automatica in caso di accessi fuori contesto rispetto all’operatività ordinaria con notifica immediata al supervisore diretto e verifica tempestiva da parte delle funzioni di controllo interne.

Quest’ultimo punto assume rilievo specifico in ragione della natura stessa dell’attività bancaria. Gli istituti di credito sono soggetti obbligati ai sensi della normativa antiriciclaggio e gestiscono per definizione clientela che include persone politicamente esposte (PEP), verso le quali applicano già sul piano della due diligence misure rafforzate di profilazione e monitoraggio.

La stessa logica di differenziazione del rischio avrebbe dovuto essere applicata ai controlli sull’accesso interno ai dati: soglie di allarme più basse, frequenze di monitoraggio più ravvicinate, meccanismi di escalation automatica verso compliance, privacy e sicurezza in caso di accessi fuori contesto.

La mancata trasposizione di questa sensibilità dal perimetro antiriciclaggio a quello della protezione dei dati è uno dei profili più significativi del provvedimento.

La gestione della violazione

La seconda linea di criticità individuata dall’Autorità riguarda la gestione del data breach, con specifico riferimento agli obblighi di notifica previsti dagli articoli 33 e 34 del GDPR.

La notifica iniziale, come detto, era risultata incompleta e tardiva, e soprattutto aveva sottostimato significativamente il perimetro degli interessati coinvolti. La comunicazione agli interessati è avvenuta soltanto a seguito di un precedente provvedimento del Garante del 2 novembre 2024, che aveva già segnalato le criticità della gestione.

Il ritardo nella comunicazione ha compromesso la possibilità degli interessati di esercitare i diritti previsti dagli articoli 15 e seguenti del GDPR e ha parallelamente ridotto la capacità dell’Autorità di intervenire in modo efficace a protezione dei diritti delle persone coinvolte.

Il quadro che emerge è quello di una gestione della violazione orientata, almeno nella sua fase iniziale, alla minimizzazione dell’entità dell’incidente piuttosto che alla trasparenza verso l’Autorità e gli interessati. Condotta che il Garante ha ritenuto non solo inadeguata sul piano tecnico, ma lesiva del principio di accountability che il GDPR pone in capo al titolare del trattamento.

La metodologia ENISA e rischio di window dressing

Uno dei passaggi più tecnici e rilevanti del provvedimento riguarda la valutazione del rischio associato al breach. Intesa Sanpaolo aveva dichiarato di applicare la metodologia ENISA, uno standard europeo basato su parametri oggettivi orientati agli effetti sugli interessati: natura, sensibilità e volume dei dati, oltre alla vulnerabilità e all’esposizione pubblica dei soggetti coinvolti.

L’istruttoria ha però accertato che la Banca si è sostanzialmente discostata da tale metodologia, applicando un meccanismo di override manuale in riduzione del rischio. Tale declassamento si basava esclusivamente sulla causa interna dell’incidente (la condotta del singolo dipendente già sanzionato), senza fornire elementi oggettivi che riducessero effettivamente l’impatto o la probabilità del danno per gli interessati.

In quest’ottica, l’adozione di standard internazionali svuotati della loro sostanza attraverso correzioni arbitrarie è stata considerata dall’Autorità come un vulnus all’accountability e, si passi il termine, quasi come una sorta di window dressing, letteralmente un “abbellimento della vetrina”, ovvero l’impiego di un framework internazionale come paravento metodologico per avvalorare valutazioni che, nell’applicazione pratica, hanno finito per comprimere i diritti e le libertà degli interessati.

Il rischio, per i titolari, è quello di generare una compliance di facciata che produce un cortocircuito dell’accountability sostanziale, esponendo l’organizzazione a sanzioni pesanti proprio a causa della mancanza di oggettività nell’analisi.

Le Linee guida 9/2022 dell’EDPB sono sul punto inequivoche: la valutazione del rischio deve focalizzarsi sulla gravità degli impatti sui diritti e le libertà, senza attribuire rilievo determinante alla causa o all’origine della violazione.

L’override applicato da ISP ignorava questi parametri, configurando, secondo il Garante, una violazione del principio di accountability e la valutazione del rischio non è risultata coerente, oggettiva e dimostrabile, né allineata alla metodologia dichiarata.

La sanzione e le implicazioni legali

L’importo finale di 31,8 milioni di euro si colloca tra le sanzioni più rilevanti mai irrogate dall’Autorità Garante italiana a un soggetto privato, e la prima di tale entità specificamente per una violazione di sicurezza interna nel settore bancario.

Nel determinare l’importo di 31,8 milioni di euro nei confronti della più grande banca italiana con una capitalizzazione di mercato pari a quasi 90 miliardi di euro, il Garante ha tenuto conto della durata delle violazioni, del numero degli interessati coinvolti, della presenza di soggetti PEP e della categoria degli interessati, e delle misure correttive adottate successivamente ai fatti.

Tra queste ultime assume rilievo il Programma Nemo: introduzione di protezioni rafforzate per i clienti che ricoprono cariche di rilievo (clienti “SEC”), potenziamento del sistema di autorizzazioni ex ante e controlli ex post, e rafforzamento della governance nella gestione dei data breach con procedure di escalation rapida per gli accessi non giustificati ai dati dei clienti più esposti.

Il Garante riconosce esplicitamente che tali misure vanno nella direzione corretta, e le considera nell’attenuazione della sanzione. Misure che, vale la pena notarlo, corrispondono esattamente ai presidi che l’Autorità aveva indicato come mancanti.

La lezione per CISO e DPO

Per i CISO e per i DPO, il caso dimostra come un insider threat “paziente” possa scivolare sotto i radar se i sistemi di sicurezza si limitano a soglie quantitative statiche e a frequenze temporali dilatate.

Soprattutto, emerge che l’accountability non si esaurisce nell’adozione formale di un framework, ma nella sua capacità di rispondere in maniera concreta alla tutela dei diritti e delle libertà degli interessati.