Intesa Sanpaolo, maxi multa da 31,8 milioni dal Garante Privacy: accessi illeciti ai dati di migliaia di clienti

• La sanzione del Garante Privacy
• Due anni di accessi illeciti senza alcun allarme
• Le contestazioni: sistemi di alert inadeguati e notifica tardiva
• Il quadro normativo: cosa prevede il GDPR per le banche
• Le implicazioni per il settore bancario italiano
• Domande frequenti

La sanzione del Garante Privacy

Una cifra che pesa. 31,8 milioni di euro: è questa la sanzione che il Garante per la protezione dei dati personali ha inflitto a Intesa Sanpaolo per gravi violazioni nella tutela delle informazioni dei propri clienti. Al centro del provvedimento, una vicenda tanto semplice nella dinamica quanto allarmante nelle proporzioni: un singolo dipendente della banca ha effettuato accessi non autorizzati ai dati personali e bancari di 3.573 correntisti, operando indisturbato per un arco temporale superiore ai due anni.

La decisione dell'Autorità, resa nota il 31 marzo 2026, rappresenta una delle sanzioni più rilevanti mai comminate in Italia in materia di protezione dei dati nel settore creditizio. E rilancia, con forza, il tema della sicurezza dei dati bancari e dell'effettiva capacità degli istituti di credito di presidiare l'accesso alle informazioni sensibili della propria clientela.

Due anni di accessi illeciti senza alcun allarme

Stando a quanto emerge dal provvedimento, gli accessi illeciti si sono protratti dal 21 febbraio 2022 al 24 aprile 2024. Per oltre ventisei mesi, dunque, un dipendente ha consultato sistematicamente dati riservati, movimenti di conto corrente e informazioni personali di migliaia di clienti senza averne alcuna legittimazione operativa.

Il dato più inquietante non riguarda tanto la condotta del singolo, quanto il fatto che i sistemi interni di monitoraggio della banca non abbiano rilevato nulla. Nessun alert automatico, nessuna segnalazione, nessun controllo che abbia intercettato un pattern di consultazioni anomalo protratto per anni. Un buco nei controlli che il Garante ha giudicato incompatibile con gli obblighi di sicurezza che gravano su un operatore delle dimensioni di Intesa Sanpaolo.

Viene da chiedersi quanti altri casi simili possano celarsi nei sistemi informatici degli istituti di credito italiani, se persino il primo gruppo bancario del Paese si è dimostrato incapace di individuare una violazione così prolungata.

Le contestazioni: sistemi di alert inadeguati e notifica tardiva

Il Garante ha contestato a Intesa Sanpaolo una serie di violazioni che compongono un quadro di carenze strutturali nella governance della sicurezza dei dati.

I profili principali della contestazione riguardano:

• L'inadeguatezza delle misure tecniche e organizzative adottate per prevenire accessi non autorizzati ai sistemi informativi contenenti dati dei clienti
• L'assenza di meccanismi di rilevazione efficaci, capaci di identificare tempestivamente comportamenti anomali da parte del personale interno
• La notifica del data breach incompleta e tardiva all'Autorità, in violazione dell'obbligo previsto dall'articolo 33 del Regolamento europeo

Su quest'ultimo punto, la normativa è inequivocabile: il titolare del trattamento deve notificare la violazione al Garante entro 72 ore dal momento in cui ne viene a conoscenza, fornendo informazioni complete sulla natura della violazione, sulle categorie di dati coinvolti e sulle misure adottate per porvi rimedio. Intesa Sanpaolo, secondo l'Autorità, ha mancato su entrambi i fronti, sia nella tempistica che nella completezza delle informazioni trasmesse.

Non è la prima volta che il Garante Privacy interviene con decisione per sanzionare carenze nella protezione dei dati: una dinamica simile, seppure in un ambito completamente diverso, si è osservata nel caso del Blocco di Deepseek in Italia: il Garante Privacy interviene per tutelare i dati degli utenti, dove l'Autorità ha agito con altrettanta fermezza di fronte a rischi concreti per gli utenti.

Il quadro normativo: cosa prevede il GDPR per le banche

Le banche trattano quotidianamente una mole enorme di dati personali e finanziari, classificati tra le categorie più sensibili dal punto di vista della tutela della privacy. Il Regolamento generale sulla protezione dei dati (GDPR, Regolamento UE 2016/679), pienamente applicabile in Italia dal maggio 2018, impone ai titolari del trattamento obblighi particolarmente stringenti quando il rischio per i diritti e le libertà delle persone fisiche è elevato.

L'articolo 32 del GDPR richiede l'adozione di misure tecniche e organizzative adeguate al livello di rischio, inclusi meccanismi di logging degli accessi, sistemi di rilevazione delle anomalie e procedure di revisione periodica. Per gli istituti di credito, a queste disposizioni si affiancano le indicazioni della Banca d'Italia e dell'EBA (European Banking Authority) in materia di rischi operativi e sicurezza informatica.

Il caso Intesa Sanpaolo mette in luce una criticità specifica: il cosiddetto insider threat, ovvero la minaccia proveniente dall'interno dell'organizzazione. Non si tratta di un attacco hacker esterno, ma di un abuso commesso da chi aveva legittimo accesso ai sistemi per ragioni lavorative. È un rischio ben noto nel settore, eppure evidentemente sottovalutato nei fatti.

La sanzione da 31,8 milioni, peraltro, si inserisce in un contesto in cui il Garante sta progressivamente alzando il livello di attenzione e le conseguenti penalità. Nel 2025 e nei primi mesi del 2026, l'Autorità ha intensificato la propria attività ispettiva proprio nel comparto finanziario e tecnologico.

Le implicazioni per il settore bancario italiano

Questa vicenda è destinata a produrre effetti ben oltre il perimetro di Intesa Sanpaolo. Il messaggio del Garante è chiaro: non basta dotarsi di policy formali sulla protezione dei dati, se poi i sistemi di controllo effettivo non funzionano.

Per il settore bancario italiano si aprono interrogativi concreti. Quante banche dispongono realmente di sistemi di behavioural analytics in grado di identificare accessi anomali in tempo reale? Quanti istituti hanno implementato il principio del least privilege, limitando l'accesso ai dati ai soli casi strettamente necessari per l'espletamento delle mansioni?

La questione, del resto, si inserisce in un dibattito più ampio sulla gestione dei rischi nei luoghi di lavoro. Come evidenziato anche dall'analisi sugli Infortuni sul Lavoro: ERSAF - allarmanti i dati sulla valutazione dei rischi, troppo spesso esiste un divario significativo tra le procedure sulla carta e la loro effettiva applicazione quotidiana.

Per i 3.573 clienti i cui dati sono stati illecitamente consultati, resta aperta la questione dei possibili danni subiti e delle eventuali azioni risarcitorie. Il GDPR, all'articolo 82, riconosce il diritto al risarcimento per chiunque abbia subito un danno materiale o immateriale a causa di una violazione del regolamento. Non è escluso che nei prossimi mesi possano emergere iniziative legali, individuali o collettive, nei confronti dell'istituto.

Intesa Sanpaolo, dal canto suo, dovrà ora dimostrare di aver adottato misure correttive adeguate, pena ulteriori interventi dell'Autorità. La multa da 31,8 milioni di euro, per quanto significativa, potrebbe rivelarsi solo il primo capitolo di una vicenda ancora tutta da scrivere.