Con il provvedimento n. 208 del 26 marzo 2026, il Garante per la protezione dei dati personali (“Garante” o “Autorità”) ha inflitto a Intesa Sanpaolo S.p.a. (“ISP” o “Banca”) una sanzione di 31,8 milioni di euro, a conclusione dell’attività istruttoria avviata dall’Autorità in seguito al data breach notificato dalla Banca a luglio 2024, che aveva evidenziato significative criticità sulla sicurezza dei dati personali.
Accessi indebiti e controlli inefficaci
L’istruttoria ha accertato che un dipendente aveva consultato i dati bancari di 3.573 clienti senza giustificato motivo, effettuando oltre 6.600 accessi tra febbraio 2022 e aprile 2024. La durata e la ripetitività delle condotte hanno permesso di ricostruire un quadro particolarmente critico, aggravato dal fatto che tali accessi non erano mai stati intercettati dai sistemi di controllo interni ed avevano, altresì, riguardato clienti “ad alto rischio”, inclusi soggetti ricoprenti ruoli di rilievo pubblico; per questi ultimi – secondo l’Autorità – sarebbero stati necessari livelli di protezione rafforzati: controlli dedicati e più stringenti, soglie di allarme più basse e frequenze di monitoraggio più ravvicinate, meccanismi di escalation automatica – in caso di accessi fuori contesto rispetto all’operatività ordinaria – anche mediante una notifica immediata al supervisore diretto dell’operatore, e una verifica tempestiva da parte delle funzioni di controllo della Banca (compliance, privacy e sicurezza).
Come evidenziato dal Garante, infatti, il modello operativo di ISP consentiva ai dipendenti di interrogare “in piena circolarità” l’intera base clienti – non solo i dati di quelli operanti presso la filiale di appartenenza – senza che a tale ampiezza di accesso corrispondessero presidi adeguati di prevenzione e monitoraggio, come la richiesta di un’autorizzazione preventiva da parte di un supervisore, la possibilità di consultare i dati dei clienti di altre filiali solo in forma limitata o ancora l’adozione di misure supplementari per prevenire, rilevare e segnalare tempestivamente accessi sospetti. Ciò in violazione dei principi di accountability e di sicurezza del trattamento (artt. 5, 24 e 32 GDPR), anche tenuto conto di quanto prescritto dal provvedimento n. 192/2011 riguardante la “circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie” per l’aggiornamento ed il rafforzamento delle misure adottate a protezione dei dati personali.
Violazioni delle norme su notifica data breach e comunicazione agli interessati
Il Garante ha accertato ulteriori criticità nella gestione del data breach: infatti, la notifica è stata ritenuta incompleta e tardiva rispetto ai termini previsti dalla normativa. Inoltre, seppur la Banca avesse asserito di aver impiegato la metodologia ENISA per la valutazione strutturata del rischio, aveva finito per discostarsene sostanzialmente, senza una giustificazione oggettiva e verificabile. Tramite la propria valutazione, infatti, ISP aveva ridotto il livello di rischio basandosi sulla causa interna dell’incidente – che non aveva comportato esfiltrazione di dati – senza dare evidenza, però, di fattori oggettivi che riducessero effettivamente l’impatto o la probabilità del danno per gli interessati. Peraltro, la presenza di dati personali riferibili a soggetti ricoprenti ruoli pubblici risultava difficilmente compatibile con una riclassificazione del rischio al fine di ridurne la portata.
Avendo sottovalutato il livello di pericolo, anche la comunicazione agli interessati era stata inoltrata con ritardo e solo a seguito di un provvedimento precedente dell’Autorità (del 2 novembre 2024, doc. web n. 10070521). Tali condotte hanno, dunque, compromesso la possibilità del Garante di intervenire tempestivamente a tutela dei diritti e delle libertà degli interessati, incidendo direttamente sulle considerazioni conclusive del procedimento sanzionatorio.
Valutazioni circa la portata della sanzione
Nel determinare l’importo della sanzione, il Garante ha tenuto conto di: natura, gravità e durata della violazione (considerata l’inosservanza delle misure volte a garantire un’adeguata sicurezza dei dati personali, del principio di responsabilizzazione e della corretta gestione degli adempimenti connessi alla violazione dei dati occorsa); numero elevato di clienti coinvolti e conseguenze subìte dagli interessati, dal momento che le misure mitigative sono state assunte tardivamente. Determinante anche la presenza di precedenti violazioni pertinenti. In via attenuante, l’Autorità ha riconosciuto l’assenza di categorie particolari di dati coinvolti nella violazione, la cooperazione della Banca nel corso del procedimento e l’adozione di alcuni interventi organizzativi e tecnici, in conformità alla normativa di settore, come indicato nelle memorie difensive di luglio 2025.
CONCLUSIONI
Il provvedimento ribadisce con forza che l’attuazione del principio di accountability richiede evidenze operative, che non possono ridursi a mere dichiarazioni formali di conformità. Ciò implica l’adozione di logiche di accesso coerenti con il principio del “need-to-know”, l’implementazione di sistemi di monitoraggio realmente efficaci e una gestione dell’incident response orientata alla tempestività e alla completezza informativa.
La sanzione ad ISP segna un punto fermo nella giurisprudenza dell’Autorità: la protezione dei dati personali, soprattutto in ambito bancario, riflette una responsabilità organizzativa che si misura nei risultati. E quando i controlli falliscono, le conseguenze assumono, inevitabilmente, risvolti sanzionatori anche sul piano reputazionale.
Avv. Rossella Bucca e Dott.ssa Melissa Marro
