Violazione dei dati Intesa Sanpaolo, Garante Privacy: 20 giorni per informare i clienti
Intesa Sanpaolo Spa ha 20 giorni di tempo per informare i clienti coinvolti nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente della Banca
Intesa Sanpaolo Spa ha 20 giorni di tempo per informare i clienti coinvolti nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente della Banca.
È quanto deciso dal Garante Privacy a seguito dei chiarimenti inviati dall’Istituto bancario in risposta alla richiesta di informazioni dell’Autorità.
Violazione dei dati Intesa Sanpaolo, la vicenda
Come spiegato dal Garante nel provvedimento, l’Autorità è venuta a conoscenza – attraverso la notifica di violazione dei dati personali del 17 luglio 2024, effettuata da Intesa Sanpaolo S.p.A. – di una “perdita di riservatezza di dati personali determinata dall’accesso non autorizzato da parte di un dipendente ai dati bancari di alcuni clienti”.
In particolare, in tale notifica Intesa Sanpaolo spiegava che “nel mese di febbraio 2024, la Funzione Privacy, incaricata dei controlli di secondo livello in merito a potenziali anomalie negli accessi ai dati bancari da parte dei dipendenti rilevate dai sistemi di alert adottati, ha analizzato le interrogazioni eseguite dal dipendente interessato (assegnato alla Filiale Agribusiness di Barletta – Distaccamento di Bisceglie con l’incarico di Gestore Agribusiness) sulla movimentazione della carta di credito di una cliente fra il 1° ottobre 2023 e il 12 ottobre 2023. Il sistema di alert ha inoltre intercettato nello stesso periodo (ottobre – novembre 2023) altri potenziali accessi anomali su due ulteriori clienti…” e che “…Sulla base dell’esito di tutte le verifiche condotte si ritiene che il perimetro dei clienti effettivamente impattati dall’accertata anomala operatività effettuata dal dipendente coinvolto sia di 9 persone fisiche.”
Il provvedimento del Garante Privacy
“Con riferimento alla valutazione del rischio della violazione – si legge ancora nel provvedimento del Garante – la Banca ha ritenuto che l’evento presentasse un rischio medio per i diritti e le libertà delle persone fisiche”. La Banca, inoltre, ha comunicato “di voler comunicare l’evento ai nove interessati coinvolti”.
Alla luce dei fatti, l’Autorità ritiene, diversamente da quanto valutato dalla Banca, che “la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale)”.
“Il provvedimento – sottolinea il Garante – si è reso necessario poiché nelle prime comunicazioni inviate dalla Banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti”.
Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, ha inoltre ingiunto alla Banca di “trasmettere all’Autorità, entro trenta giorni, un riscontro adeguatamente documentato sulle iniziative intraprese, al fine di dare piena attuazione a quanto prescritto”.
Codici: gli accessi abusivi alle banche dati sono un pericolo crescente
Ivano Giacomelli, Segretario Nazionale di Codici, è intervenuto sulla vicenda, richiamando l’attenzione sul “crescente pericolo rappresentato dagli accessi abusivi alle banche dati“.
“Se i cittadini sono chiamati ad uno sforzo importante per proteggere dati personali e bancari – ha affermato Giacomelli – è chiaro che il compito principale spetta però agli istituti. Sono le banche che devono adottare misure di sicurezza adeguate. Nel caso su cui è intervenuto il Garante si parla di accessi indebiti effettuati da un dipendente della Banca, ma sono all’ordine del giorno le truffe bancarie, altra questione che merita la massima attenzione e che dimostra la fragilità dei sistemi di sicurezza degli istituti”.