S’ingarbuglia, anche a livello istituzionale e non solo giudiziario, il caso dell’impiegato di Intesa Sanpaolo, Vincenzo Coviello, che ha spiato conti, carte e movimento titoli di politici, ministri, calciatori, cantanti, attori, vip e non solo vip (qui i principali dettagli di cronaca nei primi giorni in cui è divampato mediaticamente il caso).
Ecco le ultime novità tra fatti, ricostruzioni e commenti.
INTESA SANPAOLO INDAGATA PER IL CASO COVIELLO
Il gruppo Intesa Sanpaolo è formalmente indagato – ha scritto l’agenzia Ansa – nel caso che vede coinvolto il 52enne Vincenzo Coviello, originario di Bitonto (Ba) ed ex dipendente della filiale di Bisceglie (Barletta-Andria-Trani, Bat). L’uomo è indagato dalla procura di Bari per accesso abusivo ai sistemi informatici e tentato procacciamento di notizie concernenti la sicurezza dello Stato: tra il 21 febbraio 2022 e il 24 aprile 2024, avrebbe compiuto 6.637 accessi non autorizzati a dati riservati relativi a 3.572 clienti di 679 filiali dell’istituto di credito, inclusi esponenti di primo piano delle istituzioni italiane, tra cui il presidente del Consiglio, Giorgia Meloni, che ha parlato di dossieraggio e altro (qui una lettera-commento dell’analista Francis Walsingham).
IL RUOLO DI INTESA SANPAOLO SECONDO GLI INQUIRENTI
La Banca, per gli inquirenti, avrebbe violato la legge 231 del 2001 sulla responsabilità amministrativa delle persone giuridiche. Intesa Sanpaolo, per i pubblici ministeri, non avrebbe tempestivamente segnalato agli inquirenti gli accessi abusivi. Secondo l’agenzia Ansa, i legali di alcuni clienti “spiati” da Coviello avrebbero chiesto alla procura di Bari informazioni, per valutare la costituzione parte civile o cause civili ai danni della banca.
LA POSIZIONE DI INTESA SANPAOLO
Un portavoce di Intesa Sanpaolo, a seguito della notizia che l’istituto sarebbe formalmente indagato nell’indagine a carico del 52enne Vincenzo Coviello, precisa che la banca “non ha ricevuto alcuna comunicazione dall’autorità giudiziaria” e sottolinea che il gruppo “ha potuto procedere con la notifica presso l’Autorità per la Privacy e la denuncia presso la Procura di Bari come parte lesa nei tempi resi possibili da un processo esteso e accurato, volto alla ricostruzione di quanto avvenuto”.
“Una volta che la struttura di controlli interni ha evidenziato le anomalie, hanno subito preso avvio la procedura disciplinare e l’analisi dei fatti, che hanno richiesto una complessa ed estesa ricostruzione di quanto avvenuto”, prosegue il portavoce.
Nel frattempo, la banca ha “sospeso cautelativamente il dipendente e ha proceduto ad avviare l’interlocuzione con l’Autorità per la Privacy, integrando successivamente l’iniziale notifica con gli sviluppi della vicenda”, spiega ancora il portavoce del gruppo creditizio guidato dall’amministratore delegato, Carlo Messina (nella foto): “La complessa analisi dei fatti con il conseguente completamento del procedimento disciplinare – nel rispetto delle procedure a garanzia e tutela del lavoratore – ha condotto al licenziamento alla luce delle gravi e ripetute violazioni di norme regolamenti e procedure interne da questo commesse”, si legge nella nota dell’istituto per la stampa.
“Solo a conclusione di tutto ciò, la Banca ha infine potuto procedere a sporgere denuncia come parte lesa, sulla base dell’esposizione dei fatti come ricostruiti all’autorità giudiziaria. Il comportamento della banca sarà come sempre basato sulla massima collaborazione con le autorità”, ha concluso il portavoce del gruppo bancario.
COME SI MUOVONO GLI AVVOCATI DEI CLIENTI SPIATI
Si muovono gli avvocati dei clienti di Intesa Sanpaolo spiati da Vincenzo Coviello per valutare la costituzione di parte civile (in un eventuale processo penale) o cause civili ai danni della banca, formalmente indagata – come detto – dalla Procura di Bari per la violazione della legge 231 del 2001 sulla responsabilità amministrativa degli enti. In questi giorni, infatti, i legali hanno chiesto informazioni agli inquirenti annunciando azioni a tutela dei propri assistiti.
IN ARRIVO RICHIESTE DI RISARCIMENTO
Nei confronti dell’istituto, quindi, potrebbero arrivare potenzialmente migliaia di richieste risarcitorie: dal febbraio 2022 all’aprile 2024, infatti, il 52enne di Bitonto (Bari) ed ex dipendente della banca avrebbe effettuato 6.637 accessi abusivi ai dati dei conti correnti di 3.572 clienti sparsi in 679 filiali in tutta Italia.
BOTTA E RISPOSTA
L’istituto, rilevano i pm, non avrebbe tempestivamente segnalato agli inquirenti gli accessi abusivi. Intesa Sanpaolo ha replicato spiegando di non aver “ricevuto alcuna comunicazione dall’autorità giudiziaria” e sottolineando che la “banca ha potuto procedere con la notifica presso l’autorità per la privacy e la denuncia presso la Procura di Bari come parte lesa nei tempi resi possibili da un processo esteso e accurato, volto alla ricostruzione di quanto avvenuto”.
LE IPOTESI DELLA PROCURA SU COVIELLO
La Procura sospetta che Coviello abbia agito “verosimilmente in concorso e previo concerto con persona/e da identificare”, presunti mandanti degli accessi abusivi ai sistemi informatici di Intesa Sanpaolo. Coviello, però, dopo aver ricevuto una contestazione bonaria dalla banca (prima del licenziamento datato 8 agosto) si è difeso: “Ho agito di mia iniziativa – ha detto ai suoi superiori – e non ho mai stampato né trattenuto copia delle informazioni sui conti, così come non ho divulgato a nessuno i dati visionati e ho smesso di accedere ai conti dei clienti dall’ottobre del 2023”, in seguito a un confronto con il suo responsabile che gli contestava gli accessi abusi scoperti dall’istituto di credito in sede di audit.
I TEMPI DELLE SPIATE
In realtà, gli contesta formalmente la banca il 4 luglio, Coviello ha continuato a spiare i conti, come se nulla fosse accaduto. Emerge dagli atti della banca che dal novembre 2023 ad aprile 2024 ha eseguito 347 accessi abusivi interrogando i conti di 261 clienti da lui non gestiti. Gli accessi sarebbero avvenuti dalla postazione di lavoro di Coviello, nella filiale di Bisceglie (Bat) in cui il dipendente si trovava in distaccamento dalla sede Agribusiness di Barletta.
Il 52enne avrebbe cercato, tra gli altri, i dati dei conti della premier Giorgia Meloni, della sorella Arianna, dell’ex compagno Andrea Giambruno, di vari ministri e parlamentari, oltre che di sette ex presidenti del Consiglio (tra cui Mario Draghi e Matteo Renzi) e di personaggi del mondo dello sport e dello spettacolo. Ma anche di suoi colleghi e responsabili delle vari strutture della banca, talvolta anche interrogando i dati rilasciati dalla Centrale rischi di Bankitalia. Le indagini della Procura di Bari sono partite dopo la denuncia di un correntista di Bitonto, fatta lo scorso 22 luglio, al quale erano stati segnalati gli accessi abusivi al conto: i suoi dati sarebbero stati visionati da Coviello ben 230 volte.
COME NASCE L’INDAGINE DELLA MAGISTRATURA
L’inchiesta, infatti, è partita dalla denuncia di Antonio Moschetta, medico e professore universitario, correntista della filiale di Bitonto di Intesa Sanpaolo, al quale la banca aveva segnalato una serie di accessi abusivi al suo conto. Professore ordinario di Medicina interna all’università di Bari, Moschetta è stato direttore della scuola di specializzazione in Medicina Interna e presidente del corso di laurea in Medicina dell’università Aldo Moro.
IL RUOLO DEL PROFESSOR MOSCHETTA
Moschetta è stato il primo a denunciare alla Procura di Bari l’accesso abusivo al suo conto corrente nella filiale di Bisceglie di Banca Intesa, distaccamento della filiale Agribusiness di Barletta. Insomma, grazie al professore barese – ha sottolineato il Corriere della sera – è scattata l’inchiesta dei magistrati che ha consentito di scoprire un dipendente infedele, Vincenzo Coviello, entrato nei conti correnti dei clienti della filiale biscegliese, poi licenziato dal gruppo bancario ad agosto.
CASO MATTARELLA?
“Coviello nei giorni scorsi avrebbe detto a mezza bocca, come per giustificarsi dei centinaia di accessi, di aver spiato chiunque, compreso il presidente della Repubblica, Sergio Mattarella – ha scritto il quotidiano Repubblica -. Una circostanza che però, al momento, non trova riscontri: nei file consegnati da Intesa sul periodo che vanno dal febbraio 2022 al febbraio 2024 il nome di Mattarella non c’è. Tanto che non viene contestato a Coviello (che invece risponde di averlo fatto per le altre «istituzioni a fondamento della Repubblica: presidente del Senato, presidente del Consiglio e ministro della Difesa»). Certo, la ricerca potrebbe essere precedente al febbraio 2022, in un periodo quindi non più disponibile: per non lasciare nulla al caso, la procura approfondirà e i consulenti verificheranno se è possibile andare più indietro nel tempo nei server di Intesa e se c’è qualcosa nei dispositivi sequestrati a Coviello”.
“Ma se anche avesse ficcato il naso nei conti del capo dello Stato, Sergio Mattarella, il log non potrebbe dirlo – ha scritto il quotidiano Il Giornale -. Sempre che non siano i carabinieri, frugando nel materiale informatico e nei documenti sequestrati al funzionario giovedì scorso, a trovare segni di dossieraggi precedenti all’alert della banca”.
La Stampa ha sottolineato: “La ricostruzione dei movimenti del cinquantenne arriva indietro nel tempo fino al febbraio del 2022. Ma Coviello avrebbe operato con la stessa modalità anche in precedenza. La normativa dal 2011 prevede infatti l’obbligo – a tutela dei clienti – per tutti gli istituti bancari, di conservare la traccia informatica degli accessi ai dati della clientela per due anni. L’analisi dell’operatività di Coviello viene effettuata dall’audit della banca nel febbraio del 2024, quando, come scritto ieri, Coviello viene interpellato rispetto a un singolo accesso dell’ottobre precedente, cambia versione rispetto a quanto dichiarato in precedenza, facendo scattare tutti gli allarmi. A quel punto però i controllori della banca hanno a disposizione i dati fino al febbraio del 2022. Cosa è successo prima non si sa. Si solo che Coviello, che ha dichiarato di soffrire di una patologia, era un gestore della divisione Agribusiness dall’aprile del 2021, dopo una lunga carriera in banca iniziata nel Banco di Napoli nel 1998”.
LA NOMINA PESANTE DI INTESA SANPAOLO
Vista la delicatezza istituzionale e reputazionale – oltre che giudiziaria – della vicenda, anche il gruppo bancario si è mosso con una comunicazione alla stampa lo scorso fine settimana. Il consigliere delegato di Intesa Sanpaolo, Carlo Messina, proporrà al consiglio di amministrazione della banca, previsto questa settimana, la nomina del generale del Corpo d’Armata dei Carabinieri, Antonio De Vita, nel ruolo di Chief Security Officer di gruppo, nuova area (non presente finora nell’organigramma) a riporto del consigliere delegato con la responsabilità per la Cyber Security e la Sicurezza.
Il generale De Vita ha ricoperto, prima di raggiungere nel mese di luglio il pensionamento, la responsabilità relativa alle regioni di Puglia, Campania, Abruzzo e Molise. Dal 1° settembre è stato assunto da Messina nel suo staff come senior advisor sui temi della sicurezza e cyber, ha comunicato l’istituto di credito guidato da Messina. Ma non è escluso che già nei giorni precedenti il generale si stia occupando della faccenda su input dei vertici del gruppo.
LA NOTA DI INTESA SANPAOLO
Il 13 ottobre la banca ha chiesto anche scusa. Ecco il testo integrale del comunicato di Intesa Sanpaolo: “Come noto un dipendente infedele della nostra Banca, con un comportamento che ha gravemente violato le norme, i regolamenti e le procedure interne, ha consultato dati e informazioni riguardanti alcuni clienti in modo ingiustificato. Il sistema interno di controlli lo ha individuato, abbiamo inviato notifica al Garante della Privacy, abbiamo licenziato il dipendente infedele e abbiamo sporto denuncia come parte lesa. Siamo molto dispiaciuti di quanto accaduto e chiediamo scusa. Quanto avvenuto non dovrà più accadere. Confermiamo che non c’è stato alcun problema di sicurezza informatica rispetto alla quale Intesa Sanpaolo si colloca nelle migliori posizioni internazionali. L’impegno di tutte le 100.000 persone che lavorano in Intesa Sanpaolo è per confermare i livelli di eccellenza che pongono la Banca ai vertici europei. Grazie ai valori che ci guidano proseguiremo nell’assicurare il nostro ruolo di motore economico e sociale dell’Italia”.
SI MUOVONO GARANTE DELLA PRIVACY E BANCA D’ITALIA
La vicenda Coviello è ovviamente finita da giorni sul tavolo del Garante della privacy, che ha definito il fatto «inquietante» (il presidente Pasquale Stanzione ha detto che «si aspetta una giustificazione») e sulla quale Bankitalia ha chiesto a Intesa Sanpaolo «chiarimenti sull’accaduto e sulle iniziative che intende intraprendere al riguardo».
Fonti dell’istituto centrale governato da Fabio Panetta hanno inoltre ricordato che la vigilanza nazionale ed europea da tempo chiedono alle banche «di rafforzare i presidi di sicurezza e di continuità operativa» contro i rischi informatici e cybernetici. «Spetta alla banche presidiare questi rischi» concludono le fonti.
CHE COSA PUÒ FARE IL GARANTE?
Ma che cosa può fare il Garante della privacy? Secondo il regolamento Gdpr (qui un approfondimento di Startmag) le violazioni sui conti possono essere di tre tipi: violazione della riservatezza, violazione dell’integrità e violazione della disponibilità. In caso di comportamento scorretto il Garante della privacy può prescrivere misure correttive valutando l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati violati. Sono anche previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
IL COMMENTO DEL GENERALE RAPETTO
Umberto Rapetto, generale a riposo della Guardia di Finanza, già comandante del GAT Nucleo Speciale Frodi Telematiche, ha commentato: Intesa Sanpaolo nel comunicato stampa del 13 ottobre “ha spiegato che il “dipendente infedele” ha semplicemente “consultato dati e informazioni”, dimenticando che la “consultazione” (già dai tempi della legge 675/96 che introdusse in Italia la disciplina della privacy) è una delle operazioni di “trattamento dei dati” che soggiacciono (al pari della copia o della stampa o di altre attività) a regole precise il cui venirne meno comporta un trattamento illecito opportunamente sanzionato”.
Il sistema dei controlli interni? “È stato capace – ha scritto Rapetto con un pizzico di ironia – di limitare le scorribande a sole 640 giornate lavorative (tra il 21 febbraio 2022 e il 24 aprile 2024) e fortunatamente all’esigua attività di 6.637 accessi «apparentemente non giustificati da esigenze lavorative su posizioni di clienti estranei al suo portafoglio commerciale e al di fuori del perimetro di competenza della Filiale Agribusiness di Barletta»”.
CHE COSA DICE IL REGOLAMENTO EUROPEO
Il Regolamento Europeo in materia di riservatezza dei dati personali (al Considerando 86) sancisce che “Il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie”.
“La clientela – ha osservato Rapetto – ha scoperto “non proprio subito” la violazione in proprio danno. Non credo che la Premier (e con lei tutti gli altri) sia stata informata immediatamente delle consultazioni indebite che la riguardavano, perché dall’8 agosto scorso (giorno del licenziamento del Coviello) la Meloni non avrebbe aspettato l’autunno per parlare di “dossieraggio quotidiano””.
I TEMPI DELLE NOTIFICHE
Inoltre, sottolinea Rapetto, lo stesso Garante – cui deve essere notificata la violazione dei dati entro 72 ore dalla relativa scoperta – “è stato informato solo il 17 luglio 2024 a due anni dal girovagare curioso e 69 giorni dopo la pietra tombale sul rapporto di lavoro del protagonista della scorreria digitale”.
E la denuncia in Procura è arrivata addirittura il 21 agosto, quando la magistratura era già al lavoro da tempo grazie all’esposto di un cliente di Intesa Sanpaolo sul cui conto erano state fatte decine di “visite”.
I TRE ASPETTI BIZZARRI DELLA VICENDA
Insomma, senza la denuncia in Procura presentata dal medico barese spiato l’indagine dei magistrati non sarebbe partita, come detto. A Bitonto, e non solo a Bitonto, ci si chiede se un bancario possa svolgere anche la professione di dottore commercialista con tanto di studio, come nel caso di Coviello. La risposta è affermativa, visto che le banche possono autorizzare i dipendenti a svolgere altri lavori seppure compatibili o non in conflitto con quelli svolti in banca (insomma, sta tutto alla discrezione dell’istituto).
Infine la domanda (più preoccupante) delle domande: ma un dipendente di una filiale bancaria può spulciare i movimenti di conti correnti, carte di credito e investimenti in titoli di persone che non sono clienti di quella filiale dove lavora il bancario ma clienti di qualsiasi altra filiale sparsa in tutta Italia del medesimo istituto di credito? La risposta è no. Ma il caso Coviello insegna che la risposta è sì.