Multe pesanti del Garante per la privacy a Intesa Sanpaolo.
Ecco tutti i dettagli.
TUTTE LE MULTE DEL GARANTE PRIVACY A INTESA SANPAOLO
La prima multa, elevata a metà mese, è una sanzione da 17.628.000 euro “per aver trattato in modo illecito i dati di circa 2,4 milioni di clienti trasferiti, unilateralmente alla controllata al 100% Isybank Spa”, mentre la seconda, superiore per portata, è stata resa nota ieri e ammonta a 31,8 milioni di euro “per gravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate”. Totale, 49,4 milioni di euro. Ma andiamo con ordine.
IL CASO ISYBANK
Con riferimento alla prima multa da 17,6 milioni l’Autorità a tutela dei dati personali presieduta da Pasquale Stanzione (nella foto) ritiene che “Per individuare tra i propri clienti quelli da trasferire nella neo-istituita Isybank, Intesa Sanpaolo” avrebbe “effettuato, senza un’idonea base giuridica, una profilazione della clientela”.
“In particolare – sostengono dal Garante della Privacy – sono stati selezionati i clienti che presentavano determinate caratteristiche, tra cui: età non superiore a 65 anni, utilizzo abituale dei canali digitali nell’ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie inferiori a una certa soglia”.
Per l’Autorità che ha elevato la sanzione, si tratta di “Un’operazione che ha inciso in modo significativo sulla posizione” della clientela, “poiché ha comportato il trasferimento dei rapporti a un diverso titolare del trattamento, con conseguente modifica unilaterale delle condizioni contrattuali e delle modalità operative del conto corrente rispetto a quelle originariamente previste (ad es., attribuzione di un nuovo iban e conseguente necessità di doverlo comunicare a terzi; mancanza di sportelli fisici e accesso esclusivo tramite app)”.
E non è tutto: “Sono risultate altresì carenti le comunicazioni trasmesse ai clienti per informarli di questa operazione, inviate, per lo più, in coincidenza del periodo estivo, nella sezione archivio dell’app di Intesa Sanpaolo, senza dare loro la necessaria evidenza che la straordinarietà dell’operazione avrebbe richiesto (ad es., attraverso notifiche push o sms)”.
Secondo il Garante, “il trattamento effettuato dalla banca con le modalità descritte nel provvedimento risulta illecito, anche perché il cliente non poteva ragionevolmente prevederlo sulla base del contesto e delle informazioni ricevute”. Nel determinare l’importo della sanzione, l’Autorità “ha tenuto conto della rilevanza delle violazioni, dell’elevato numero di clienti coinvolti ma anche del carattere colposo delle trasgressioni e della collaborazione prestata dalla banca”.
I CONTI SPIATI DA COVIELLO
Si arriva poi alla maxi sanzione da 31,8 milioni elevata nelle ultime ore. In questo caso l’istruttoria dell’Autorità era stata avviata a seguito del data breach notificato dalla banca nel luglio 2024 e ha accertato che un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti, effettuando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024. “Tali accessi indebiti non sono stati rilevati dai sistemi di controllo interni”, viene ribadito dal Garante della Privacy “evidenziando significative criticità nei meccanismi di monitoraggio e prevenzione”.
Non a caso l’Autorità parla in merito di “gravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate”. Il Garante nel corso delle indagini sostiene di avere accertato, in particolare, “la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate. Il modello operativo utilizzato, che consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, non era infatti adeguatamente bilanciato da controlli idonei a prevenire e individuare accessi non giustificati”.
Non solo, perché “ulteriori criticità sono emerse nella gestione del data breach. La notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione agli interessati, avvenuta solo a seguito di un precedente provvedimento del Garante del 2 novembre 2024 (doc. web n. 10070521). Tali condotte hanno compromesso la possibilità di un tempestivo intervento dell’Autorità a tutela dei diritti e delle libertà delle persone coinvolte. Alla luce delle violazioni riscontrate, il Garante ha ritenuto illecita la condotta posta in essere da Intesa Sanpaolo”.
