La vicenda che ha portato alla sanzione del Garante per la protezione dei dati personali coinvolge aspetti tecnici e organizzativi della gestione delle informazioni nella grande banca.
L’autorità ha irrogato una multa di 31,8 milioni di euro a seguito di un’istruttoria collegata a un data breach notificato dalla banca nel luglio 2026. Secondo il provvedimento, un dipendente ha effettuato accessi senza giustificazione ai dati bancari di 3.573 clienti, per un totale di oltre 6.600 consultazioni effettuate tra il 21 febbraio 2026 e il 24 aprile 2026. Il caso mette in luce problemi sia nel controllo degli accessi sia nella gestione delle comunicazioni verso l’autorità e gli interessati.
Oltre alla dimensione numerica degli accessi, il Garante ha sottolineato che parte dei profili coinvolti era considerata ad alto rischio, includendo soggetti con ruoli pubblici di rilievo che richiedono protezioni rafforzate. L’istruttoria ha evidenziato lacune nelle misure di monitoraggio e prevenzione: gli accessi indebiti non sono stati intercettati dai sistemi interni, mostrando l’inadeguatezza delle misure tecniche e organizzative implementate. Sulla base di queste constatazioni, l’autorità ha ritenuto violati i principi di integrità, riservatezza e accountability sanciti dal GDPR, con conseguenze significative per l’istituto.
Indice dei contenuti:
Accessi illeciti e carenze nei controlli
Nel dettaglio, l’istruttoria ha ricostruito un modello operativo che permetteva agli operatori di consultare ampiamente la clientela senza adeguati freni di monitoraggio: questa configurazione ha favorito consultazioni non giustificate e la mancata segnalazione automatica di anomalie. Il Garante ha infatti rilevato che i meccanismi aziendali non riuscivano a rilevare tempestivamente le consultazioni anomale, con impatti sulla capacità di prevenire abusi. La contestazione riguarda non solo il singolo comportamento del dipendente ma anche la struttura dei controlli interni, che non è risultata proporzionata al rischio di esposizione dei dati sensibili dei correntisti.
Clienti ad alto rischio: protezioni insufficienti
Particolarmente critico è il coinvolgimento di clienti definiti ad alto rischio, tra i quali figurano persone con ruoli pubblici che, per loro natura, richiedono presidi di sicurezza più stringenti. Secondo l’autorità, per questi profili sarebbero stati necessari controlli rafforzati e strumenti di logging e alert più efficaci. L’assenza di tali presidi ha aggravato la valutazione della violazione, poiché l’esposizione di dati sensibili relativi a soggetti pubblici comporta rischi reputazionali e di sicurezza più elevati rispetto a profili ordinari.
Gestione del data breach e tempi di notifica
Un altro elemento decisivo per la sanzione riguarda la modalità e i tempi di comunicazione del data breach. Il Garante ha ritenuto che la notifica dell’incidente, avvenuta nel luglio 2026, sia stata incompleta e tardiva rispetto ai requisiti normativi, e che la comunicazione agli interessati sia stata effettuata solo dopo un intervento formale dell’autorità, in particolare dopo il provvedimento del 2 novembre 2026. Questo ritardo ha limitato la possibilità di un intervento tempestivo a tutela dei diritti degli utenti, contravvenendo all’obbligo di informare senza ingiustificato ritardo quando la violazione può comportare un rischio per i diritti e le libertà delle persone.
Obblighi normativi e impatto
Il quadro normativo richiede procedure dettagliate per la gestione degli incidenti, compresi processi di valutazione del rischio, misure di contenimento e comunicazioni sia all’autorità sia agli interessati. Nel valutare la sanzione, il Garante ha considerato la gravità, la durata delle violazioni e il numero elevato di soggetti coinvolti, ma ha anche tenuto conto delle misure correttive adottate dall’istituto successivamente ai fatti per rafforzare i sistemi di controllo interno. Nonostante gli interventi, la condotta complessiva è stata ritenuta illecita e sanzionabile.
Sanzioni precedenti e contesto più ampio
La multa di 31,8 milioni si somma a un precedente provvedimento nei confronti della stessa banca, pari a 17,6 milioni, relativo al trasferimento di dati alla controllata digitale Isybank senza un’adeguata base giuridica per il trattamento. Con queste decisioni il totale delle sanzioni raggiunge quasi 50 milioni in poche settimane, segnando un’intensa attenzione del Garante verso le pratiche di gestione e profilazione dei dati nel settore bancario. Il caso rappresenta un richiamo per gli operatori finanziari: investire in controlli adeguati e procedure chiare non è solo un obbligo normativo ma una leva cruciale per ridurre rischi operativi e reputazionali.
