Il Garante per la protezione dei dati personali ha inflitto a Intesa Sanpaolo una sanzione storica di 31,8 milioni di euro. Il provvedimento non è solo una punizione pecuniaria record, ma una vera e propria lezione di diritto applicato: la sicurezza bancaria non può più limitarsi a una barriera contro gli attacchi esterni, ma deve trasformarsi in una vigilanza costante sui comportamenti interni.
La vicenda ha visto un dipendente infedele scrutare per oltre due anni i conti correnti di migliaia di clienti, incluse le più alte cariche dello Stato. Quando un cliente affida i propri risparmi a una banca, le consegna implicitamente la sua intera biografia finanziaria, tutelata dall’Art. 2 della Costituzione e dal D.Lgs. 196/2003 (Codice Privacy).
Al centro del provvedimento vi è la violazione dei principi cardine del Regolamento UE 2016/679 (GDPR). La sanzione non colpisce solo l'evento in sé, ma la carenza strutturale delle misure di sicurezza.
Per anni, i gruppi bancari hanno spinto verso sistemi che permettessero ai gestori di visualizzare i dati di qualsiasi cliente per scopi commerciali. Tuttavia, secondo l'Art. 5, par. 1, lett. f) del GDPR, i dati devono essere trattati in modo da garantire un’adeguata sicurezza e riservatezza.
È emerso un dato paradossale: un singolo operatore ha effettuato oltre 6.600 accessi anomali in 26 mesi. Questo viola il principio di Integrità e Riservatezza e l’Art. 32 del GDPR, che impone al Titolare del Trattamento di adottare misure tecniche e organizzative adeguate al rischio.
L'istituto non ha costruito un’architettura dei permessi che minimizzasse preventivamente il rischio. Secondo il principio della Privacy by Design, i sistemi informatici devono essere progettati per prevenire abusi, specialmente quando riguardano profili pubblici o "politicamente esposti" (PEP), i cui dati richiedono una tutela rafforzata.
Un aspetto critico dell’istruttoria riguarda la valutazione dell’impatto della violazione ai sensi dell’Art. 33 del GDPR (Notifica di una violazione dei dati personali).
Inizialmente, la banca ha cercato di derubricare l’evento a rischio "medio", utilizzando un correttivo manuale (l'override) per abbassare la gravità del data breach. La giustificazione era la mancanza di prove circa l'uscita effettiva dei dati dai sistemi.
Il Garante ha rigettato questa logica basandosi sull'Art. 4, n. 12 del GDPR: il rischio per la privacy non dipende da cosa accade ai dati dopo il furto, ma dalla compromissione della loro riservatezza già all'interno della banca. Minimizzare il rischio svuota di significato l'obbligo di Accountability (Responsabilizzazione) previsto dall'Art. 24 del GDPR.
La gestione della comunicazione ha mostrato falle nel rispetto dell’Art. 34 del GDPR, che impone la comunicazione della violazione agli interessati senza ingiustificato ritardo quando il rischio è elevato.
La notifica iniziale è stata parziale, ampliata solo sotto pressione mediatica.
Il ritardo ha impedito a 3.500 cittadini di adottare contromisure personali (cambio password, monitoraggio conti), violando il diritto alla protezione dei dati inteso come presidio della dignità della persona, come sancito dal D.Lgs. 101/2018.
La sanzione di quasi 32 milioni di euro ribadisce che, ai sensi del D.Lgs. 231/2001 (Responsabilità amministrativa degli enti) e del GDPR, la compliance deve precedere l’incidente.
Nonostante gli sforzi correttivi (come il piano "Nemo"), la lezione è chiara: chi gestisce il patrimonio informativo di una nazione deve eliminare ogni "angolo cieco". La fiducia del cliente non si compra con l'efficienza, ma si custodisce con il rigore dei controlli interni e il rispetto assoluto della normativa vigente.
