“Accessi indebiti alle informazioni bancarie di oltre 3.500 clienti per più di due anni”. Così il Garante della Privacy, nel motivare la maxi multa (l’ennesima) a Intesa SanPaolo.
Il Garante della Privacy ha comminato una maxi multa da 31,8 milioni di euro a Intesa SanPaolo per il caso delle migliaia di conti spiati da un dipendente della banca italiana, esploso nell’estate del 2024.
Tra i conti spiati, quelli della Presidente del Consiglio Giorgia Meloni, dell’ex compagno della premier Andrea Giambruno, del ministro della Difesa Guido Crosetto, dell’ex ministra del Turismo Daniela Santanchè e del Presidente del Senato Ignazio La Russa.
Occhio alle azioni Intesa SanPaolo, quotate sul Ftse Mib di Piazza Affari.
Il caso del dipendente di Intesa SanPaolo che ha spiato i conti di Meloni & Co. Più di 3.500 i clienti coinvolti
Migliaia, in tutto, i conti a cui il dipendente di Intesa SanPaolo, poi prontamente licenziato, aveva avuto accesso, tra cui, oltre che di politici, di persone comune e vip.
Di conseguenza, nella giornata di ierim lunedì 30 marzo 2026, il Garante della Privacy ha annunciato la maxi sanzione a carico di Intesa SanPaolo.
La misura, ha spiegato il Garante della Privacy, è stata avviata “a seguito del data breach notificato dalla banca nel luglio 2024 ”, che “ha accertato che un dipendente” di Intesa SanPaolo “ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti, effettuando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024 ”.
Da segnalare che, di recente, sempre Intesa SanPaolo è stata multata, ancora dal Garante della Privacy.
L’annuncio della sanzione, che ammonta a 17.628.000 euro, è arrivato nella giornata di giovedì 12 marzo 2026, con l’Autorità che ha motivato la decisione con il modo illecito con cui Intesa SanPaolo ha trattato i dati di circa 2,4 milioni di clienti, nel trasferirli unilateralmente alla controllata al 100% Isybank SPA.
“Evidenziate criticità nei meccanismi di monitoraggio e prevenzione”
Tornando al caso dei conti di Meloni & Co. spiati dall’ex dipendente, con un comunicato diramato nella giornata di ieri, Intesa SanPaolo è stata multata in quanto, questa è l’accusa, non è stata capace di rilevare quanto accaduto con i propri sistemi di controllo interni, fattore che ha messo in evidenza la vulnerabilità dei suoi meccanismi di supervisione.
Si legge infatti che “ gli accessi indebiti ” effettuati dall’ex dipendente “non sono stati rilevati dai sistemi di controllo interni, evidenziando significative criticità nei meccanismi di monitoraggio e prevenzione”.
Ancora il Garante della Privacy:
“L’accesso illecito ha riguardato anche dati relativi a clienti ’ad alto rischio’, tra cui soggetti con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati” (come, per l’appunto, la Presidente del Consiglio Giorgia Meloni, i ministri e il Presidente del Senato ).
Garante Privacy: “illecita la condotta posta in essere da Intesa SanPaolo”
L’Autorità ha di fatto “accertato, in particolare, la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate ”.
Intesa SanPaolo, banca numero uno in Italia gestita dal CEO Carlo Messina, ha insomma utilizzato un modello operativo che ha consentito ai suoi “operatori di interrogare in piena circolarità l’intera base clienti ”, senza essere bilanciato in modo adeguato “da controlli idonei a prevenire e individuare accessi non giustificati ”.
Il Garante della Privacy ha fatto notare anche che “ulteriori criticità sono emerse nella gestione del data breach ”, in quanto “ la notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione agli interessati, avvenuta solo a seguito di un precedente provvedimento del Garante del 2 novembre 2024 (doc. web n. 10070521)”.
Si è trattato di condotte che “hanno compromesso la possibilità di un tempestivo intervento dell’Autorità a tutela dei diritti e delle libertà delle persone coinvolte ”.
Nel motivare la multa irrogata all’istituto di credito, il Garante della Privacy ha così concluso:
“Alla luce delle violazioni riscontrate, il Garante ha ritenuto illecita la condotta posta in essere da Intesa Sanpaolo. Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto della gravità e della durata delle violazioni, dell’elevato numero di clienti coinvolti, nonché delle misure correttive adottate dall’istituto successivamente ai fatti, finalizzate al rafforzamento dei sistemi di controllo interno e dei presidi di sicurezza”.
© RIPRODUZIONE RISERVATA
