Intesa Sanpaolo sanzionata con 31,8 milioni di euro: il Garante Privacy fa il punto sulle responsabilità del titolare d...

Il 26 marzo 2026 il Garante per la protezione dei dati personali ha emesso il Provvedimento n. 208, comminando a Intesa Sanpaolo S.p.A. una sanzione di 31,8 milioni di euro. Al centro della vicenda vi è un dipendente della filiale Agribusiness di Barletta che, tra febbraio 2022 e aprile 2024, aveva acceduto, senza alcuna reale motivazione professionale e senza autorizzazione, ai dati bancari della clientela, ripetendo questa operazione ben 6.637 volte nell’arco di due anni, senza che alcun sistema di controllo si attivasse.
L’aspetto di maggiore rilevanza è che non si trattava di un attacco informatico sofisticato dall’esterno, bensì di un accesso da parte di un soggetto dotato di credenziali e privilegi regolari, in assenza di un’adeguata supervisione.

Le violazioni contestate
Il Garante ha rilevato che il sistema consentiva a qualunque operatore di filiale di interrogare l’intera base dati dei clienti della banca senza restrizioni di natura geografica, operativa o temporale. Come emerge dalla lettura del provvedimento, l’architettura informatica consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, senza controlli idonei a prevenire e individuare accessi non giustificati.
Nessun alert veniva generato per ricerche anomale in termini di volume, frequenza o pertinenza rispetto al ruolo, con la conseguenza che un singolo dipendente ha potuto accedere a oltre tremila posizioni finanziarie nel silenzio dei sistemi di monitoraggio.

La responsabilità del titolare del trattamento
Il profilo di maggiore interesse giuridico è quello attribuito alla responsabilità del titolare del trattamento. Il fallimento non risiede nella condotta individuale del dipendente — che non è oggetto di alcuna sanzione da parte del Garante — bensì nell’inadeguatezza delle misure tecniche e organizzative, che hanno reso possibile tale comportamento in modo invisibile e prolungato nel tempo.
Il provvedimento richiama, in modo diretto, le prescrizioni di cui agli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento (UE) 2016/679 (GDPR), che impongono al titolare del trattamento di adottare misure adeguate a garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, nonché a implementare il principio di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e privacy by default).

Le misure correttive indicate dal Garante
Il provvedimento individua, in sede correttiva, un quadro di misure tecniche e organizzative che ogni titolare del trattamento è tenuto a valutare e implementare. In particolare:
• il principio del minimo privilegio, in base al quale ogni dipendente deve poter accedere esclusivamente ai dati strettamente necessari al proprio ruolo, con autorizzazioni granulari, limitate e sottoposte a revisione periodica;
• il monitoraggio comportamentale tramite sistemi UEBA (User and Entity Behavior Analytics), in grado di definire una baseline per ogni utente e segnalare anomalie, come accessi fuori orario, volumi insoliti di consultazioni o accessi al di fuori dell’area operativa;
• la configurazione di alert automatici su comportamenti sospetti e la tenuta di log completi e immodificabili, in conformità al Provvedimento del Garante sugli amministratori di sistema, che garantiscano tracciabilità e disponibilità per attività di audit o incident response;
• la predisposizione di procedure operative chiare per la gestione di situazioni sospette e l’investimento in formazione e cultura della privacy, affinché i dipendenti comprendano le implicazioni — individuali e aziendali — delle condotte non conformi.

Il fenomeno dell’insider threat
Il caso in esame offre l’occasione per richiamare l’attenzione su un rischio strutturalmente sottovalutato nelle strategie di sicurezza aziendale: la cosiddetta insider threat. La sicurezza informatica aziendale è storicamente orientata verso l’esterno, con strumenti quali firewall, antivirus e autenticazione a più fattori, mentre una quota significativa delle violazioni di dati aziendali origina dall’interno, da dipendenti, collaboratori e consulenti con accesso legittimo ai sistemi.
Tra le categorie di insider si distinguono gli insider malevoli, mossi da interesse economico, rancore o intenti di spionaggio; gli insider negligenti, che condividono credenziali o lasciano sessioni aperte; e gli insider “curiosi”, forse la categoria più diffusa e meno discussa, che accedono a dati senza autorizzazione non per arrecare danno, ma per semplice curiosità. I sistemi devono essere progettati per contenere questo impulso.

Conclusioni
Il caso Intesa Sanpaolo è rilevante non perché eccezionale, ma perché, purtroppo, comune: quasi ogni organizzazione convive con sistemi di accesso ai dati che, se sottoposti a un controllo rigoroso, rivelerebbero criticità analoghe.
Il Provvedimento n. 208/2026 del Garante costituisce un segnale inequivocabile per tutti i titolari del trattamento operanti in settori nei quali vengono trattati grandi quantitativi di dati personali: la conformità al GDPR non può esaurirsi nell’adozione formale di policy e nomine, ma richiede un’architettura tecnica e organizzativa effettivamente proporzionata ai rischi trattati.