Banca Intesa: informare i clienti coinvolti nella violazione dei dati compiuta da un dipendente

Diktat del Garante per la privacy a Banca Intesa: l’istituto di credito ha venti giorni di tempo per informare i clienti coinvolti nella violazione dei propri dati (personali e bancari), violazione avvenuta attraverso accessi indebiti effettuati da un dipendente della banca. Questo il succo del provvedimento adottato il 2 novembre 2024 dal Garante per la privacy, venuto a conoscenza, attraverso la comunicazione effettuata da Intesa Sanpaolo s.p.a., di una perdita di riservatezza di dati personali, perdita determinata dall’accesso non autorizzato, da parte di un dipendente dell’istituto di credito, ai dati bancari di alcuni clienti. Nello specifico, la società ha fatto presente che nel mese di febbraio 2024 la “Funzione Privacy”, incaricata dei controlli di secondo livello in merito a potenziali anomalie negli accessi ai dati bancari da parte dei dipendenti, anomalie rilevate dai sistemi di alert adottati dalla banca, ha analizzato le interrogazioni eseguite, nell’ottobre del 2023, da un dipendente sulla movimentazione della carta di credito di una cliente, e ha poi aggiunto che il sistema di alert ha intercettato nel periodo compreso tra ottobre e novembre 2023 altri potenziali accessi anomali su due ulteriori clienti, e, infine, che, sulla base dell’esito di tutte le verifiche condotte, il perimetro dei clienti effettivamente impattati dall’accertata anomala operatività effettuata dal dipendente coinvolto pare sia di nove persone fisiche. Secondo la banca, l’evento va catalogato come un rischio medio per i diritti e le libertà delle persone fisiche. Ciò perché gli interventi effettuati, con diretto contatto del dipendente autore della violazione e la sua successiva sospensione dal servizio, hanno consentito di interrompere definitivamente gli accessi ai dati personali della clientela coinvolta, e perché il comportamento compulsivo ed esteso del dipendente su clienti estranei al proprio portafoglio e le graduali valutazioni svolte fanno ritenere plausibile la motivazione da lui addotta, ossia semplice curiosità, nella consultazione dei dati personali di tali clienti, limitando, di conseguenza, i potenziali impatti per i soggetti coinvolti, tenuto anche conto dell’assenza di segnali di esfiltrazione delle informazioni visualizzate. Nonostante i chiarimenti forniti dall’istituto bancario, però, il Garante ritiene che l’accertata violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare, come, ad esempio, la divulgazione di notizie riguardanti lo stato patrimoniale. Il provvedimento si è reso necessario, secondo il Garante, poiché nelle prime comunicazioni inviate dalla banca non è stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata dai riscontri forniti dalla stessa banca. Comunque, il Garante ha deciso di riservarsi di valutare l’adeguatezza delle misure di sicurezza adottate dall’istituto di credito.