g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 26 marzo 2026 [10234984]

Provvedimento del 26 marzo 2026 [10234984]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE

- Comunicasto stampa del 30 marzo 2026

- Provvedimento del 2 novembre 2024

Comunicato stampa del 5 novembre 2024

 

[doc. web n. 10234984]

Provvedimento del 26 marzo 2026

Registro dei provvedimenti
n. 208 del 26 marzo 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016;

VISTI in particolare gli articoli 33 e 34 del Regolamento rubricati, rispettivamente, “Notifica di una violazione dei dati personali all’autorità di controllo” e “Comunicazione di una violazione dei dati personali all’interessato”;

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101);

VISTE le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il 28 marzo 2023 in sostituzione delle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida sulla notifica”);

VISTE le “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021 (di seguito “Linee guida sui casi di violazione dei dati personali”);

VISTO il provvedimento n. 192 del 12 maggio 2011 e successive integrazioni, recante “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”, pubblicato in G.U. 127 del 3 giugno 2011 (consultabile sul sito del Garante all’indirizzo: https://www.gpdp.it, doc. web n. 1813953);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Premessa

In data 17 luglio 2024, Intesa Sanpaolo S.p.A. (di seguito, ISP o la Banca) ha trasmesso all’Autorità, ai sensi dell’art. 33 del Regolamento (UE) 2016/679 (di seguito, RGPD), una notifica di violazione, conseguente all’accesso abusivo da parte di un dipendente della Banca, in servizio presso la filiale la Agribusiness di Barletta, ai dati bancari di alcuni clienti “…senza motivazioni professionali”.

In tale ambito, la Banca ha dichiarato che la violazione aveva avuto luogo tra il 21 febbraio 2022 ed il 24 aprile 2024 e tali accessi “…hanno riguardato clienti (tra i quali anche la madre ed altri conoscenti/parenti), dipendenti ed ex dipendenti dalla Banca”, per un totale di 9 interessati coinvolti e di essere venuta a conoscenza dell’evento durante periodici “…controlli di secondo livello in merito a potenziali anomalie negli accessi ai dati bancari da parte dei dipendenti rilevate dai sistemi di alert adottati”.

Nella suddetta notifica, ISP ha rappresentato che, “…pur non rilevando rischi elevati per i diritti e le libertà delle persone, […] procederà, al fine di fornire tutte le informazioni pertinenti in merito alla vicenda occorsa e consentire un pronto riscontro alle eventuali richieste di ulteriori delucidazioni, ad informare i 9 interessati (tra i quali rientrano anche conoscenti e parenti del dipendente coinvolto) oggetto del numero più consistente di accessi, mediante colloquio effettuato da parte dei Responsabili delle Filiali di radicamento dei rapporti”.

Successivamente, con una notifica integrativa del 30 agosto 2024, ISP ha ritenuto di dover precisare che, a seguito di procedimento disciplinare avviato nei confronti del dipendente, ne aveva disposto il licenziamento, per giusta causa, in data 7 agosto 2024.

2. L’attività istruttoria.

A seguito di notizie di stampa apparse nei primi giorni di ottobre 2024, che riferivano di un dipendente della Banca che avrebbe avuto accesso, al di fuori della corretta operatività connessa allo svolgimento del proprio lavoro, a informazioni bancarie relative a un cospicuo numero di clienti, l’Ufficio ha avviato una complessa e articolata attività istruttoria che ha messo in luce che il perimetro della violazione segnalata all'Autorità dalla Banca, con le predette notifiche, era molto più ampio di quanto rappresentato.

2.2. La richiesta di informazioni del 10 ottobre 2024.

Al fine di ottenere elementi utili alla valutazione dei profili di protezione dei dati personali in relazione a quanto accaduto, l’Ufficio ha inviato alla Banca una specifica richiesta di informazioni, ai sensi dell’art. 157 Codice (v. nota prot. n. 118325 del 10 ottobre 2024,) alla quale ISP ha fornito riscontro, in data 17 ottobre 2024, rappresentando che:

- l’evento di violazione di dati personali descritto nella notifica del 17 luglio 2024 era il medesimo riportato sulle notizie di stampa;

- la violazione è consistita nella “…perdita di riservatezza, dovuta unicamente ad accessi apparentemente non giustificati da ragioni di servizio compiuti da un dipendente”;

- la Banca ha avuto contezza, per la prima volta, di un accesso anomalo da parte del dipendente il 9 ottobre 2023, a seguito dell’attivazione di un alert facente parte dei controlli impostati da ISP, in ottemperanza al Provvedimento n. 192 in materia di “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”, adottato dall’Autorità il 12 maggio 2011;

- l’alert ha segnalato una potenziale anomalia in merito all’interrogazione, da parte del dipendente, dei movimenti della carta di credito di un cliente relativi al bimestre precedente;

- il 4 luglio 2024, a seguito dell’attivazione di altri alert in tempi successivi e all’esito di controlli interni, effettuati anche attraverso l’analisi dei log degli accessi complessivamente effettuati dal dipendente e conservati per 24 mesi ai sensi del citato Provvedimento n. 192/2011, la Banca avviava un procedimento disciplinare nei confronti del lavoratore;

- il numero di interessati coinvolti risultava, allo stato “…non determinabile – ossia, per essere determinato con ragionevole certezza, richiede l’impiego di uno sforzo sproporzionato. Il numero reso noto dalla stampa di 3.572 clienti, a cui corrispondono 6.637 accessi effettuati dal Dipendente e indicato nel report della funzione di Audit del 21 maggio 2024 […], corrisponde ai clienti non radicati presso la Filiale Agribusiness di Barletta e presso i relativi distaccamenti di Bisceglie e Ruvo di Puglia (Filiale e distaccamenti di pertinenza del Dipendente) i cui dati sono stati oggetto di accesso da parte del Dipendente in 460 giornate tra il 21 febbraio 2022 e il 24 aprile 2024”;

- “…le inquiry effettuate dal dipendente nel Biennio di Analisi su 3.572 clienti potevano, teoricamente, essere coerenti con la specifica operatività di un Gestore Agribusiness (qualifica ricoperta dal Dipendente), che può dover interrogare “in circolarità” anche clientela non radicata presso la propria Filiale di appartenenza…”. In merito, “…il dipendente ha eccepito la legittimità di parte dei 6.637 accessi…”;

- dal Report di Audit emergeva che, con riferimento ai clienti oggetto di accesso da parte del dipendente: “…34 sono politici nazionali, appartenenti sia a forze politiche del centro destra, sia del centro sinistra. In totale, nel Biennio di Analisi, le interrogazioni del Dipendente relative a tali soggetti sono state 102 (pari all’1,54% del complesso dei 6.637 accessi citati nel Report Audit). In particolare, per 15 dei 34 politici, il Dipendente ha effettuato una sola inquiry e, per altri 11 soggetti, ne ha effettuate due e, dei 34 politici, è risultato come 10 non avessero – al tempo dei fatti – alcun rapporto in essere con la Banca (con risultato scheda vuota); 43 sono personaggi di fama nazionale del mondo dello spettacolo, dello sport e della cronaca; 73 sono dipendenti e manager della Banca, inclusi alcuni soggetti apicali; i rimanenti 3.422 clienti consistono, prevalentemente, in soggetti della piazza di residenza del Dipendente o radicati in altre piazze che ruotano intorno alla sua sfera personale e professionale. In particolare, circa 2.450 di tali soggetti sono delle piazze di Bari e limitrofe al comune di residenza del Dipendente; gli accessi hanno riguardato 1) posizioni contrattuali/SICLI (NJ00 - scheda cliente), 2) movimentazione di rapporti (IY11 - e/c ad uso interno) e carte di pagamento (ZAFI - consente di interrogare il mondo “carte di pagamento”), talora anche con dettagli di operazioni, e 3) attività finanziarie (DAPY - investimenti)”;

- la Banca ha dichiarato di non avere avuto evidenza di estrazione dei dati oggetto di accesso da parte del proprio dipendente tramite i sistemi informativi interni;

- la Banca ha ribadito di non aver proceduto a effettuare la comunicazione agli interessati, ex art. 34 del Regolamento, in quanto, “coerentemente a quanto concluso dal Responsabile della protezione dei dati, la Banca (titolare del trattamento) non ha a sua volta ritenuto che la violazione dei dati personali in commento fosse “suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 34.1 GDPR) e, quindi, non ha provveduto alla comunicazione della medesima violazione dei dati personali a tutti i soggetti potenzialmente coinvolti”;

- la Banca stava comunque “…valutando di inviare alla nostra intera base clienti, costituita da circa 13 milioni di soggetti interessati, una comunicazione di client caring dedicata a descrivere come si è effettivamente svolta la vicenda e quali possono essere le sue possibili conseguenze, ma anche le misure che abbiamo adottato e quelle che stiamo valutando di adottare”;

- rispetto a quanto descritto nella notifica del 17 luglio 2024, la Banca ha inteso precisare che “…la notifica depositata in data 17 luglio 2024 è solo la prima comunicazione all’Autorità sulla vicenda di interesse…” che, con riferimento all’indicazione di 9 interessati coinvolti “sicuramente le posizioni di 9 clienti della Banca (7 NDG5 + 2 cointestatari) siano stati oggetto di accessi anomali da parte del Dipendente in considerazione della numerosità di tali accessi” e che, inoltre, “si tratta, nello specifico, di clienti che sono stati oggetto di complessivamente 1.333 accessi sul totale di 6.637 accessi estratti nel Biennio di Analisi ai fini di cui alle verifiche della Banca”.

2.2. Il provvedimento n. 659 del 2 novembre 2024 e i successivi adempimenti.

Nelle more della definizione di una più ampia attività istruttoria, è stato ritenuto necessario verificare la conformità delle iniziative intraprese dalla Banca, a tutela degli interessati, a seguito della violazione, con particolare riferimento all’adempimento degli obblighi di comunicazione di cui all’art. 34 del RGPD nei confronti degli interessati i cui dati sono stati oggetto di accesso da parte del dipendente.

All’esito degli approfondimenti effettuati, il Garante, diversamente da quanto ritenuto dalla Banca, ha valutato che la violazione dei dati personali degli interessati fosse suscettibile di presentare un rischio elevato per i diritti e le libertà dei medesimi e ha ingiunto quindi alla Banca, con il Provvedimento n. 659 del 2 novembre 2024 (doc. web n. 10070521), di comunicare, ai sensi degli artt. 34, par. 4, e 58, par. 2, lett. e), del RGPD, la violazione a tutti gli interessati i cui dati personali e bancari erano stati oggetto di accesso non riconducibile, con certezza, all’ordinaria attività lavorativa del dipendente, dimostrando all’Autorità di aver adempiuto alle prescrizioni impartite con il citato Provvedimento.

Con nota del 5 dicembre 2024 (prot. n. 143598), la Banca ha fornito ulteriori chiarimenti in ordine alla fattispecie e reso note le iniziative intraprese al fine di informare gli utenti coinvolti nella violazione dei dati personali.

In particolare, ha evidenziato che:

- a rettifica di quanto precedentemente dichiarato, “…il numero totale dei clienti (NDG) coinvolti ammonta a 3.572. Ai fini della definizione del perimetro e della successiva comunicazione, è stata inclusa anche la madre del dipendente, totalizzando di conseguenza 3.573 clienti (NDG)”;

- “relativamente agli accessi concernenti 1.648 clienti (NDG), allo stato non sono emersi elementi che consentano di ricondurli univocamente all’ordinaria attività lavorativa del Dipendente e pertanto, in esecuzione del Provvedimento, la Banca ha effettuato la comunicazione individuale”;

- “relativamente alle posizioni di 1.328 clienti (NDG), il Dipendente non ha effettuato alcuna interrogazione atta a visualizzare dati bancari unitamente a dati personali. In particolare, risulta documentalmente che, per queste posizioni, il Dipendente abbia visualizzato esclusivamente le prime 4 schermate dell’applicazione NJ00. Queste prime schermate contengono unicamente codici di identificazione interni alla Banca, dati anagrafici comuni del cliente (nome, cognome, luogo e data di nascita, codice fiscale) […] la Banca ritiene che gli accessi in questione rientrino appieno nella categoria degli accessi motivati da ragioni di servizio, in quanto tipici di un gestore Imprese/Agribusiness nello svolgimento delle sue mansioni”;

- “relativamente a 597 clienti (NDG), il Dipendente ha avuto accesso non soltanto ai dati anagrafici di cui alla scheda NJ00, ma anche a dati bancari (come saldo movimenti e carte). Tuttavia, tali interrogazioni hanno interessato: 486 clienti (NDG) persone giuridiche, escluse dall’ambito di applicazione del GDPR; 83 clienti (NDG) direttamente collegati al portafoglio di gestione del Dipendente (ad es. socio di società inclusa nel portafoglio), e dunque evidentemente rispondenti alle ragioni di servizio; 26 clienti (NDG) clienti ormai defunti e quindi esclusi dal perimetro della comunicazione ex art. 34 GDPR2; 2 clienti (NDG) non più raggiungibili per carenza di contatti in anagrafica”;

- “…la Banca ha subito attivato il processo di comunicazione nei confronti di 597 clienti, in via prioritaria rispetto al complessivo cluster di clienti per i quali è risultato necessario effettuare la comunicazione individuale. Questi 597 clienti sono stati infatti identificati come a maggior rischio sulla base delle analisi condotte…”;

- “relativamente a 2 interessati, che ricoprono alte cariche dello Stato, […] la comunicazione, per doveroso rispetto istituzionale, è stata effettuata direttamente dai vertici della Banca;

- in totale, il processo di comunicazione ha coinvolto “…1.645 clienti (NDG) interessati, ivi inclusi i 597 clienti individuati per la prima fase di comunicazione tramite Filiale Digitale”;

- "nello specifico, le modalità adottate per la comunicazione ai 1645 clienti sono le seguenti: “1.144 clienti (NDG) a mezzo Rendicontazione Online (ROL), sia tramite App sia tramite Internet Banking; la comunicazione è stata visibile per i clienti dal 21 novembre; 385 clienti (NDG) a mezzo posta ordinaria tracciata; per esigenze tecniche la consegna delle lettere a Poste Italiane per il recapito è avvenuta a lotti, i maggiori dei quali sono stati consegnati il 21/22 novembre; 116 clienti (NDG) a mezzo Rendicontazione Online e posta ordinaria tracciata”;

- “per le comunicazioni a mezzo Rendicontazione Online (ROL), è stata attivata un’ulteriore iniziativa volta ad attirare l’attenzione dei clienti sulla comunicazione. Nello specifico, a partire dal 27 novembre è stato introdotto un pop-up sia sul canale App sia sul canale Internet Banking”;

- “Intesa Sanpaolo ha deciso di intraprendere immediatamente un ulteriore rafforzamento dei presidi posti a protezione della riservatezza dei dati personali e bancari dei propri clienti”, in particolare tramite un “potenziamento dei controlli ex-ante con valenza su tutti i clienti persone fisiche, tramite: Introduzione dal 4 novembre di una soluzione di pop-up su desktop gestore sulle procedure più sensibili, come filtro ex-ante di richiesta al Gestore di motivare la ragione dell’accesso a informazioni relative a Clienti al fuori del proprio portafoglio, con successivo tracciamento e trasmissione al Direttore di Filiale ed alle Funzioni di Controllo per i propri adempimenti; Sulla base del pop-up, introduzione dal 18 novembre di un sistema di autorizzazioni ex-ante: i. Attivazione di un prompt di conferma per le richieste di informazioni in circolarità ove il Cliente è presente in filiale (es. tramite modulo di autorizzazione digitale da sottoscrivere da parte del Cliente); ii. introduzione di un iter autorizzativo digitale verso il Direttore di Filiale per autorizzare l'interrogazione del Gestore in caso di richieste dove il Cliente non è presente”;

- è stato inoltre previsto il “rafforzamento delle attività di controllo ex-post su potenziali accessi anomali attraverso sistemi di alert rafforzati, quali per esempio: Attivazione dal 28 ottobre di nuovi alert per monitorare interrogazioni anomale su una pluralità di clienti al di fuori del portafoglio del Gestore, sia clienti “standard”, sia clienti Persone Esposte Politicamente (PEP); Attivazione dal 4 novembre di una Task force dedicata all’analisi delle risultanze dei nuovi alert e al supporto al processo decisionale e autorizzativo”;

- si è infine proceduto alla “introduzione in via sperimentale dal 21 ottobre di una prima lista di 18 Clienti sensibili con profilo istituzionale (“SEC”), estesa il 19 novembre a 623 Clienti SEC per cui sono stati previsti, meccanismi di ringfencing rafforzati”.

Esaminati gli elementi pervenuti, l’Ufficio ha rivolto un’ulteriore richiesta di chiarimenti alla Banca, ritenendo che quest’ultima - relativamente ai 1.328 clienti in relazione ai quali aveva valutato di non effettuare la comunicazione ai sensi dell’art. 34 del RGPD - non avesse correttamente interpretato le prescrizioni contenute nel provvedimento n. 659 del 2 novembre 2024.

In particolare, con nota del 12 dicembre 2024 (prot. n. 146264) è stato chiesto alla Banca di:

- fornire un riscontro completo in ordine alle comunicazioni, ivi comprese quelle nei confronti dei 1.328 clienti, ai quali la Banca aveva ritenuto di non dover fornire alcuna comunicazione;

- precisare le modalità di comunicazione agli interessati, tramite rendicontazione Online (ROL), App e Internet Banking, indicando altresì le misure adottate per documentare l’avvenuta ricezione e lettura della comunicazione;

- specificare se, con riferimento alle imprese individuali i cui dati personali e bancari siano stati oggetto di accesso indebito da parte del dipendente, fosse stata effettuata la comunicazione ai sensi dell’art. 34 del RGPD.

Con nota del 19 dicembre 2024 (prot. n. 149833), ISP ha fornito riscontro in merito, evidenziando:

- di avere provveduto a inviare la comunicazione, ai sensi dell’art. 34 del RGPD, ai 1.328 clienti precedentemente non considerati;

- che relativamente al punto precedente, esclusi i 29 clienti non contattabili e i 27 risultati deceduti, “sono state […] inviate comunicazioni a 1.272 clienti (NDG), ripartiti come segue: 476 clienti (NDG) la comunicazione è avvenuta a mezzo Rendicontazione Online (ROL), sia tramite App sia tramite Internet Banking; la comunicazione è stata visibile per i clienti a partire dal 19 dicembre; 776 clienti (NDG) a mezzo posta ordinaria tracciata; il 18 dicembre le comunicazioni sono state consegnate al fornitore esterno per la stampa e l’imbustamento; quanto alla consegna delle lettere a Poste Italiane per il recapito, è previsto che essa avvenga il 19 dicembre in misura assolutamente prevalente;

- “per quanto concerne le modalità per l’invio della comunicazione, […] si è seguito il criterio della preferenza espressa dal cliente in sede contrattuale, per cui chi ha optato per le modalità di rendicontazione online ha ricevuto le comunicazioni ex art. 34 RGPD in forma digitale”;

- “nei confronti dei clienti abilitati al servizio di banca a distanza My Key, è stato reso visibile un apposito avviso in sovraimpressione (“banner”) con intensa connotazione cromatica (arancione) e la dicitura in neretto “Comunicazione importante” e di seguito “Avviso di accesso ai suoi dati personali”, sia sul canale App sia sul canale Internet Banking, segnalando la presenza di una comunicazione importante nella sezione Archivio […] Tale banner rimane sempre visibile ad ogni accesso e ad ogni navigazione interna, fino a quando il cliente non clicca sul tasto “Leggi” presente sul banner e, dopo la conseguente apertura del pop-up, anche su tasto “Ho capito” presente sullo stesso pop-up. È possibile chiudere il pop-up cliccando sulla “X”; tuttavia, tale chiusura non è equipollente alla selezione del tasto “Ho capito” e pertanto comporta la riproposizione del banner ad ogni successivo accesso”;

- “per quanto concerne le imprese individuali, i cui dati personali e bancari siano stati oggetto di accesso indebito, confermiamo che, sulla base delle verifiche svolte, l’ex dipendente ha effettuato accessi riguardanti complessivamente 170 clienti (NDG). A tutti questi clienti sono state inviate le comunicazioni ex art. 34 RGPD…”.

Il 14 gennaio 2025 (prot. n. 4137), è stata rivolta alla Banca un’ulteriore richiesta di chiarimenti circa le comunicazioni inviate agli interessati tramite l’App, alla quale la Banca ha fornito riscontro, con nota del 24 gennaio 2025 (prot. n. 9754).

3. L’avvio del procedimento e l’integrazione dell’attività istruttoria.

Tenuto conto delle valutazioni effettuate dal Dipartimento tecnologie digitali e sicurezza informatica dell'Autorità, contenute in una relazione tecnica predisposta in data 3 marzo 2025 (nota prot. n. 27544), delle dichiarazioni rese dalle parti, nonché degli elementi acquisiti nel corso dell’istruttoria, l’Ufficio, con nota del 27 maggio 2025 (prot. n. 72300), all'esito delle verifiche relative alla gestione della violazione dei dati (data breach), ha notificato alla Banca, ai sensi dell’art. 166, comma 5 del Codice, l’atto di avvio del procedimento per l'accertamento delle presunte violazioni degli artt. 5, par.1, lett. f) e par. 2, 24, 32, 33 e 34 del RGPD.

Con comunicazione in data 20 giugno 2025 (prot. n. 88917), la Banca ha chiesto la proroga del termine di presentazione degli scritti difensivi che l’Autorità ha accordato, con nota del 24 giugno 2025 (prot. n. 89371).

Il 10 luglio 2025 (prot. n. 98694), la Banca ha presentato le proprie memorie con le quali ha rappresentato che:

- l’inidoneità delle misure di sicurezza adottate dal titolare del trattamento non si può ricavare dalla sola circostanza che si sia verificato in concreto una violazione dei dati personali, ciò in quanto il RGPD intende limitare i rischi di violazione dei dati personali, senza avere la pretesa di eliminarli. In questo senso si è espressa la Corte di Giustizia con la sentenza resa nella C340/21 secondo la quale “gli artt. 24 e 32 del RGPD devono essere interpretati nel senso che […] un accesso non autorizzato a tali dati da parte di terzi ai sensi dell’art. 4.10 di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento non fossero adeguate ai sensi di tali artt. 24 e 32”. Pertanto, l’adeguatezza delle misure adottate dal titolare del trattamento deve essere valutata in concreto “tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi”. Nel caso specifico, inoltre, essendosi trattato solo di accessi senza esfiltrazione di dati da parte del dipendente, la violazione risulta essere tra “le più difficili da prevenire”, potendosi di fatto confondere con operazioni di accesso legittime in ragione delle funzioni attribuite al dipendente;

- non è dimostrabile che le misure adottate siano state inidonee a evitare, per quanto possibile, il data breach; ciò che invece, allo stato, emerge è la mancanza di evidenze circa danni concreti subiti dagli interessati e che le misure di sicurezza adottate dalla Banca “hanno consentito di intercettare il Data breach”;

- le misure di sicurezza adottate dalla Banca, prima del data breach, già includevano misure quali politiche di formazione dei dipendenti, un sistema di autorizzazioni basato su abilitazioni attribuite in base al ruolo e alle mansioni svolte dai dipendenti, un sistema di logging “impostato per rispondere ai requisiti del Provvedimento 192” adottato dal Garante nel 2011; un sistema di alerting e controllo “creato per individuare comportamenti potenzialmente anomali relativi alle consultazioni svolte dagli operatori della Banca”;

- il sistema di alerting della Banca era stato rafforzato e aggiornato prima del data breach e a seguito di provvedimenti già adottati dall’Autorità nei confronti della stessa Banca (Provv.ti n. 270 del 27 maggio 2021 e 272 del 28 luglio 2022);

- la condotta del dipendente -difficilmente prevedibile, individuabile e neutralizzabile- è emersa “proprio grazie agli alert interni” che, in linea con il Provv. 192/2011 dell’Autorità, “hanno permesso di attivare gli ulteriori livelli di controllo e le misure di mitigazioni previste”;

- i criteri utilizzati dalla Banca per la valutazione del livello di gravità del data breach, con particolare riguardo all’esecuzione del c.d override (Riclassificazione), diversamente da quanto sostenuto dal Garante, sarebbero stati oggettivi, stante l’assenza di discrezionalità nell’individuazione di tali criteri, basati sulla metodologia ENISA (raccomandata anche dalle “Linee guida sulla notifica” dell’EDPB); l’assenza di precedenti alert privacy dovuti alla condotta del dipendente; la collaborazione e le dichiarazioni dello stesso dipendente e l’assenza, ad oggi, della prova della esfiltrazione di dati personali come conseguenza del data breach;

- in merito alla contestazione della violazione del principio di responsabilizzazione (accountability), quest’ultimo non impone al titolare di svolgere valutazioni che si rivelino “integralmente corrette, né impone di evitare di incorrere in inadempimenti degli obblighi prescritti dalla normativa privacy”, bensì di “conformarsi ai principi generali in materia di trattamento dei dati personali e di essere in grado di dare prova di tale conformità”; ad argomentare diversamente “ogni violazione della normativa in materia di protezione dei dati personali da parte del titolare […] si tradurrebbe automaticamente anche in una violazione del principio di accountability”, con le relative conseguenze anche sul piano sanzionatorio;

- quanto sopra è confermato, in particolare: dall’interpretazione del principio di accountability effettuato dall’Autorità, sulla pagina dedicata a tale tema del proprio sito web (https://www.gpdp.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili), in base alla quale i titolari sono tenuti alla notifica delle violazioni, prescritta dall’art. 33 del RGPD, “soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda Considerando 85)”, alla luce del quale “la notifica all’Autorità dell’avvenuta violazione non è obbligatoria”; dalla Relazione tecnica del Dipartimento competente che “ha ricondotto la fattispecie [dell’override] all’art. 24 GDPR (e non all’art.5, par.2 GDPR)";

- in relazione alla contestata violazione dell’art. 33 del RGPD, avrebbe agito in buona fede, quanto all’indicazione contenuta nella notifica del 17 luglio 2024 di 9 persone coinvolte nel data breach, avendo considerato solo quelle nei confronti delle quali era stato effettuato il maggior numero di accessi; tale scelta trova peraltro conforto nei principi enunciati dall’EDPB nelle “Linee guida sulla notifica”, ove si specifica che “il GDPR consente di effettuare approssimazioni sul numero di persone fisiche interessate […] ci si dovrebbe preoccupare di far fronte agli effetti negativi della violazione piuttosto che fornire cifre esatte”;

- gli accessi effettuati dal dipendente non presentavano elementi di anomalia tali da farli ritenere incompatibili con l’esercizio delle normali funzioni lavorative;

- i successivi approfondimenti hanno “confermato che le informazioni trasmesse dalla Banca al Garante in data 17 luglio 2024 e successivamente integrate il 30 agosto 2024 erano già di per sé idonee a fornire un quadro sufficientemente chiaro e completo dell’accaduto […] tale da permette all’Autorità di valutare la portata del data breach”;

- riguardo alla contestata violazione dell’art. 34 del RGPD, anche se si ritenesse sussistente tale violazione, la stessa risulterebbe “priva del carattere di offensività non essendosi rivelata […] pregiudizievole” in assenza di esfiltrazione dei dati.

Con riferimento agli elementi di valutazione, di cui all’art. 83 del RGPD, la Banca ha rappresentato che:

- in relazione alla violazione del principio di accountability, la stessa:

• “non può dirsi grave, non essendo stata foriera di conseguenze per i soggetti interessati;

• ha avuto una durata molto contenuta, poiché la Banca si è prontamente attivata per rafforzare ulteriormente i propri presidi”.

- in relazione ai profili attinenti al data breach, si sarebbe trattato di “una violazione inoffensiva:

• non essendone derivata alcuna conseguenza per i soggetti interessati;

• avendo avuto una durata contenuta, riguardando una sola violazione dei dati personali”.

- in relazione al carattere doloso o colposo della violazione, tenuto conto che “l’operato di Intesa è costantemente ispirato ai principi di buona fede e trasparenza, in coerenza con il quadro normativo di riferimento […] anche nel caso del data breach l’approccio adottato dalla Banca è stato guidato da una concreta volontà [di attenersi] ai dettami del Regolamento e alla normativa nazionale di attuazione”, pertanto alla Banca “sarebbero imputabili esclusivamente […circostanze] a titolo di colpa lieve”, anche tenuto conto che la “Banca ha adottato con la massima tempestività iniziative concrete e strutturate per rafforzare il proprio presidio organizzativo in materia di data protection, nello specifico con l’avvio del Programma Nemo”;

- in relazione alle misure adottate dal titolare per attenuare il danno subito dagli interessati la Banca, con il Programma Nemo, ha avviato un gruppo di lavoro volto a operare su diversi ambiti quali, a titolo esemplificativo:

a) “l’introduzione di meccanismi di protezione rafforzati per alcuni soggetti titolari di cariche particolarmente rilevanti ai fini dell’ordinamento costituzionale e/o della sicurezza nazionale (c.c. clienti “SEC”);

b) il potenziamento del sistema interno di autorizzazioni ex ante e controllo ex post, tramite interventi di natura sia organizzativa, sia tecnica;

c) l’introduzione di una soluzione di data masking dinamico per la mascheratura dei dati dei clienti sui sistemi di sintesi e aree di governo”;

- in relazione a eventuali precedenti violazioni pertinenti commesse, la Banca ha rappresentato di essere stata destinataria di due provvedimenti rilevanti in materia, il n. 270 del 27 maggio 2021 e il n. 272 del 28 luglio 2022. Al riguardo, la Banca ha precisato che “il data breach in questione è stato rilevato […] proprio grazie al sistema di alert implementato dalla Banca e rafforzato nel tempo anche a seguito dei provvedimenti di cui sopra”;

- in relazione al grado di cooperazione con l’Autorità di controllo, la Banca ha dichiarato di avere prestato la massima collaborazione “non solo fornendo le informazioni e i chiarimenti richiesti, ma anche implementando le misure prescritte dal Garante e adottando misure tecniche e organizzative ulteriori”;

- in relazione alle categorie di dati personali interessate dalla violazione, la Banca ha confermato che gli accessi hanno avuto a oggetto dati personali comuni;

- in relazione agli ulteriori elementi prescritti dall’art. 83 del RGPD ai fini della quantificazione dell’eventuale sanzione, la Banca ha rappresentato in particolare che le violazioni oggetto di contestazione non hanno “determinato per Intesa vantaggi economici o benefici patrimoniali. Anzi: l’esatto opposto”.

4. Il quadro normativo di riferimento.

L’art. 5, par. 1, lett. f) del RGPD, nell’individuare i principi applicabili al trattamento, stabilisce che i dati personali devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”.

L’art. 5, par. 2 e l’art. 24 del RGPD, definiscono poi il principio di responsabilizzazione (accountability), che pone in capo al titolare del trattamento la responsabilità generale di mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia conforme alla normativa in materia di protezione dei dati personali.

Ne consegue quindi che spetta ai titolari del trattamento decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nello stesso RGPD.

L’art. 32 del RGPD, concernente la sicurezza del trattamento, stabilisce, altresì, che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, parr. 1 e 2 del RGPD).

L’art. 33, par. 1 del RGPD prevede poi che “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.

Le “Linee guida sulla notifica” evidenziano al riguardo che “a seconda della natura della violazione, il titolare del trattamento può avere la necessità di effettuare ulteriori accertamenti per stabilire tutti i fatti pertinenti relativi all’incidente […]. Ciò significa che il Regolamento prende atto del fatto che il titolare del trattamento non sempre dispone di tutte le informazioni necessarie su una violazione entro 72 ore dal momento in cui ne è venuto a conoscenza, dato che non sempre sono disponibili entro tale termine dettagli completi ed esaustivi su un incidente. Pertanto, il Regolamento consente una notifica per fasi. È più probabile che ciò si verifichi in caso di violazioni più complesse, quali alcuni tipi di incidenti di sicurezza informatica nel contesto dei quali, ad esempio, può essere necessaria un’indagine forense approfondita per stabilire appieno la natura della violazione e la portata della compromissione dei dati personali. Di conseguenza, in molti casi il titolare del trattamento dovrà effettuare ulteriori indagini e dare seguito alla notifica fornendo informazioni supplementari in un secondo momento” (punti 56 e 57).

Ciò, anche al fine di consentire all’autorità di controllo di valutare l’adeguatezza delle decisioni assunte dal titolare, in merito alla comunicazione agli interessati e alle misure adottate per porre rimedio alla violazione.  

L’art. 34 del RGPD stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”, che “la comunicazione all'interessato […] descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d)” e che detta comunicazione non è richiesta, in particolare, se “il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura”.

Il RGPD indica, inoltre, che nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva (v. cons. nn. 75 e 76).

Al riguardo, le citate “Linee guida sulla notifica” individuano i seguenti fattori da considerare -a fronte di una violazione dei dati personali- nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.

Le stesse “Linee guida sulla notifica” evidenziano che: “il regolamento afferma che la comunicazione di una violazione agli interessati dovrebbe avvenire “senza ingiustificato ritardo”, il che significa il prima possibile”, in considerazione del fatto che l’obiettivo principale della comunicazione agli interessati è quello di fornire loro informazioni specifiche sulle misure che gli stessi possono adottare per proteggersi; il titolare del trattamento, tra le misure da adottare per porre rimedio alla violazione e attenuarne i possibili effetti negativi per gli interessati, "dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione".

5. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

L’istruttoria ha consentito di accertare che un dipendente della Banca ha avuto accesso, non avendone nessuna necessità in relazione al suo incarico, alle informazioni finanziare di 3.573 clienti per oltre 2 anni, “tra il 21 febbraio 2022 e il 24 aprile 2024”, effettuando 6.637 accessi, senza che i sistemi di alert rilevassero alcuna anomalia.

Tra questi clienti, un certo numero sono risultati essere persone fisiche che rivestono un ruolo di rilevanza pubblica. Tale circostanza fa assumere ulteriori contorni di gravità ai fatti, considerando che la Banca riveste anche l'incarico di gestore dei servizi di tesoreria e di cassa per i parlamentari e per le alte cariche istituzionali qualificate dalla Banca come persone politicamente esposte (PEP – politically exposed person).

Per tale ragione il dipendente è stato sottoposto a procedimento disciplinare e gli è stata applicata una sanzione, ai sensi dell’art. 7 della legge n. 300/1970.

5.1  Violazione dell’art. 5, par.1, lett. f) e par. 2, dell’art. 24 del RGPD. Il principio di “accountability” e la sicurezza del trattamento

In relazione al procedimento in questione, assume particolare rilievo la circostanza che la Banca abbia adottato la scelta organizzativa di consentire agli operatori preposti (come il dipendente che si è reso responsabile delle indebite consultazioni) di interrogare, “in piena circolarità”, non solo i dati dei clienti operanti presso la Filiale di appartenenza, ma tutta la base clienti, con possibilità quindi di accedere ai dati di tutti i clienti.

Questa scelta organizzativa, insindacabile da parte dell’Autorità, comporta inevitabilmente la necessità di controbilanciare tale ampia libertà di azione del singolo operatore e di adottare misure adeguate a ridurre i rischi che comportamenti non appropriati da parte di un singolo dipendente possano riverberarsi negativamente, come nel caso di specie, sui diritti e sulle libertà degli interessati, misure che il titolare non è stato in grado di dimostrare di avere adottato.

Considerando il modello di business della Banca orientato alla piena circolarità, non risultano infatti previste adeguate cautele e controlli, in caso di consultazioni di clienti “fuori portafoglio” o privi di rapporti attivi, quali, ad esempio, la richiesta di un’autorizzazione preventiva da parte di un supervisore, ovvero la possibilità di consultare i dati dei clienti di altre filiali solo in forma limitata.

In un contesto da considerare sicuramente ad alto rischio, in ragione dell’attività bancaria svolta dal titolare, i controlli adottati dalla Banca si sono rivelati, pertanto, insufficienti a soddisfare gli obblighi di cui agli articoli 5, 24 e 32 del RGPD, in quanto sarebbe stata necessaria l’adozione di misure supplementari, idonee a prevenire, rilevare e segnalare tempestivamente accessi sospetti, ancorché formalmente compatibili con i profili autorizzativi rilasciati ai dipendenti.

Preso atto che la Banca utilizza la digitalizzazione come fattore abilitante chiave per l’ottimizzazione dei processi interni, della sicurezza e per un’offerta di servizi bancari sempre più inclusiva e integrata, la stessa sarebbe dunque certamente stata in grado e tenuta a implementare idonei meccanismi di verifica contestuale circa l'effettiva necessità operativa dell’accesso dei propri operatori ai dati, quali il collegamento obbligatorio a rapporti contrattuali pendenti, l’introduzione di sistemi di limitazione dinamica delle abilitazioni o di controlli automatici di coerenza tra ruolo e dato consultato o, ancora, alert legati alla tipologia specifica del cliente.

Tenuto, anche, conto della presenza, tra la clientela interessata dagli accessi abusivi da parte del dipendente, di soggetti politicamente esposti (c.d. PEP), risulta comprovato che l’impostazione di soglie esclusivamente quantitative, con frequenze temporali dilatate, adottata dalla Banca, si è rivelata misura inidonea e inefficace a intercettare condotte illegittime caratterizzate da accessi ripetuti ma distribuiti nel tempo, che si sono mantenuti, presumibilmente, al di sotto delle soglie di allarme predisposte dal ISP.

In particolare, con specifico riferimento alla categoria di clienti ad alto rischio (ovvero, pubblicamente o politicamente esposti), sarebbe stato necessario predisporre controlli rafforzati.

In tali casi, infatti, in applicazione del principio dell’approccio basato sul rischio, la Banca avrebbe dovuto prevedere controlli dedicati e più stringenti, soglie di allarme più basse e frequenze di monitoraggio più ravvicinate in considerazione del fatto che una maggiore visibilità pubblica può naturalmente aumentare il rischio di accessi per finalità estranee alla gestione dell'operatività ordinaria.

Sarebbe stato, inoltre, necessario prevedere dei meccanismi di escalation automatica, in caso di accessi fuori contesto, rispetto all'operatività ordinaria, mediante una notifica immediata al supervisore diretto dell'operatore e una verifica tempestiva da parte delle funzioni di controllo della Banca (compliance, privacy e sicurezza).

La mancata differenziazione dei controlli, in funzione dello status di persona pubblica o politicamente esposta, evidenzia l’assenza di un’adeguata valutazione del rischio, nonché l’adozione di misure di controllo tardive e frammentarie, in contrasto con gli artt. 5, par. 1, lett. f) e 32 del RGPD.

In relazione alle obiezioni mosse dalla Banca nelle memorie difensive, in ordine a quanto contestato dall’Autorità circa la non corretta valutazione della gravità dell’evento classificato da ISP come “rischio medio”, per la ritenuta presenza di taluni fattori di riduzione del rischio (quali a titolo esemplificativo: l'assenza di precedenti alert privacy, dovuti alla condotta del dipendente, nei confronti di soggetti diversi da quelli interessati o nei confronti dei medesimi soggetti; la collaborazione del dipendente; le dichiarazioni del dipendente in merito al non aver effettuato copie o non aver condiviso con alcuno i dati acceduti), si evidenzia che l’attribuzione della causa dell’incidente alla condotta tenuta da un dipendente non riduce di per sé la gravità delle conseguenze per gli interessati, né la probabilità di un uso improprio dei dati visionati, che le risultanze istruttorie non hanno consentito di escludere.

5.2 Violazione dell’art. 33 del RGPD. La notifica del “data breach”.

Ai sensi del Considerando 75 del RGPD, il rischio deve essere valutato esclusivamente in relazione ai diritti e alle libertà delle persone fisiche, tenendo conto di danni materiali e immateriali, rischi di frode, usurpazione d’identità, danno reputazionale, discriminazione.

In tale prospettiva, le “Linee guida sulla notifica” ribadiscono che la valutazione del rischio deve essere effettuata sulla base della gravità e della probabilità degli impatti sui diritti e sulle libertà degli interessati, senza attribuire rilievo determinante alla causa o all’origine della violazione.

Le raccomandazioni elaborate dall'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), citate nelle suddette “Linee guida sulla notifica”, prevedono una valutazione strutturata del rischio, basata su parametri oggettivi e orientati agli effetti sugli interessati, tra cui natura, sensibilità e volume dei dati, numero di interessati coinvolti, caratteristiche degli interessati (vulnerabilità, esposizione pubblica, ruolo), gravità e probabilità degli impatti.

Nel caso di specie, l’override è stato applicato dalla Banca per ridurre il rischio sulla base della causa interna dell’incidente, senza evidenza però di fattori oggettivi che riducessero effettivamente l’impatto o la probabilità del danno per gli interessati.

La presenza di persone pubblicamente e politicamente esposte, tra quelle interessate alle indebite interrogazioni, è inoltre difficilmente compatibile con una riclassificazione del rischio tramite override al fine di ridurne la portata.

In sostanza, la Banca ha dichiarato nel procedimento di applicare la metodologia ENISA ma se ne è invece sostanzialmente discostata senza una giustificazione oggettiva e verificabile.

Alla luce degli elementi esaminati, pertanto, il comportamento della Banca configura una violazione del principio di accountability di cui agli artt. 5, par. 2 e 24 RGPD, in quanto la valutazione del rischio non è risultata coerente, oggettiva e dimostrabile, né allineata alla metodologia dichiarata.

In relazione al contenuto e ai tempi con i quali il titolare ha effettuato la notifica al Garante prescritta dall’art. 33 del RGPD, risulta accertato che, nonostante la Banca abbia formalmente dichiarato che la notifica eseguita il 17 luglio 2024 fosse “completa”, la stessa è invece risultata largamente incompleta quanto alla effettiva perimetrazione del data breach e con riferimento al numero di interessati convolti, ed è stata integrata, in termini ancora parziali, solo in data 30 agosto 2024, in grave ritardo, pertanto, rispetto ai termini prescritti dall’art. 33 del RGPD.

L’effettiva portata di quanto avvenuto è infatti emersa esclusivamente a seguito dell’evidenza dei fatti, scaturita dalla pubblicazione di notizie di stampa e dall’attività istruttoria, avviata d’ufficio dallo stesso Garante, che ha reso finalmente evidente quanto accaduto, nella sua compiutezza.

Appare, pertanto, non tenere in considerazione la gravità di tale comportamento la ricostruzione del titolare del trattamento secondo la quale “Il Data breach era stato qualificato dalla Banca come una perdita di riservatezza, potenzialmente idonea a comportare unicamente la conoscibilità dei dati personali di alcuni clienti della Banca da parte di soggetti terzi non autorizzati: a distanza di tempo, tale valutazione trova convalida nell'assenza di conseguenze note ulteriori rispetto alla momentanea compromissione della riservatezza dei dati. Risulta, pertanto, confermato che le informazioni trasmesse dalla Banca al Garante in data 17 luglio 2024 e successivamente integrate il 30 agosto 2024 erano già di per sé idonee a fornire un quadro sufficientemente chiaro e completo dell'accaduto, alla luce di quel contesto, tale da permettere all'Autorità di valutare la portata del Data breach e, se ritenuto opportuno, di richiedere ulteriori elementi informativi”.

La circostanza che la Banca non abbia rappresentato in modo completo, esaustivo e puntuale la reale portata della violazione ha gravemente compromesso la possibilità per l’Autorità di valutare adeguatamente i fatti e di esercitare tempestivamente i propri poteri di intervento e di supporto, precludendo (o comunque ritardando notevolmente) l’adozione di misure adeguate a mitigare i rischi per gli interessati, in violazione dell’art. 33 del RGPD.

5.3 Violazione dell’art. 34 del RGPD. La comunicazione agli interessati.

Riguardo alla comunicazione agli interessati ai sensi dell’art. 34 del RGPD, l’Autorità, con il provvedimento n. 659, adottato il 2 novembre 2024, non condividendo le valutazioni della Banca al riguardo, ha ritenuto che la violazione dei dati personali in questione fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, tenuto conto della natura della violazione dei dati personali -che, alle condizioni previste dal Codice penale, art. 615-ter, può configurare un’ipotesi di reato-, delle categorie dei dati personali oggetto di violazione, della gravità e persistenza delle conseguenze per le persone fisiche che potrebbero derivare dalla violazione (quali, a titolo di mero esempio, la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale) nonché del settore di attività del titolare, che richiede un elevato grado di responsabilizzazione da parte dei propri autorizzati, al fine di mantenere la fiducia dei clienti, soddisfacendo, in particolare, le loro legittime aspettative di riservatezza e di sicurezza del trattamento.

Le considerazioni riportate dalla Banca nelle memorie difensive in merito attestano una non adeguata percezione degli obblighi del titolare nei confronti degli interessati, così da incidere negativamente sui loro diritti, a maggior ragione considerando che alcuni di questi sono anche soggetti politicamente esposti o comunque persone che godono di pubblica notorietà.

In quest’ottica, la comunicazione prevista dall’art. 34 del RGPD costituisce una misura necessaria di mitigazione del rischio e di tutela preventiva dei diritti degli interessati, a prescindere dalla prova di un danno (eventualmente) già verificatosi.

Il ritardo nell’effettuare la predetta comunicazione, avvenuta solo a seguito dell’ingiunzione dell’Autorità, e la sua incompletezza hanno di fatto limitato, per gli interessati, la possibilità di adottare misure tempestive di mitigazione e di esercitare, in modo pienamente consapevole, i propri diritti, incrementandone conseguentemente l’esposizione al rischio e non conformandosi alle previsioni dell’art. 34 del RGPD.

In tale contesto, si prende tuttavia atto che, successivamente al data breach, la Banca si è adoperata per rafforzare i propri presidi attraverso il già menzionato “Programma Nemo”.

Si ritiene, infatti, che l’introduzione di meccanismi di protezione rafforzati, relativamente ai dati di alcuni soggetti che ricoprono cariche particolarmente rilevanti (c.d. clienti “SEC”), e il potenziamento del sistema interno di autorizzazioni ex ante e controlli ex post, consenta di irrobustire (e rendere più efficace) il sistema di controlli, volti a fronteggiare e prevenire, per quanto possibile, i rischi di accesso non autorizzati.

Al contempo, si ritiene fondamentale anche il rafforzamento dei processi di governance, con particolare riguardo alla gestione dei data breach, consentendo una pronta procedura di escalation per la gestione degli accessi non giustificati ai dati dei clienti, in particolare per i soggetti più esposti.

6 Conclusioni: accertamento delle violazioni e dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del RGPD.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento ai sensi dell’art. 166, comma 5 del Codice e che risultano, pertanto, inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Risulta, quindi, accertata l’illiceità della condotta posta in essere da Intesa Sanpaolo S.p.A., nei termini suesposti, in relazione agli artt. 5, par.1, lett. f) e par. 2; 24; 32; 33 e 34 del RGPD.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si prende atto della circostanza che Intesa Sanpaolo S.p.A. risulta avere adempiuto alle prescrizioni contenute nel provvedimento n. 659, adottato dal Garante in data 2 novembre 2024, e che, nel corso del procedimento, ha altresì spontaneamente provveduto ad adottare alcune misure, riportate nella presente decisione (v. supra par. 3), volte ad allineare, in conformità al quadro normativo sopra descritto, il trattamento dei dati dei clienti al RGPD che risultano condivise dall'Autorità.

Si rappresenta, inoltre, che ricorrono i presupposti di cui all’art. 17 del già menzionato regolamento del Garante n. 1/2019.

7 Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del RGPD; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del RGPD e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4 e par. 5, del RGPD, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689) in relazione al trattamento dei dati personali posto in essere da Intesa Sanpaolo S.p.A., di cui è stata accertata l’illiceità, nei termini sopra esposti.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, alla luce del combinato disposto del considerando 148 e dell’art. 83 del RGPD.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del RGPD laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5 del RGPD.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del RGPD, ai fini della applicazione della sanzione amministrativa pecuniaria e della sua relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del RGPD), si rappresenta che, nel caso di specie, sono state considerate le circostanze di seguito riportate:

- la rilevanza della natura delle violazioni concernenti l’inosservanza delle misure volte a garantire un’adeguata sicurezza dei dati personali, del principio di responsabilizzazione e della corretta gestione degli adempimenti connessi alla violazione dei dati occorsa (art. 83, par. 2, lett. a) del RGPD); l'elevato numero degli interessati coinvolti (circa 3.500 clienti); la durata della violazione (protrattasi per oltre due anni); le conseguenze che il trattamento illecito ha determinato nella sfera giuridica degli interessati. In favore del trasgressore, si è, invece, tenuto conto della natura non particolare dei dati personali oggetto di trattamento (art. 83, par. 2, lett. g) del RGPD);

- rispetto all’elemento soggettivo, si è tenuto conto della condotta della Banca, le cui carenze procedurali, organizzative e di vigilanza hanno permesso il verificarsi dell’illecito materialmente posto in essere dal proprio dipendente (art. 83, par. 2, lett. b) del RGPD). Inoltre, ai fini della valutazione della sanzione, rileva anche l’atteggiamento non adeguato tenuto dalla Banca nella gestione degli adempimenti previsti dagli artt. 33 e 34 del Regolamento, in materia di violazioni dei dati personali. È infatti emerso che la notificazione del data breach è avvenuta con un significativo ritardo rispetto al momento in cui la Banca ne è venuta a conoscenza e che, anche successivamente all’invio della notificazione completa avvenuto il 30 agosto 2024, le informazioni fornite all’Autorità restituivano un quadro solo parziale dell’effettiva entità della violazione;

- l’adozione di accorgimenti volti ad attenuare il pregiudizio subito dagli interessati, avvenuta tardivamente e solo in adempimento alle prescrizioni contenute nel provvedimento n. 659, adottato dal Garante in data 2 novembre 2024 (art. 83, par. 2, lett. c) del RGPD), conseguenza di una non adeguata percezione degli obblighi del titolare nei confronti degli interessati, così da incidere negativamente sui loro diritti;

- la scelta imprenditoriale di operare in un regime di piena circolarità – che, per sua natura, comporta un’esposizione più elevata ai rischi per i dati della clientela – senza aver previamente adottato, in applicazione del principio di accountability, misure idonee a garantirne la sicurezza, intervenendo invece solo dopo il verificarsi della violazione, per contenerne gli effetti;

- risultano precedenti violazioni pertinenti, commesse dalla Banca in qualità di titolare del trattamento e accertate con i seguenti provvedimenti: n. 270 del 27 maggio 2021 (doc. web n. 9718112); n. 272 del 28 luglio 2022 (doc. web n. 9812423); n. 202 del 26 maggio 2022 (doc. web n. 9784626) (art. 83, par. 2, lett. e) del RGPD); tali precedenti, seppure di portata molto inferiore a quello oggetto del presente provvedimento, avrebbero dovuto indurre la Banca a rivedere le proprie procedure interne di sicurezza degli accessi ai dati, da parte dei dipendenti (cosa possibile come evidenziano le misure adottate di cui al par. 3), e le policy di gestione dei data breach;

- i titolari del trattamento operanti nel settore bancario sono tenuti a dare piena attuazione alle misure previste dal provvedimento n. 192 del 2011, alla luce dell’attuale quadro normativo in materia di protezione dei dati personali e dell’evoluzione tecnologica. Tali elementi avrebbero richiesto, da parte della Banca e in applicazione del principio di accountability, un progressivo aggiornamento e rafforzamento delle misure adottate, anche in considerazione dell’esperienza concreta maturata nel tempo;

- si è tenuto conto della condotta tenuta dalla Banca che, dopo l'apertura del procedimento, ha cooperato con l’Autorità (art. 83, par. 2, lett. f) del RGPD);

- la maniera in cui l’Autorità ha acquisito piena conoscenza della reale entità delle violazioni, ovvero a seguito di notizie di stampa, considerata la tardività e l'incompletezza delle notifiche inviate dalla Società (art. 83, paragrafo 2, lett. h) del RGPD;

- con riferimento ad eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso concreto (art. 83, par. 2 lett. k), sono stati considerati quali elementi attenuanti: l’adozione di alcune misure volte ad allineare, in conformità al quadro normativo sopra descritto, il trattamento dei dati dei clienti al RGPD come riportate nella presente decisione (v. supra, par. 3.), nonché dei costi che la Banca ha sostenuto per implementare tali misure.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del RGPD), le condizioni economiche del contravventore così come rilevate dal bilancio di esercizio per l’anno 2024.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Intesa Sanpaolo S.p.A., la sanzione amministrativa del pagamento di una somma pari ad euro 31.800.000,00 (trentuno milioni ottocentomila/00 euro).

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) del RGPD, l’illiceità del trattamento effettuato da Intesa Sanpaolo S.p.A., con sede legale in Piazza San Carlo 156, 10121 Torino, P.I. 11991500015, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par.1, lett. f) e par. 2, 24, 32, 33 e 34 del RGPD.

ORDINA

a Intesa Sanpaolo S.p.A., ai sensi dell’art. 58, par. 2, lett. i) del RGPD, di pagare la somma di euro 31.800.000,00 (trentuno milioni ottocentomila/00 euro) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. i) del RGPD, alla medesima Banca, di pagare la somma di euro 31.800.000,00 (trentuno milioni ottocentomila/00 euro) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981.

Si rappresenta che, ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito Internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito Internet del Garante;

- ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del RGPD, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta impugnazione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 marzo 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10234984
Data
26/03/26

Argomenti

Banche credito e finanza Misure di sicurezza Data breach

Tipologie

Ordinanza ingiunzione o revoca Provvedimento prescrittivo e sanzionatorio

Documenti citati