Sanzione Intesa Sanpaolo data breach: 31,8 milioni e cosa insegna alle PMI

La sanzione Intesa Sanpaolo data breach da 31,8 milioni di euro, emessa dal Garante Privacy il 26 marzo 2026, e’ il provvedimento piu’ pesante mai adottato nel settore bancario italiano. Non e’ un caso di hacking esterno, non c’e’ un attacco informatico sofisticato. C’e’ un dipendente di una filiale pugliese che, per oltre due anni, ha consultato i conti correnti di migliaia di clienti senza alcuna ragione professionale. E nessuno se ne e’ accorto — fino a quando la notizia non e’ finita sui giornali.

Questo provvedimento arriva 14 giorni dopo la sanzione da 17,6 milioni per il caso Isybank. Due procedimenti distinti, stesso soggetto: quasi 50 milioni di euro di sanzioni GDPR in due settimane. Per le PMI italiane, il messaggio e’ chiaro: le misure di sicurezza non sono un costo, sono una polizza.

Cosa e’ successo: la sanzione Intesa Sanpaolo data breach in sintesi

Il Garante ha avviato l’istruttoria a seguito della notifica di data breach presentata dalla banca nel luglio 2024. L’indagine ha accertato che un dipendente della filiale Agribusiness di Barletta, tra il 21 febbraio 2022 e il 24 aprile 2024, ha effettuato 6.637 accessi ai dati bancari di 3.573 clienti senza alcuna motivazione lavorativa. Ha consultato saldi, movimenti, informazioni personali — anche di conoscenti, figure istituzionali e Persone Politicamente Esposte (PEP, cioe’ soggetti che ricoprono cariche pubbliche rilevanti e che richiedono presidi di controllo rafforzati).

Il punto critico: la banca operava in un regime di “piena circolarita’”, cioe’ ogni operatore poteva in linea di principio interrogare l’intera base clienti, non solo i nominativi del proprio portafoglio. I log degli accessi venivano registrati, ma nessun sistema di alert automatico ha rilevato 6.637 consultazioni anomale distribuite su 26 mesi.

Il dato iniziale: 9 clienti. Quello reale: 3.573

La prima notifica al Garante indicava il coinvolgimento di soli 9 soggetti. Solo durante l’istruttoria — e dopo che la notizia era diventata pubblica — il numero e’ stato corretto a 3.573. Il Garante ha contestato una doppia violazione: la notifica tardiva e incompleta (art. 33 GDPR) e la mancata comunicazione agli interessati (art. 34 GDPR). La banca aveva inizialmente valutato che il rischio non fosse elevato. Il Garante ha ribaltato questa valutazione con un provvedimento specifico del 2 novembre 2024, obbligando la comunicazione.

Le quattro violazioni contestate dal Garante

Il provvedimento n. 208 del 26 marzo 2026 contesta quattro violazioni distinte, tutte rilevanti per qualsiasi impresa — non solo per le banche.

1. Misure di sicurezza inadeguate (art. 32 GDPR)

L’articolo 32 del GDPR obbliga il titolare del trattamento ad adottare misure tecniche e organizzative adeguate al rischio. Il Garante ha accertato che il modello di accesso ai dati della banca — con piena circolarita’ e senza controlli proattivi sulle anomalie — non era adeguato. I log esistevano, ma registrare gli accessi senza analizzarli equivale a installare una telecamera senza mai guardare le registrazioni.

2. Violazione del principio di accountability (artt. 5 e 24 GDPR)

L’accountability (il principio di responsabilizzazione) non significa compilare documenti. Significa dimostrare che le misure adottate funzionano nella pratica. Il Garante ha stabilito che la banca non ha dimostrato di aver implementato un sistema efficace di prevenzione: il fatto che la violazione sia emersa dalla stampa, e non dai controlli interni, ne e’ la prova. Per approfondire gli articoli 5 e 24 del GDPR nel contesto degli strumenti digitali, consulta la guida agli articoli GDPR che contano per chi usa tool AI.

3. Notifica data breach tardiva e incompleta (art. 33 GDPR)

L’articolo 33 del GDPR prevede che il titolare notifichi una violazione dei dati personali al Garante entro 72 ore dal momento in cui ne viene a conoscenza. La notifica della banca e’ risultata in ritardo e, soprattutto, ha sottostimato gravemente l’entita’ dell’incidente — indicando 9 clienti coinvolti anziche’ 3.573. Per le PMI che stanno valutando l’impatto del GDPR Omnibus, che propone di estendere il termine a 96 ore, questo caso dimostra che il problema non e’ quasi mai il tempo a disposizione, ma la qualita’ dell’indagine interna.

4. Mancata comunicazione agli interessati (art. 34 GDPR)

Se un data breach comporta un rischio elevato per i diritti delle persone coinvolte, il titolare deve comunicarlo direttamente agli interessati. La banca ha ritenuto che il rischio non fosse elevato. Il Garante ha contestato questa valutazione: la presenza di PEP e soggetti con ruolo pubblico tra i clienti spiati innalza automaticamente il livello di rischio. La comunicazione e’ avvenuta solo dopo l’ingiunzione del provvedimento del 2 novembre 2024.

Il dipendente infedele: non serve un hacker per causare un data breach

Il provvedimento richiama l’applicabilita’ dell’art. 615-ter del Codice Penale (accesso abusivo a un sistema informatico). La Cassazione a Sezioni Unite ha chiarito che il reato si configura anche quando il dipendente dispone di credenziali legittime ma le utilizza per finalita’ estranee alle proprie mansioni. Il dipendente di Barletta aveva una password valida. Ma 6.637 accessi a clienti che non erano nel suo portafoglio non avevano alcuna giustificazione professionale.

Per il dipendente le conseguenze sono pesanti: licenziamento per giusta causa, responsabilita’ penale (l’art. 615-ter prevede la reclusione fino a 3 anni, fino a 10 nelle ipotesi aggravate) e potenziale responsabilita’ civile verso i clienti danneggiati. Ma la responsabilita’ GDPR resta in capo alla banca come titolare del trattamento: e’ la banca che doveva impedire o almeno rilevare quegli accessi.

Tre scenari concreti per PMI italiane

Studio commercialista con accesso illimitato al gestionale

Uno studio con 5 dipendenti usa un gestionale contabile dove tutti hanno accesso a tutti i clienti. Un dipendente in fase di dimissioni consulta sistematicamente i dati fiscali di clienti che non segue, per portarli a un concorrente. Lo studio non ha log ne’ alert. Il principio e’ identico al caso Intesa Sanpaolo: piena circolarita’ senza controlli. La differenza e’ la scala, non il rischio giuridico.

E-commerce con CRM accessibile a tutto il team

Un e-commerce con 20 dipendenti gestisce 15.000 anagrafiche clienti in un CRM cloud. Ogni operatore puo’ vedere nome, indirizzo, storico acquisti e metodi di pagamento di qualsiasi cliente. Non c’e’ segmentazione degli accessi per ruolo. Se un operatore del magazzino consulta i dati di pagamento dei clienti VIP, nessun sistema lo segnala. In caso di ispezione, il Garante valutera’ le misure di sicurezza con lo stesso metro usato per Intesa Sanpaolo. Se il tuo e-commerce gestisce anche recensioni, verifica anche le nuove regole della Legge PMI 2026 sulle recensioni false.

Agenzia di marketing con accesso ai dati social dei clienti

Un’agenzia gestisce le campagne social di 30 clienti. Ogni account manager accede alle dashboard di tutti i clienti, non solo dei propri. Un collaboratore esterno, con credenziali ancora attive dopo la fine del contratto, scarica le metriche e i dati delle campagne di un’azienda concorrente. L’agenzia non ha procedure di revoca tempestiva degli accessi. Il GDPR richiede misure per garantire che l’accesso ai dati sia limitato al personale autorizzato e per il tempo strettamente necessario.

Cosa fare in pratica dopo la sanzione Intesa Sanpaolo data breach

Sugli accessi ai dati:

1. Applica il principio del minimo privilegio. Ogni dipendente deve poter accedere solo ai dati necessari per la propria mansione. Se gestisci un CRM, un gestionale contabile o qualsiasi database con dati personali, configura i permessi per ruolo — non dare accesso completo a tutti.
2. Attiva i log degli accessi e, soprattutto, analizzali. Un log che nessuno legge e’ inutile. Il principio vale anche fuori dal settore bancario: nel caso Amazon sui dati dei lavoratori, il Garante ha contestato la stessa logica applicata alle piattaforme HR. Anche senza sistemi sofisticati, una revisione periodica degli accessi anomali (orari insoliti, volumi inusuali, accessi fuori portafoglio) puo’ fare la differenza.
3. Revoca immediatamente gli accessi quando un dipendente o collaboratore termina il rapporto. Non aspettare “qualche giorno”: e’ in quel vuoto temporale che avvengono gli accessi abusivi. Se lavori con fornitori AI esterni, verifica anche le clausole contrattuali sulla revoca degli accessi.

Sulla gestione del data breach:

1. Definisci una procedura interna. Chi viene avvisato per primo? Chi valuta la gravita’? Chi decide se notificare al Garante? Se non hai una risposta a queste domande, non sei pronto per un data breach — e il GDPR richiede che tu lo sia.
2. Non sottovalutare l’entita’. Intesa Sanpaolo ha notificato 9 clienti quando ne erano coinvolti 3.573. La sottostima ha aggravato la sanzione. In caso di dubbio, meglio notificare un incidente che si rivela meno grave piuttosto che minimizzare e dover correggere sotto pressione.
3. Rispetta le 72 ore. Il termine decorre dal momento in cui vieni a conoscenza della violazione, non dal momento in cui hai completato l’indagine. La prima notifica puo’ essere parziale e integrata successivamente. Non aspettare di avere il quadro completo.

Per una panoramica completa degli obblighi del titolare del trattamento, consulta la guida GDPR e intelligenza artificiale per PMI. Se usi tool AI che accedono ai dati dei clienti, la mappatura degli strumenti AI in azienda e’ il primo passo per sapere chi accede a cosa.

Approfondisci

Questo articolo non costituisce consulenza legale.