Banca Intesa San Paolo multata per la seconda volta in un solo mese dopo essere stata sanzionata, soltanto qualche settimana fa, con una multa da 17,6 milioni di euro “per aver trattato in modo illecito i dati di circa 2,4 milioni di clienti trasferiti, unilateralmente, alla controllata al 100% Isybank Spa” avrebbe fornito nel luglio 2024 una segnalazione “largamente incompleta” e in “significativo ritardo” rispetto agli accessi abusivi ai sistemi informatici effettuati da Vincenzo Coviello, l’ex addetto alla filiale Imprese di Bisceglie (Bari) accusato di aver violato le informazioni finanziare di 3.572 clienti tra cui numerosi esponenti politici di rango nazionale. È per questo che giovedì scorso l’ Autorità Garante per la privacy ha inflitto alla banca una maximulta da 31,8 milioni di euro, “per gravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate”, anche a seguito di un data breach notificato a luglio 2024.
Secondo quanto riportato in una nota pubblicata ieri dal GdPR, un’istruttoria avviata dall’autorità ha accertato che “un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3573 clienti, effettuando oltre 6600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024”. Accessi indebiti che, a quanto pare, non sono stati rilevati dai sistemi di controllo interni, dimostrando di fatto una carenza nei protocolli di sicurezza volti a prevenire o evitare le violazioni dei dati degli utenti da parte di terzi.
#Databreach Oltre 6.600 accessi indebiti ai dati bancari di 3.573 clienti, anche con ruoli pubblici, in più di 2 anni hanno evidenziato carenze nei meccanismi di monitoraggio e prevenzione. Il #GarantePrivacy sanziona Intesa San Paolo per 31,8 milioni ➡️ https://t.co/6QrfQ4fDzh pic.twitter.com/oQMuYuBxLN
— Garante Privacy (@GPDP_IT) March 30, 2026
Vincenzo Coviello, di Bitonto, 54 anni,dipendente della banca, è indagato dalla Procura di Bari per accesso abusivo ai sistemi informatici e tentato procacciamento di notizie concernenti la sicurezza dello Stato in un’inchiesta (non ancora chiusa). La vicenda venne a galla nell’ottobre 2024, dopo che il bancario era stato già licenziato da IntesaSanpaolo: la notizia apparsa sui giornali spinse la Procura barese a disporre una perquisizione nei suoi confronti sospettando anche che Coviello agisse per conto di terzi. Nell’elenco degli accessi abusivi i conti bancati della premier Giorgia Meloni e di sua sorella Arianna, l’ ex compagni della premier il giornalista Mediaset Andrea Giambruno, i ministri Guido Crosetto, Raffaele Fitto , gli ex presidenti del consiglio Mario Draghi, Enrico Letta e Matteo Renzi, ma anche l’ex-governatore della Regione Puglia Michele Emiliano, ed il suo successore Antonio Decaro, ed anche noti personaggi del mondo dello spettacolo.
A complicare la situazione per Banca Intesa Sanpaolo il fatto che gli accessi illeciti hanno riguardato anche i profili di “clienti ‘ad alto rischio’, tra cui soggetti con ruoli di rilievo pubblico”, per i quali sono solitamente richieste pratiche di controllo rafforzato. Invece, secondo quanto rilevato dal Garante, Intesa Sanpaolo non avrebbe seguito in maniera corretta l’intero ciclo di gestione delle informazioni sensibili dei suoi clienti, violando “i principi di integrità e riservatezza dei dati personali”, nonché il “principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate”.
L’istruttoria del Garante della Privacy, ha evidenziato inoltre che la banca ha gestito in maniera scorretta il data breach subito a fine 2024. Nello specifico, l’Autorità sostiene che la “notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione agli interessati, avvenuta solo a seguito di un precedente provvedimento del Garante”. Un atteggiamento che aveva già sollevato non poche critiche al momento dell’incidente, quando gli esperti della sicurezza e della privacy avevano fatto notare che la comunicazione tardiva dell’accaduto rappresentava di fatto una violazione dell’articolo 34 – paragrafo 1 – del Regolamento generale sulla protezione dei dati in Europa, secondo cui “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo”.
In quell’occasione, Banca Intesa arrampicandosi sugli specchi si era giustificata sostenendo che non era stata fatta alcuna comunicazione ai clienti perchè il “data breach” aveva avuto un impatto ridotto rispetto a quello proclamato dalla stampa. Adesso distanza di un anno e mezzo, è arriva la decisoione inderogabile del Garante, che “ha ritenuto illecita la condotta posta in essere da Intesa Sanpaolo”, condannandola a una multa da 31,8 milioni di euro che andranno a danneggiare il bilancio della Banca e quindi il dividendo agli azionisti.
