Il Garante sanziona Intesa Sanpaolo per 31,8 milioni di euro: accountability, gestione del data breach e criteri sanzionatori nel Provvedimento n. 208 del 26 marzo 2026

Il caso: un dipendente, due anni di accessi abusivi e 3.500 clienti violati

Il 26 marzo 2026 il Garante per la protezione dei dati personali ha adottato il Provvedimento n. 208 (doc. web n. 10234984), infliggendo a Intesa Sanpaolo S.p.A. una sanzione amministrativa di 31.800.000,00 euro.

Si tratta di uno dei provvedimenti più significativi mai emessi in ambito bancario in Italia, e le ragioni vanno ben oltre il semplice dato numerico.

Al centro della vicenda c’è un insider threat: un dipendente della filiale Agribusiness di Barletta che, tra il 21 febbraio 2022 e il 24 aprile 2024, ha effettuato 6.637 accessi abusivi ai dati bancari di 3.573 clienti — tra cui conoscenti, figure istituzionali e Persone Politicamente Esposte (PEP) — senza alcuna motivazione professionale.

Una violazione durata oltre due anni, emersa non grazie a un alert tempestivo, ma in seguito alla comparsa della notizia sulla stampa nazionale.

Accountability: non basta “registrare”, bisogna prevenire

Il cuore del provvedimento riguarda il principio di accountability sancito dall’art. 5, par. 2 del GDPR, letto in combinato disposto con gli artt. 24 e 32: il titolare del trattamento deve dimostrare di aver adottato misure tecniche e organizzative adeguate, e non soltanto di averle formalmente previste.

La Banca operava in un regime di cosiddetta “piena circolarità”: i dipendenti potevano in linea di principio consultare l’intera base clienti, non solo i nominativi del proprio portafoglio.

Il Garante ha censurato questa scelta architetturale, chiarendo un punto fondamentale:

Conservare i log degli accessi non equivale a prevenire gli abusi. Il logging è una misura ex post, utile per la ricostruzione forense, ma non intercetta una condotta anomala distribuita su oltre due anni.

Serve un monitoraggio ex ante, proattivo e capace di rilevare pattern comportamentali anomali in tempo reale.

La lezione per tutte le organizzazioni è chiara: sistemi di anomaly detection, controlli di autorizzazione dinamica e il principio del minimo privilegio (least privilege) non sono optional tecnici, ma obblighi derivanti direttamente dal GDPR.

La gestione del data breach: l’errore fatale della sottostima

La sanzione è stata aggravata in modo determinante dalla gestione dell’incidente.

Inizialmente la Banca aveva notificato al Garante il coinvolgimento di soli 9 soggetti. Solo nel corso dell’istruttoria, e dopo l’eco mediatica della vicenda, il numero è stato rettificato a 3.573 interessati.

Questo ha comportato una doppia violazione:

• Art. 33 GDPR: la notifica del 17 luglio 2024 è stata ritenuta presentata con grave ritardo e contenente informazioni largamente incomplete;
• Art. 34 GDPR: la comunicazione agli interessati è stata omessa, con la motivazione di un presunto rischio non elevato.

Il Garante ha ribaltato questa valutazione con il Provvedimento n. 659 del 2 novembre 2024, ingiungendo alla Banca di procedere con la comunicazione.

La presenza di PEP e soggetti con ruolo pubblico tra gli interessati è un elemento oggettivo che innalza automaticamente il livello di rischio.

Non è una valutazione discrezionale del titolare: dove ci sono soggetti vulnerabili o ad alto profilo, il rischio è elevato per definizione, e l’obbligo di comunicare agli interessati scatta automaticamente.

Focus legale: l’art. 615-ter c.p. e la responsabilità penale del dipendente

Uno degli aspetti più importanti — spesso trascurato nella formazione interna — è la responsabilità penale individuale del lavoratore che abusa dei sistemi aziendali.

Il provvedimento del Garante richiama esplicitamente la possibile applicabilità dell’art. 615-ter del Codice Penale (Accesso abusivo a un sistema informatico o telematico).

Il reato non si configura soltanto quando un estraneo hackerizza un sistema: secondo la consolidata giurisprudenza della Corte di Cassazione a Sezioni Unite, commette il reato anche il dipendente che, pur disponendo di credenziali legittime, le utilizza per finalità estranee alle proprie mansioni.

Nel caso in esame il dipendente aveva una password valida, ma ha consultato migliaia di profili clienti per ragioni personali, eccedendo i limiti della propria autorizzazione.

Proprio questa condotta è stata richiamata dal Garante per motivare la valutazione di rischio elevato ai sensi dell’art. 34 GDPR.

Conseguenze: 31,8 milioni per l’azienda, guai penali e civili per il dipendente

Il quadro delle conseguenze è duplice:

• Per l’azienda: sanzione amministrativa di 31,8 milioni di euro, determinata dalla gravità e durata della violazione, dal numero di interessati coinvolti (~3.500), dai ritardi nelle notifiche e dalla presenza di precedenti;
• Per il dipendente: oltre al licenziamento per giusta causa, responsabilità:

• penale ex art. 615-ter c.p. (fino a 3 anni, fino a 10 nelle ipotesi aggravate);
• civile verso i clienti danneggiati e possibile azione di rivalsa della banca.

Best practice: cosa fare dopo il “Programma Nemo”

Le misure di remediation adottate dalla Banca — il cosiddetto Programma Nemo — indicano la direzione per tutte le organizzazioni:

• Autorizzazioni ex-ante: pop-up e iter digitale per accessi fuori portafoglio;
• Ringfencing: clienti sensibili con accesso limitato;
• Data masking dinamico: oscuramento dati non necessari;
• Alert avanzati: sistemi di monitoraggio comportamentale.

La protezione dei dati non è un adempimento da check-list.

È un processo continuo che richiede tecnologia, formazione e — soprattutto — una cultura aziendale fondata su un principio chiaro:

accedere a dati senza necessità lavorativa non è una scorciatoia, ma un illecito.