Il dipendente della banca rovista nei conti della sua ex, sanzione di 100.000 euro per Intesa Sanpaolo
L’Autorità Garante per la protezione dei dati personali ha comminato una sanzione amministrativa pecuniaria di 100 mila euro a Banca Intesa San Paolo perché un proprio dipendente, funzionario dell’unità crediti della direzione regionale dell’istituto, aveva consultato tramite i terminali della banca i dati del conto corrente dell’ex compagna, correntista dell’istituto di credito.
Un’intrusione che la donna ha scoperto solo due anni dopo la fine della relazione, nel settembre 2020, quando il bancario aveva deciso di formulare un invito a concludere una negoziazione assistita.
Risale a pochi mesi dopo l’atto di citazione che l’uomo fa pervenire alla ex, con una richiesta: tornare in possesso di 84 mila euro, frutto di doni e dazioni varie effettuate nel corso del rapporto di coppia e in particolare, secondo la difesa del quadro, legate al progetto comune di acquisto di un terreno dove mettere su casa.
Un’azione che ha fatto sorgere un dubbio all’ex fidanzata, convinta di essere stata vittima di “data breach” (la violazione dei dati personali, appunto): a quel punto, tramite il Movimento Difesa del cittadino ha richiesto all’istituto di credito di avviare un’indagine per chiarire se e chi avesse fatto incursione nella propria posizione contabile, che in effetti pochi mesi prima aveva registrato un significativo incremento di accessi.
Oltre al procedimento civile e quello penale (il funzionario è stato mandato a giudizio con decreto di citazione diretta per l’ipotesi di accesso abusivo a un sistema informatico) si è aperto pure un fronte davanti all’Autorità Garante per la privacy. Il Mdc, per conto della sua assistita, ha presentato un reclamo per la violazione della disciplina in materia dei dati personali da parte di Intesa San Paolo.
Davanti al Garante, Isp ha sostenuto che «la portata e la gravità della presunta violazione è estremamente circoscritta» e che il funzionario era stato sanzionato a livello disciplinare per aver effettuato in cinque distinte giornate degli accessi ai dati bancari dell’ex compagna.
Non solo: l’istituto di credito (che aveva chiesto l’archiviazione del procedimento o in subordine l’emissione di un provvedimento di ammonimento) si è difeso sostenendo che da gennaio 2022 sono stati ulteriormente potenziati i sistemi in grado di «intercettare su base mensile, consultazioni con quantità elevate e concentrate su un cliente», al fine di identificare eventuali comportamenti anomali.
Per il collegio dell’Authority «risulta che all’epoca dei fatti oggetto del reclamo, Intesa San Paolo non aveva adeguatamente implementato alert idonei a rilevare, in modo compiuto, comportamenti idonei o a rischio relativi alle operazioni di inquiry eseguite dal personale che, a diverso titolo, può accedere ai dati della clientela». Da qui la sanzione amministrativa di 100 mila euro che Isp dovrà pagare entro trenta giorni dalla pubblicazione del provvedimento. L’istituto di credito, contattato, non ha ritenuto di commentare la vicenda.
Articolo ripreso da: Federprivacy.org