Intesa Sanpaolo informa i clienti su recente violazione dei dati sensibili

Intesa Sanpaolo informa i clienti su recente violazione dei dati sensibili

Dati del data breach

Il Garante per la protezione dei dati personali ha messo in evidenza una violazione significativa dei dati presso Intesa Sanpaolo. La banca ha notificato l’incidente il 17 luglio 2024. Un ex dipendente della filiale Agribusiness di Barletta ha effettuato accessi non autorizzati ai conti correnti di nove clienti, che sono stati informati di tale evento. Tuttavia, l’ente di vigilanza ha scoperto, attraverso articoli di stampa pubblicati il 10 ottobre 2024, che il numero degli accessi non autorizzati è stato molto più elevato. Il dipendente ha effettuato circa 7.000 accessi a conti di oltre 3.500 clienti in 679 filiali, tra febbraio 2022 e aprile 2024, e questa situazione è emersa dopo che un cliente ha presentato una denuncia.

Intesa Sanpaolo ha confermato gli accessi e, pur riconoscendo il problema, ha affermato che determinare il numero esatto dei clienti coinvolti sarebbe stato uno “sforzo sproporzionato”. Inoltre, la banca ha sottolineato che non ci sono evidenze di estrazione dei dati, pertanto non ha considerato il rischio della violazione come elevato. Questa valutazione contrasta con le preoccupazioni espresse dal Garante, secondo cui l’ampiezza della violazione era stata inizialmente sottovalutata. La natura di tali accessi, quindi, desta seri interrogativi sulla tutela dei dati e sulla sicurezza informatica della banca.

Obbligo di informare i clienti

Secondo il provvedimento emesso dal Garante per la protezione dei dati personali, Intesa Sanpaolo è obbligata a contattare individualmente tutti i clienti coinvolti dal data breach entro un termine di 20 giorni dalla pubblicazione dell’ordine. Questa misura è stata ritenuta necessaria per garantire la trasparenza e la tempestività nella gestione delle informazioni riguardanti una violazione che coinvolge un numero così ampio di utenti. La banca deve quindi fornire agli interessati dettagli specifici sulla natura dell’incidente, nonché sulle possibili conseguenze per la loro sicurezza e privacy.

Il Garante ha sottolineato che, contrariamente alla valutazione effettuata da Intesa Sanpaolo riguardo al livello di rischio associato alla violazione, la questione deve essere trattata con la massima serietà. La comunicazione ai clienti non deve limitarsi a una semplice notifica, ma deve includere informazioni su come proteggersi da potenziali abusi dei dati. In caso di inadempienza da parte della banca nell’assolvere a questo obbligo, si configurano non solo rischi reputazionali, ma anche severe sanzioni pecuniarie, che potrebbero ulteriormente compromettere la fiducia dei clienti nei confronti della banca.

Dettagli della violazione

L’incidente di accesso non autorizzato ha avuto ripercussioni più gravi di quanto inizialmente comunicato da Intesa Sanpaolo. Infatti, la banca ha notificato la violazione dei dati il 17 luglio 2024, riferendo di accessi non autorizzati da parte di un ex dipendente della filiale Agribusiness di Barletta. Sebbene inizialmente si fosse parlato di nove clienti interessati, in seguito agli accertamenti effettuati, emerge un quadro nettamente più complesso e preoccupante.

Le indagini hanno rivelato che il dipendente in questione ha effettuato circa 7.000 accessi ai conti correnti di oltre 3.500 clienti, coprendo ben 679 filiali in un arco temporale che va da febbraio 2022 ad aprile 2024. Questa situazione è stata scoperta solo grazie alla denuncia di un cliente, sottolineando come la scoperta della violazione non sia stata una conseguenza di controlli interni della banca. Nonostante ciò, Intesa Sanpaolo ha dichiarato che la determinazione del numero esatto dei clienti coinvolti richiederebbe uno sforzo inadeguato e sproporzionato, mantenendo quindi una certa riservatezza su questo importante aspetto.

In questo contesto va segnalato il fatto che la banca ha negato la presenza di evidenze di estrazione dei dati, il che ha influenzato la sua valutazione del rischio associato alla violazione. Tuttavia, il Garante della privacy ha contestato tale visione, considerandola insufficiente rispetto all’effettiva gravità della situazione e ai dettami del GDPR.

Accessi non autorizzati

Il caso di accessi non autorizzati da parte di un ex dipendente di Intesa Sanpaolo ha suscitato allerta e preoccupazione a vari livelli, rivelando le vulnerabilità nei protocolli di sicurezza della banca. La violazione, avvenuta tra febbraio 2022 e aprile 2024, ha coinvolto un numero allarmante di accessi: circa 7.000 operazioni illegittime su conti di oltre 3.500 clienti attraverso 679 filiali. Questo dato, emerso solo a seguito di una denuncia da parte di un cliente, ha messo in luce lacune significative nella sorveglianza e nel controllo interno dell’istituto bancario.

Intesa Sanpaolo ha inizialmente riportato il caso come un incidente isolato, comunicando l’evento a sole nove persone ritenute direttamente coinvolte. Tuttavia, l’accertamento degli accessi ha rivelato una gestione della sicurezza inadeguata e una valutazione superficiale degli effetti potenziali sulla privacy dei clienti. La banca ha inoltre dichiarato che determinare il numero esatto delle vittime sarebbe stato eccessivamente oneroso, un’affermazione che solleva interrogativi sulla volontà dell’istituto di adottare misure proattive nella tutela dei dati personali.

Anche l’assenza di prove di “estrazione dei dati” ha influenzato la risposta iniziale della banca al data breach, contribuendo a una sottovalutazione della gravità della violazione. Tuttavia, il Garante per la protezione dei dati personali ha ritenuto la situazione di rischio elevato, considerando non solo la quantità di accessi, ma anche la natura dei dati trattati e le conseguenze potenziali per i clienti coinvolti. Questa incoerenza nelle valutazioni solleva dubbi sulla capacità di Intesa Sanpaolo di gestire in modo efficace le problematiche legate alla sicurezza informatica.

Rischio per i diritti e le libertà

La violazione dei dati presso Intesa Sanpaolo presenta un rischio elevato per i diritti e le libertà dei clienti coinvolti. Il Garante per la protezione dei dati personali ha espresso preoccupazione, sottolineando che la gravità dell’incidente non può essere sottovalutata. La natura degli accessi non autorizzati, che hanno colpito un ampio numero di clienti e molteplici filiali, indica potenziali danni significativi, sia in termini di esposizione a frodi finanziarie che di compromissione della privacy personale.

Il fatto che il dipendente licenziato abbia effettuato accessi a circa 7.000 conti correnti, per un periodo che si estende su più di due anni, configura una violazione sistematica della sicurezza dei dati. Il Garante ha chiarito che, anche se non ci sono prove di estrazione dei dati, l’ampiezza dell’accesso ai conti di oltre 3.500 clienti implica che le informazioni sensibili, potenzialmente, potrebbero essere state acquisite per usi non autorizzati.

Le categorie dei dati trattati comprendono informazioni finanziarie e dati personali, i quali, se divulgati o utilizzati in modo improprio, possono provocare danni reputazionali e patrimoniali significativi per i clienti. La valutazione effettuata da Intesa Sanpaolo, che ha considerato la violazione come di rischio medio, è stata contestata dall’Autorità di vigilanza, la quale ha ribadito la necessità di un approccio più rigoroso nella gestione delle informazioni sensibili.

Procedura dell’Autorità Garante

Il Garante per la protezione dei dati personali ha avviato un’istruttoria formale per analizzare a fondo l’incidente di violazione dei dati presso Intesa Sanpaolo. Tale procedura si è resa necessaria dopo che l’ente ha appreso, attraverso le pubblicazioni di stampa, della vastità dell’accesso non autorizzato effettuato da parte di un ex dipendente. Nonostante la banca avesse comunicato una violazione limitata, il Garante ha identificato un quadro decisamente più serio, ritenendo opportuno intervenire per tutelare i diritti degli utenti coinvolti.

In base al provvedimento pubblicato, Intesa Sanpaolo è stata ufficialmente ordinata a informare tutti i clienti interessati entro un limite di 20 giorni dall’emissione dell’ordine. Questo termine stringente è stato stabilito per garantire che i clienti abbiano accesso tempestivo alle informazioni necessarie riguardo l’integrità dei propri dati e possibili misure di protezione da potenziali abusi. Il Garante ha rimarcato l’importanza di una comunicazione chiara e dettagliata, assicurando che gli utenti siano pienamente informati sulle implicazioni della violazione.

Il Garante ha sottolineato che la situazione è particolarmente critica data la natura dei dati coinvolti e l’estensione della violazione, e ha manifestato preoccupazione circa la gestione complessiva della sicurezza informatica da parte della banca. L’istruttoria mira non solo a valutare la regolarità delle e comunicazioni e delle misure adottate da Intesa Sanpaolo, ma anche a comprendere in che modo la banca intenda migliorare le proprie procedure di sicurezza future per prevenire incidenti simili.

Possibili sanzioni per la banca

Intesa Sanpaolo si trova attualmente di fronte a pesanti sanzioni potenziali in seguito alla violazione dei dati personali avvenuta a causa di accessi non autorizzati da parte di un ex dipendente. Il Garante per la protezione dei dati personali ha avvertito che, nel caso di inosservanza dell’ordine di informare tutti i clienti coinvolti entro 20 giorni dalla notifica, la banca potrebbe essere soggetta a sanzioni significative. Queste potrebbero ammontare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo dell’istituto, a seconda di quale cifra sia maggiore.

In specifiche circostanze, il Garante ha la facoltà di irrogare sanzioni amministrative che possono riflettere non solo la gravità della violazione ma anche la dimensione economica della banca stessa. Ciò implica un rischio reputazionale potenzialmente devastante, poiché un’importante sanzione pecuniaria non solo influisce sulla stabilità finanziaria, ma può anche minare la fiducia dei clienti nella gestione della sicurezza dei dati da parte dell’istituto.

In aggiunta, il Garante ha evidenziato che l’ampiezza della violazione e la gestione iniziale della situazione da parte di Intesa Sanpaolo, ritenuta inadeguata, rappresentano ulteriori aggravanti per la posizione della banca. Sarà cruciale, quindi, seguire attentamente le direttive dell’Autorità e attuare correttamente tutte le misure necessarie per minimizzare le sanzioni e ripristinare la fiducia dei clienti.

Misure di sicurezza future

La recente violazione dei dati presso Intesa Sanpaolo ha sollevato interrogativi significativi riguardo alla solidità delle attuali misure di sicurezza informatica attuate dall’istituto. In risposta all’incidente, è essenziale che la banca riveda e aggiorni le procedure di salvaguardia dei dati per garantire una protezione adeguata dei dati sensibili dei clienti. Per prevenire il ripetersi di simili episodi, è necessario implementare misure proattive, come audit regolari della sicurezza, formazione del personale e tecnologie di rilevamento delle intrusioni più avanzate.

Intesa Sanpaolo dovrebbe considerare l’adozione di sistemi di autenticazione multifattoriale per limitare l’accesso ai dati sensibili a sole persone autorizzate. Inoltre, è fondamentale istituire protocollo di monitoraggio attivo per identificare e rispondere prontamente a comportamenti anomali che possano indicare accessi non autorizzati. La formazione continua del personale, in particolare riguardo alle politiche di sicurezza e gestione dei dati, risulta cruciale per garantire che ogni dipendente comprenda l’importanza della protezione delle informazioni personali e sappia come comportarsi in caso di potenziali violazioni.

Un’altra misura preventiva potrebbe consistere nell’implementazione di un programma di sicurezza orientato all’analisi del rischio, che permetta alla banca di valutare in tempo reale la vulnerabilità dei propri sistemi. Questa analisi periodica consentirebbe di identificare e correggere le lacune di sicurezza in modo tempestivo. Infine, la creazione di un piano di risposta agli incidenti aiuterà non solo a gestire efficacemente i futuri problemi di sicurezza, ma anche a dimostrare un impegno serio nella salvaguardia dei dati dei clienti, contribuendo a ripristinare la fiducia nell’istituto.

Articolo editoriale realizzato dalla Redazione di Assodigitale. Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

Ti potrebbe interessare anche:

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.