Changeflow GovPing Data Privacy & Cybersecurity Intesa Sanpaolo fined €31.8M for unauthorized a...
Urgent Enforcement Added Final

Intesa Sanpaolo fined €31.8M for unauthorized access to 3,500+ clients' banking data

Favicon for www.gpdp.it Garante Privacy News
Filed November 5th, 2024
Detected March 30th, 2026
Email

Summary

The Italian Data Protection Authority (Garante Privacy) imposed a €31.8 million fine on Intesa Sanpaolo S.p.A. for serious data security deficiencies. The bank failed to implement adequate technical and organizational measures to protect personal data, resulting in unauthorized access to banking information of over 3,500 clients for more than two years.

View original document View source feed page

What changed

Garante Privacy issued a €31.8 million administrative penalty to Intesa Sanpaolo S.p.A. following an investigation that revealed severe inadequacies in data protection measures. The breach involved unauthorized access to banking and financial information of more than 3,500 customers over a period exceeding two years, violating GDPR principles regarding data security and processing fairness.

Banks and financial institutions operating in Italy should immediately review their access controls, monitoring systems, and technical security measures. Organizations should audit who has access to customer financial data, implement behavioral analytics to detect anomalous access patterns, and ensure staff training on data protection obligations. The fine signals Garante's continued aggressive enforcement of GDPR in the banking sector.

What to do next

  1. Audit access controls to customer banking data and review who has authorization to view sensitive financial information
  2. Implement or enhance automated monitoring systems to detect anomalous or unauthorized access patterns to customer data
  3. Review and strengthen technical and organizational security measures to ensure compliance with GDPR Article 32

Penalties

€31.8 million administrative fine for inadequate data security measures under GDPR

Source document (simplified)

g-docweb-display Portlet

  1. Home
  2. Stampa e comunicazione
  3. Comunicato stampa
  4. COMUNICATO STAMPA - Data breach, Garante privacy sanziona Intesa Sanpaolo per 31,8 milioni di euro. Accessi indebiti alle informazioni bancarie di oltre 3.500 clienti per più di due anni

COMUNICATO STAMPA - Data breach, Garante privacy sanziona Intesa Sanpaolo per 31,8 milioni di euro. Accessi indebiti alle informazioni bancarie di oltre 3.500 clienti per più di due anni

Ascolta
-
Stampa Stampa
-
Trasforma contenuto in PDF
- e-mail
- facebook
- linkedin
- twitter
Ascolta
Stampa Stampa
Trasforma contenuto in PDF
Condividi
- e-mail
- facebook
- linkedin
- twitter
VEDI ANCHE: ****

- Comunicato stampa del 5 novembre 2024

Data breach, Garante privacy sanziona Intesa Sanpaolo per 31,8 milioni di euro
Accessi indebiti alle informazioni bancarie di oltre 3.500 clienti per più di due anni

Il Garante privacy ha irrogato una sanzione di 31,8 milioni di euro a Intesa Sanpaolo S.p.A. per gravi carenze nella sicurezza dei dati personali, dovute all’inadeguatezza delle misure tecniche e organizzative adottate.

L’istruttoria dell’Autorità – avviata a seguito del data breach notificato dalla banca nel luglio 2024 – ha accertato che un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti, effettuando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024. Tali accessi indebiti non sono stati rilevati dai sistemi di controllo interni, evidenziando significative criticità nei meccanismi di monitoraggio e prevenzione.

L’accesso illecito ha riguardato anche dati relativi a clienti “ad alto rischio”, tra cui soggetti con ruoli di rilievo pubblico, per i quali sarebbero stati necessari presidi di controllo rafforzati.

L’Autorità ha accertato, in particolare, la violazione dei principi di integrità e riservatezza dei dati personali, nonché del principio di accountability, rilevando l’inadeguatezza complessiva delle misure adottate. Il modello operativo utilizzato, che consentiva agli operatori di interrogare in piena circolarità l’intera base clienti, non era infatti adeguatamente bilanciato da controlli idonei a prevenire e individuare accessi non giustificati.

Ulteriori criticità sono emerse nella gestione del data breach. La notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione agli interessati, avvenuta solo a seguito di un precedente provvedimento del Garante del 2 novembre 2024 (doc. web n. 10070521). Tali condotte hanno compromesso la possibilità di un tempestivo intervento dell’Autorità a tutela dei diritti e delle libertà delle persone coinvolte.

Alla luce delle violazioni riscontrate, il Garante ha ritenuto illecita la condotta posta in essere da Intesa Sanpaolo.

Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto della gravità e della durata delle violazioni, dell’elevato numero di clienti coinvolti, nonché delle misure correttive adottate dall’istituto successivamente ai fatti, finalizzate al rafforzamento dei sistemi di controllo interno e dei presidi di sicurezza.

Roma, 30 marzo 2026

Scheda

Doc-Web
10235001

Data
30/03/26

Argomenti

Banche credito e finanza Misure di sicurezza Data breach

Tipologie

Comunicato stampa

Documenti citati

Vedi anche (2)

Named provisions

Article 32 GDPR - Security of Processing Data Breach Notification Requirements

Related changes

Favicon for www.gpdp.it Garante Privacy Fines Enel Energia Over €500k for Telemarketing Violations
Priority review Mar 26, 2026 Garante Privacy News Data Privacy & Cybersecurity
Favicon for www.gpdp.it European Data Protection Authorities Focus on Transparency Obligations
Priority review Mar 20, 2026 Garante Privacy News Data Privacy & Cybersecurity
Favicon for www.gpdp.it Garante Privacy Fines Acea Energia €2 Million for Unauthorized Contracts
Urgent Mar 13, 2026 Garante Privacy News Data Privacy & Cybersecurity
Favicon for www.gao.gov DOL urged to issue clearer retirement plan data privacy guidance
Routine Mar 30, 2026 GAO Reports Government & Legislation
Favicon for www.mass.gov Dubroff, Easley & Lovell LLP Security Incident Notification
Priority review Mar 28, 2026 Massachusetts - Breach Notification Letters (Mar 2026) Data Privacy & Cybersecurity
Favicon for www.mass.gov LanguageLine Solutions Data Breach Notification
Priority review Mar 28, 2026 Massachusetts - Breach Notification Letters (Mar 2026) Data Privacy & Cybersecurity

Source

Favicon for www.gpdp.it
Garante Privacy News gpdp.it/o/gpdp-rss/rss?t=news
Data Privacy & Cybersecurity
Analysis generated by AI. Source diff and links are from the original.

Classification

Agency
Garante Privacy
Filed
November 5th, 2024
Instrument
Enforcement
Legal weight
Binding
Stage
Final
Change scope
Substantive
Document ID
docweb 10235001

Who this affects

Applies to
Banks Consumers
Industry sector
5221 Commercial Banking
Activity scope
Data Breach Notification Customer Data Access Controls Banking Information Security
Geographic scope
IT IT

Taxonomy

Primary area
Data Privacy
Operational domain
Compliance
Compliance frameworks
GDPR
Topics
Banking Cybersecurity Consumer Protection

Browse Categories

Agriculture & Food Safety 63 AI Regulation 3 Banking & Finance 266 Consumer & Competition 1 Consumer Protection 44 Courts & Legal 363 Data Privacy & Cybersecurity 75 Defense & National Security 52 Education 20 Energy 107 Environment 85 Government & Legislation 285 Healthcare 136 Housing 16 Immigration 9 Insurance 58 Labor & Employment 114 Legal & Courts 1 Pharma & Drug Safety 103 Securities & Markets 104 Tax 65 Tax & Revenue 1 Telecom & Technology 47 Trade & Sanctions 124 Transportation 57

Get Data Privacy & Cybersecurity alerts

Weekly digest. AI-summarized, no noise.

Free. Unsubscribe anytime.

Get alerts for this source

We'll email you when Garante Privacy News publishes new changes.

Optional. Personalizes your daily digest.

Free. Unsubscribe anytime.