Italian Privacy Authority Fines Intesa Sanpaolo €17.6 Million

Detected March 13th, 2026

Summary

The Italian Privacy Authority has fined Intesa Sanpaolo €17.6 million for unlawfully processing the data of approximately 2.4 million customers. The fine stems from the transfer of customer data to its wholly-owned subsidiary, Isybank, as part of a corporate operation.

View original document View source feed page

What changed

The Italian Privacy Authority (Garante per la protezione dei dati personali) has imposed a fine of €17.6 million on Intesa Sanpaolo S.p.A. This enforcement action is due to the unlawful processing of personal data concerning approximately 2.4 million customers whose data was unilaterally transferred to Isybank S.p.A., a wholly-owned digital bank subsidiary. The investigation was initiated following numerous complaints from account holders.

This action highlights the critical importance of lawful data processing and consent, particularly during corporate restructuring or data transfers between entities. Regulated entities, especially in the financial sector, must ensure robust data protection measures are in place and that customer data is handled in compliance with privacy regulations. Failure to do so can result in significant financial penalties and reputational damage. While no specific compliance deadline is mentioned for Intesa Sanpaolo's remediation, the fine itself underscores the consequences of non-compliance.

What to do next

Review data transfer policies and procedures for compliance with Italian privacy law.
Assess consent mechanisms for customer data processing, especially during corporate operations.
Consult legal counsel regarding potential implications for data handling practices.

Penalties

€17.6 million fine

Source document (simplified)

g-docweb-display Portlet

Home
Stampa e comunicazione
Comunicato stampa
COMUNICATO STAMPA - Garante privacy sanziona Intesa Sanpaolo per 17,6 milioni di euro. 2,4 milioni di clienti profilati nell’ambito di una operazione societaria

COMUNICATO STAMPA - Garante privacy sanziona Intesa Sanpaolo per 17,6 milioni di euro. 2,4 milioni di clienti profilati nell’ambito di una operazione societaria

Ascolta
-
Stampa Stampa
-
Trasforma contenuto in PDF
- e-mail
- facebook
- linkedin
- twitter
Ascolta
Stampa Stampa
Trasforma contenuto in PDF
Condividi
- e-mail
- facebook
- linkedin
- twitter
Garante privacy sanziona Intesa Sanpaolo per 17,6 milioni di euro
2,4 milioni di clienti profilati nell’ambito di una operazione societaria

Una sanzione di 17.628.000 euro è stata irrogata dal Garante privacy a Intesa Sanpaolo Spa per aver trattato in modo illecito i dati di circa 2,4 milioni di clienti trasferiti, unilateralmente alla controllata al 100% Isybank Spa, banca interamente digitale.

Con il provvedimento odierno si chiude un’indagine complessa, avviata a seguito di numerose segnalazioni di correntisti.

Gravi le violazioni emerse nel corso dell’istruttoria del Garante.

Per individuare tra i propri clienti quelli da trasferire nella neo-istituita Isybank, Intesa Sanpaolo ha effettuato, senza un’idonea base giuridica, una profilazione della clientela.

In particolare, sono stati selezionati i clienti che presentavano determinate caratteristiche, tra cui: età non superiore a 65 anni, utilizzo abituale dei canali digitali nell’ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie inferiori a una certa soglia.

Un’operazione che ha inciso in modo significativo sulla loro posizione, poiché ha comportato il trasferimento dei rapporti a un diverso titolare del trattamento, con conseguente modifica unilaterale delle condizioni contrattuali e delle modalità operative del conto corrente rispetto a quelle originariamente previste (ad es., attribuzione di un nuovo iban e conseguente necessità di doverlo comunicare a terzi; mancanza di sportelli fisici e accesso esclusivo tramite app).

Sono risultate altresì carenti le comunicazioni trasmesse ai clienti per informarli di questa operazione, inviate, per lo più, in coincidenza del periodo estivo, nella sezione archivio dell’app di Intesa Sanpaolo, senza dare loro la necessaria evidenza che la straordinarietà dell’operazione avrebbe richiesto (ad es., attraverso notifiche push o sms).

Secondo il Garante, il trattamento effettuato dalla banca con le modalità descritte nel provvedimento risulta illecito, anche perché il cliente non poteva ragionevolmente prevederlo sulla base del contesto e delle informazioni ricevute.

Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto della rilevanza delle violazioni, dell’elevato numero di clienti coinvolti ma anche del carattere colposo delle trasgressioni e della collaborazione prestata dalla banca.

Roma, 12 marzo 2026