La sanzione amministrativa pecuniaria di 31,8 milioni di euro irrogata dal Garante per la protezione dei dati personali nei confronti di Intesa Sanpaolo – resa pubblica con comunicato doc. web n. 10235001 – costituisce uno dei provvedimenti più rilevanti nel panorama applicativo nazionale del Regolamento (UE) 2016/679, non soltanto per l’entità economica, ma per l’impostazione giuridica che emerge dall’analisi del caso.
La vicenda offre infatti un’occasione particolarmente significativa per approfondire il tema, ormai centrale nella prassi, della responsabilità del titolare in relazione agli accessi interni ai dati personali, nonché per chiarire i confini applicativi degli articoli 5, 24, 25 e 32 GDPR in contesti organizzativi complessi, quali quelli bancari. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon. Abbiamo anche organizzato il corso “Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati”
Indice
- 1. I fatti: accessi indebiti sistematici e protratti nel tempo
- 2. La qualificazione giuridica: violazione dell’art. 32 GDPR e dell’accountability
- 3. La violazione dei principi di cui all’art. 5 GDPR
- 4. Privacy by design e by default: il ruolo dell’art. 25 GDPR
- 5. Il data breach come fenomeno interno: superamento della narrativa “esterna”
- 6. I criteri di quantificazione della sanzione (art. 83 GDPR)
- 7. Implicazioni operative: cosa cambia per le organizzazioni
- 8. Considerazioni conclusive
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. I fatti: accessi indebiti sistematici e protratti nel tempo
Dall’istruttoria dell’Autorità emerge che, per un arco temporale superiore a due anni, si sono verificati accessi non autorizzati ai dati bancari di oltre 3.500 clienti. Tali accessi sono stati effettuati da personale interno, in assenza di una giustificazione operativa coerente con le mansioni assegnate.
Non si tratta, dunque, di un evento isolato o accidentale, ma di una serie di condotte reiterate, rese possibili da un sistema di controllo degli accessi rivelatosi inadeguato sotto il profilo sia tecnico sia organizzativo.
L’elemento temporale assume, nella valutazione del Garante, un rilievo decisivo: la durata pluriennale della violazione evidenzia non solo una falla nei presidi di sicurezza, ma una vera e propria carenza strutturale nei meccanismi di governance del dato. In materia, abbiamo pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. La qualificazione giuridica: violazione dell’art. 32 GDPR e dell’accountability
Il fulcro del provvedimento risiede nella contestazione della violazione dell’art. 32 GDPR, che impone al titolare e al responsabile del trattamento di adottare misure tecniche e organizzative adeguate al rischio.
Nel caso di specie, l’Autorità ha ritenuto che:
- i sistemi di autorizzazione e profilazione degli accessi non fossero adeguatamente calibrati;
- mancassero controlli efficaci e tempestivi sugli accessi effettuati;
- non fosse implementato un sistema di audit interno idoneo a rilevare anomalie significative.
Ne deriva una lettura particolarmente rigorosa del principio di accountability ex art. 24 GDPR, inteso non come obbligo meramente formale, ma come dovere sostanziale di presidio continuo e verificabile dell’intero ciclo di trattamento.
In questa prospettiva, la responsabilità del titolare non viene attenuata dalla circostanza che gli accessi siano stati materialmente effettuati da dipendenti: al contrario, proprio la dimensione interna del rischio rafforza l’esigenza di controllo.
3. La violazione dei principi di cui all’art. 5 GDPR
Il Garante individua altresì una violazione dei principi fondamentali del trattamento, in particolare:
- integrità e riservatezza (art. 5, par. 1, lett. f): i dati non sono stati protetti da accessi non autorizzati;
- limitazione delle finalità: gli accessi sono avvenuti per finalità estranee a quelle istituzionali;
- minimizzazione e necessità: il sistema non ha impedito la consultazione di dati non necessari rispetto alle funzioni svolte.
Ciò evidenzia come il mancato controllo degli accessi interni non sia una questione meramente tecnica, ma incida direttamente sulla legittimità stessa del trattamento.
4. Privacy by design e by default: il ruolo dell’art. 25 GDPR
Particolarmente rilevante è il richiamo implicito – ma chiaramente desumibile dal provvedimento – all’art. 25 GDPR.
Un sistema conforme al principio di privacy by design avrebbe dovuto:
- prevedere una profilazione granulare degli accessi;
- limitare ex ante la visibilità dei dati in funzione delle mansioni;
- integrare meccanismi automatici di alert e blocco in caso di comportamenti anomali.
La mancanza di tali accorgimenti dimostra che la protezione dei dati non era stata integrata “fin dalla progettazione”, ma trattata come elemento accessorio.
5. Il data breach come fenomeno interno: superamento della narrativa “esterna”
Uno degli aspetti più significativi del provvedimento è il definitivo superamento della tradizionale rappresentazione del data breach come evento riconducibile ad attacchi esterni.
Il caso in esame dimostra che:
- il rischio principale può derivare da accessi legittimi sotto il profilo formale ma abusivi nella sostanza;
- la minaccia interna è spesso più difficile da individuare, in quanto si inserisce nei flussi ordinari di trattamento;
- i sistemi di sicurezza devono essere progettati non solo per prevenire intrusioni, ma per monitorare e limitare l’uso improprio delle credenziali autorizzate.
Si tratta di un passaggio culturale di rilievo, che incide direttamente sull’interpretazione dell’art. 32 GDPR.
6. I criteri di quantificazione della sanzione (art. 83 GDPR)
La sanzione di 31,8 milioni di euro trova giustificazione in una pluralità di fattori aggravanti:
- numero elevato di interessati coinvolti;
- durata pluriennale della violazione;
- natura dei dati trattati (informazioni bancarie);
- ruolo del titolare, operatore di primaria importanza nel sistema economico.
Il Garante valorizza, in particolare, il principio secondo cui i soggetti che trattano dati su larga scala e in settori sensibili sono tenuti a un livello di diligenza rafforzato.
La sanzione assume quindi una funzione non solo repressiva, ma anche deterrente e sistemica, in linea con l’impostazione europea.
7. Implicazioni operative: cosa cambia per le organizzazioni
Dal provvedimento emergono indicazioni operative di immediata rilevanza per imprese e pubbliche amministrazioni:
- necessità di audit periodici sugli accessi ai dati
Non è sufficiente tracciare gli accessi: occorre analizzarli sistematicamente. - adozione di sistemi di monitoraggio comportamentale (UEBA)
Strumenti in grado di rilevare pattern anomali anche in presenza di credenziali valide. - revisione continua dei profili autorizzativi
Il principio del “least privilege” deve essere applicato in modo dinamico. - formazione e accountability del personale
La componente umana resta centrale nella prevenzione degli abusi. - integrazione tra compliance privacy e sicurezza informatica
La separazione tra le due funzioni risulta ormai insostenibile.
8. Considerazioni conclusive
Il provvedimento del Garante nei confronti di Intesa Sanpaolo segna un punto fermo nell’interpretazione del GDPR: la protezione dei dati personali non può essere ridotta a un insieme di misure difensive contro minacce esterne, ma deve essere intesa come governo complessivo dell’accesso e dell’uso del dato all’interno dell’organizzazione.
L’elemento più rilevante non è tanto la presenza di accessi indebiti – fenomeno che, in contesti complessi, può difficilmente essere azzerato – quanto la mancanza di un sistema idoneo a prevenirli, individuarli e gestirli tempestivamente.
In questa prospettiva, il principio di accountability si conferma come asse portante dell’intero impianto regolatorio: non basta essere conformi, occorre dimostrare di aver costruito un sistema capace di reagire al rischio in modo proporzionato e continuo.
La decisione in esame rappresenta, dunque, un monito particolarmente chiaro: nei contesti ad alta intensità di dati, il vero presidio non è il firewall, ma la capacità organizzativa di controllare chi accede, perché accede e cosa fa con i dati.
Formazione in materia per professionisti
Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento