Venti giorni. È il tempo che il Garante della Privacy dà a Intesa Sanpaolo per informare i clienti coinvolti nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente bitontino della banca.
«L’Autorità – afferma il Garante in risposta ai chiarimenti dall’istituto di credito a seguito alla richiesta di informazioni – ritiene infatti, diversamente da quanto valutato dalla banca, che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale)».
In una nota del Garante della Privacy è spiegato che «il provvedimento si è reso necessario poiché nelle prime comunicazioni inviate dalla banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti».
Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, «ha inoltre ingiunto alla Banca di trasmettere all’Autorità, entro trenta giorni, un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto».
La replica della banca: «Già avviate le attività richieste dal Garante della Privacy»
Intesa Sanpaolo replica ribadendo il «valore prioritario che attribuisce all’assicurare il massimo livello di sicurezza per i dati dei propri clienti».
È questo lo «spirito» con cui, dicono dalla banca, sono stati «già introdotti ulteriori sistemi e processi di controllo e assicura la massima collaborazione alle autorità competenti, nella convinzione che, anche grazie a questa collaborazione, il livello di sicurezza possa ulteriormente migliorare. La banca conferma inoltre di aver già avviato le attività per rispondere alle richieste del Garante».
Intesa Sanpaolo ha potuto svolgere «ulteriori verifiche e analisi riguardo agli accessi ai dati di clienti effettuati da parte del dipendente, poi licenziato, da cui emerge che il numero di clienti interessati da accessi anomali è sensibilmente inferiore rispetto al numero sin qui diffuso dalla stampa».
La banca, inoltre, sottolinea che «era già stato verificato ed è tuttora confermato che non ci sono evidenze di trasferimento di dati all’esterno della banca, ed in particolare di comunicazioni a terzi, né di anomalia al sistema It, che non è stato impattato».
