Die italienische Datenschutzbehörde hatte ihre Untersuchung eingeleitet, nachdem Intesa Sanpaolo im Juli 2024 eine Datenpanne öffentlich gemacht hatte. Im Verlauf der Prüfung stellte sich heraus, dass ein Mitarbeiter zwischen Februar 2022 und April 2024 die Bankdaten von 3.573 Kundinnen und Kunden abgerufen hatte, ohne dafür einen berechtigten Grund zu haben.
Nach Darstellung der Behörde wurden diese unbefugten Zugriffe von den internen Kontrollsystemen nicht erkannt, was auf erhebliche Schwächen bei den Überwachungs- und Präventionsmechanismen hinweise. Das eingesetzte Betriebsmodell habe es Mitarbeitern erlaubt, den gesamten Kundenbestand uneingeschränkt abzufragen, ohne dass dies durch geeignete Kontrollen zur Verhinderung und Erkennung unbefugter Zugriffe ausreichend ausgeglichen worden sei.
Besonderes Gewicht legt die Behörde darauf, dass es sich bei den betroffenen Konten um als “hochriskant” eingestufte Kunden handelte, darunter bekannte Personen des öffentlichen Lebens. Für diese hätte Intesa Sanpaolo nach Auffassung der Aufsicht verstärkte Kontrollen vorsehen müssen.
Kritik äußerte die Behörde auch am Umgang der Bank mit der Datenpanne selbst. Die Benachrichtigungen an die betroffenen Kundinnen und Kunden seien unvollständig gewesen und erst nach den gesetzlich vorgeschriebenen Fristen erfolgt.
Die Höhe des Bußgeldes von 31,8 Millionen Euro bemisst sich laut Mitteilung der Behörde nach der Schwere und Dauer der Verstöße, der Zahl der betroffenen Kundinnen und Kunden sowie der Art und Weise, wie das Institut das Problem nach seiner Entdeckung behoben hat. Ein Sprecher von Intesa Sanpaolo wollte sich auf Anfrage nicht äußern.
