Intesa Sanpaolo dostala od italského Garante rekordní pokutu za neoprávněný přístup zaměstnance k datům klientů
Italský dozorový úřad pro ochranu osobních údajů (Garante) uložil bance Intesa Sanpaolo pokutu 31,8 milionu eur – jednu z nejvyšších v historii úřadu.
Podle rozhodnutí ze 26. března 2026 zaměstnanec banky neoprávněně přistupoval k údajům 3 573 klientů po dobu více než dvou let (únor 2022 – duben 2024). Celkem evidoval přes 6 600 neoprávněných nahlédnutí. Mezi postiženými byli i veřejně exponovaní klienti (politici a významní podnikatelé).
Hlavní pochybení banky:
- Zaměstnanci měli přístup prakticky k celé databázi klientů bez dostatečného omezení podle pracovní role (tzv. „plná cirkulárnost“).
- Systém dva roky nedetekoval výrazně nadprůměrný počet přístupů jednoho uživatele.
- Banka incident nejprve hlásila jako týkající se pouze devíti osob a informovala klienty až s velkým zpožděním.
Garante shledal porušení hned šesti článků GDPR, zejména zásady integrity a důvěrnosti, odpovědnosti správce, bezpečnostních opatření (čl. 32) a povinností hlásit porušení úřadu i dotčeným osobám.
Význam případu
Případ ukazuje, jak nebezpečné jsou systémové mezery v řízení přístupových práv, zejména ve finančním sektoru. I velká banka s dlouholetými zkušenostmi s regulací může mít dlouhodobě nedostatečně nastavené kontroly.
Pro praxi:
- Princip nejmenšího oprávnění (least privilege) musí být skutečně vymahatelný technicky, nejen formálně.
- Průběžné monitorování anomálií v přístupech je nezbytné.
- Incidenty je nutné hlásit rychle a v plném rozsahu.
Další články
Chat Control: Dočasné nařízení pro skenování CSAM vypršelo, tech firmy pokračují v šedé zóně
APT28 (GRU) masivně zneužíval routery TP-Link ke globální kyberspionáži
