يعمل إجراء Garante في مارس 2026 على تحويل حادثة Intesa Sanpaolo الداخلية إلى إشارة حوكمة للقطاع المصرفي الأوروبي. قالت الهيئة التنظيمية إن موظفًا اطلع على معلومات مصرفية لـ 3,573 عميلًا، وأجرى أكثر من 6,600 استشارة بين 21 فبراير 2022 و24 أبريل 2024 دون مبرر. لم يظهر الوصول على أنه اختراق خارجي؛ بل كان إساءة استخدام للوصول الداخلي داخل بنك كبير.
هذا التمييز هو سبب أهمية العقوبة. ركزت Garante على نموذج الرقابة حول الوصول القانوني، وليس فقط على ما إذا كانت البيانات قد غادرت البنك. قال بيانها الصحفي إن عمليات الوصول غير المشروعة لم يتم اكتشافها بواسطة أنظمة الرقابة الداخلية وكشفت عن نقاط ضعف كبيرة في المراقبة والوقاية. ربط القرار الرسمي القضية بالنزاهة والسرية والمساءلة وأمن المعالجة والإخطار بالاختراق والتواصل مع المتضررين بموجب المواد 5 و24 و32 و33 و34 من اللائحة العامة لحماية البيانات.
سطح التأثير أوسع من رقم 31.8 مليون يورو. وصفت الهيئة التنظيمية الوصول إلى عملاء عاليي المخاطر، بما في ذلك أشخاص ذوو أدوار عامة بارزة، والذين كان ينبغي أن توجد حمايات أقوى لهم. يسجل القرار أيضًا برنامج البنك اللاحق لتعزيز الحماية لعملاء حساسين محددين، وتعزيز التصريح المسبق والضوابط اللاحقة، وإدخال إخفاء البيانات الديناميكي. تكشف نقاط المعالجة هذه عن سطح التحكم: من يمكنه الاستعلام عن سجلات العملاء، وكيف يتم اكتشاف الوصول غير المعتاد، ومتى يتم التصعيد ومتى يتم إبلاغ العملاء المتأثرين.
Intesa Sanpaolo ليست هدفًا صغيرًا. تصف المجموعة نفسها بأنها واحدة من أكبر المجموعات المصرفية في أوروبا والرائدة في إيطاليا في مجالات التجزئة والشركات وإدارة الثروات، وتخدم حوالي 14 مليون عميل في إيطاليا. بالنسبة لمؤسسة بهذا الحجم، فإن مراقبة الوصول الداخلي هي جوهر المرونة التشغيلية. ينبغي تتبع الحدث لمعرفة ما إذا كانت ضوابط البنك بعد الحادثة ستقلل من الفضول المتميز، وما إذا كانت إجراءات الاستئناف ستغير العقوبة، وما إذا كان المشرفون الأوروبيون الآخرون سيستخدمون القضية كمعيار لحوكمة الوصول المصرفي.

