Italia multa a Intesa Sanpaolo con 31,8 millones de euros por violación de datos interna

Italy's EUR31.8 million sanction against Intesa Sanpaolo is an insider-access control event, not just a privacy headline. The Garante found that a bank employee accessed banking information for thousands of customers over more than two years, including high-risk clients, while the bank's monitoring model did not detect the pattern quickly enough and later notifications understated the breach. The strategic signal is that banking privacy enforcement is moving from breach reporting into the design of internal query rights, monitoring thresholds, escalation and customer communication.

La acción del Garante de marzo de 2026 convierte el incidente interno de Intesa Sanpaolo en una señal de gobernanza para la banca europea. El regulador afirmó que un empleado accedió a información bancaria de 3.573 clientes, realizando más de 6.600 consultas entre el 21 de febrero de 2022 y el 24 de abril de 2024 sin motivo justificado. El acceso no se presentó como una intrusión externa, sino como un uso indebido del acceso interno dentro de un gran banco. Ver también: Elon Musk demanda a OpenAI por presunta desviación de su misión hacia el lucro.

Esa distinción es la razón por la que la sanción es relevante. El Garante se centró en el modelo de control sobre el acceso legítimo, no solo en si los datos salieron del banco. Su comunicado de prensa señaló que los accesos indebidos no fueron detectados por los sistemas de control interno y expusieron debilidades significativas en la supervisión y la prevención. La decisión formal vinculó el caso con la integridad, la confidencialidad, la responsabilidad, la seguridad del tratamiento, la notificación de violaciones de seguridad y la comunicación a los afectados según los artículos 5, 24, 32, 33 y 34 del RGPD. Ver también: SolarWinds logra desestimación parcial en caso de fraude de la SEC.

La superficie de impacto es más amplia que la cifra de 31,8 millones de euros. El regulador describió el acceso a clientes de alto riesgo, incluidas personas con funciones públicas destacadas, para quienes deberían haber existido protecciones más sólidas. La decisión también recoge el programa posterior del banco para reforzar las protecciones de determinados clientes sensibles, fortalecer la autorización ex ante y los controles ex post, e introducir el enmascaramiento dinámico de datos. Estos puntos de remediación revelan la superficie de control: quién puede consultar qué registros de clientes, cómo se detecta el acceso inusual, cuándo se escala y cuándo se informa a los clientes afectados. Ver también: La fintech de carga Solvento consigue 12,5 millones de dólares para su expansión en EE. UU..

Intesa Sanpaolo no es un objetivo pequeño. El grupo se describe a sí mismo como uno de los principales grupos bancarios de Europa y líder en Italia en negocios minoristas, corporativos y de gestión de patrimonios, atendiendo a unos 14 millones de clientes en Italia. Para una institución de esa escala, la supervisión del acceso interno es un elemento central de la resiliencia operativa. Debe hacerse un seguimiento del evento para comprobar si los controles posteriores al incidente del banco reducen la curiosidad privilegiada, si los procedimientos de apelación modifican la sanción y si otros supervisores europeos utilizan el caso como referencia para la gobernanza del acceso bancario. Ver también: ARIN lanza consulta sobre mejoras en Reg-RWS.