La acción del Garante de marzo de 2026 convierte el incidente interno de Intesa Sanpaolo en una señal de gobernanza para la banca europea. El regulador afirmó que un empleado accedió a información bancaria de 3.573 clientes, realizando más de 6.600 consultas entre el 21 de febrero de 2022 y el 24 de abril de 2024 sin motivo justificado. El acceso no se presentó como una intrusión externa, sino como un uso indebido del acceso interno dentro de un gran banco.

Esa distinción es la razón por la que la sanción es relevante. El Garante se centró en el modelo de control sobre el acceso legítimo, no solo en si los datos salieron del banco. Su comunicado de prensa señaló que los accesos indebidos no fueron detectados por los sistemas de control interno y expusieron debilidades significativas en la supervisión y la prevención. La decisión formal vinculó el caso con la integridad, la confidencialidad, la responsabilidad, la seguridad del tratamiento, la notificación de violaciones de seguridad y la comunicación a los afectados según los artículos 5, 24, 32, 33 y 34 del RGPD.

La superficie de impacto es más amplia que la cifra de 31,8 millones de euros. El regulador describió el acceso a clientes de alto riesgo, incluidas personas con funciones públicas destacadas, para quienes deberían haber existido protecciones más sólidas. La decisión también recoge el programa posterior del banco para reforzar las protecciones de determinados clientes sensibles, fortalecer la autorización ex ante y los controles ex post, e introducir el enmascaramiento dinámico de datos.

Estos puntos de remediación revelan la superficie de control: quién puede consultar qué registros de clientes, cómo se detecta el acceso inusual, cuándo se escala y cuándo se informa a los clientes afectados.

Intesa Sanpaolo no es un objetivo pequeño. El grupo se describe a sí mismo como uno de los principales grupos bancarios de Europa y líder en Italia en negocios minoristas, corporativos y de gestión de patrimonios, atendiendo a unos 14 millones de clientes en Italia. Para una institución de esa escala, la supervisión del acceso interno es un elemento central de la resiliencia operativa.

Debe hacerse un seguimiento del evento para comprobar si los controles posteriores al incidente del banco reducen la curiosidad privilegiada, si los procedimientos de apelación modifican la sanción y si otros supervisores europeos utilizan el caso como referencia para la gobernanza del acceso bancario.