L'Italie inflige une amende de 31,8 M€ à Intesa Sanpaolo pour violation de données internes

Italy's EUR31.8 million sanction against Intesa Sanpaolo is an insider-access control event, not just a privacy headline. The Garante found that a bank employee accessed banking information for thousands of customers over more than two years, including high-risk clients, while the bank's monitoring model did not detect the pattern quickly enough and later notifications understated the breach. The strategic signal is that banking privacy enforcement is moving from breach reporting into the design of internal query rights, monitoring thresholds, escalation and customer communication.

L'action de la Garante de mars 2026 transforme l'incident interne d'Intesa Sanpaolo en un signal de gouvernance pour le secteur bancaire européen. Le régulateur a déclaré qu'un employé avait accédé aux informations bancaires de 3 573 clients, effectuant plus de 6 600 consultations entre le 21 février 2022 et le 24 avril 2024 sans raison justifiée. L'accès ne se présentait pas comme une intrusion externe; il s'agissait d'un usage abusif d'un accès interne au sein d'une grande banque. Voir aussi: L'avènement de l'IA a diminué la valeur et le statut des jeunes au travail, selon des rapports.

Cette distinction est la raison pour laquelle la sanction est importante. La Garante s'est concentrée sur le modèle de contrôle autour de l'accès légitime, et pas seulement sur la question de savoir si les données avaient quitté la banque. Son communiqué de presse indiquait que les accès inappropriés n'avaient pas été détectés par les systèmes de contrôle interne et révélaient des faiblesses significatives dans la surveillance et la prévention. La décision formelle a relié l'affaire aux principes d'intégrité, de confidentialité, de responsabilité, de sécurité du traitement, de notification de violation et de communication aux personnes concernées, en vertu des articles 5, 24, 32, 33 et 34 du RGPD. Voir aussi: L'acquisition de Subway par Roark Capital pour 7 milliards de dollars marque une nouvelle ère.

La surface d'impact est plus large que le montant de 31,8 millions d'euros. Le régulateur a décrit l'accès à des clients à haut risque, y compris des personnes occupant des fonctions publiques importantes, pour lesquels des protections renforcées auraient dû exister. La décision mentionne également le programme ultérieur de la banque visant à renforcer les protections pour certains clients sensibles, à renforcer l'autorisation ex ante et les contrôles ex post, et à introduire un masquage dynamique des données. Ces points de remédiation révèlent la surface de contrôle: qui peut interroger quels dossiers clients, comment les accès inhabituels sont détectés, quand cela escalade et quand les clients concernés sont informés. Voir aussi: Microsoft nomme le cofondateur de DeepMind, Mustafa Suleyman, PDG d'une nouvelle unité IA.

Intesa Sanpaolo n'est pas une petite cible. Le groupe se décrit comme l'un des principaux groupes bancaires européens et le leader italien dans les activités de détail, d'entreprise et de gestion de patrimoine, servant environ 14 millions de clients en Italie. Pour une institution de cette envergure, la surveillance des accès internes est au cœur de la résilience opérationnelle. Il convient de suivre l'événement pour voir si les contrôles post-incident de la banque réduisent la curiosité privilégiée, si les procédures d'appel modifient la sanction et si d'autres superviseurs européens utilisent l'affaire comme une référence pour la gouvernance des accès bancaires. Voir aussi: Threads d’Instagram déploie les sujets tendances pour tous les utilisateurs aux États-Unis.