L'action de la Garante de mars 2026 transforme l'incident interne d'Intesa Sanpaolo en un signal de gouvernance pour le secteur bancaire européen. Le régulateur a déclaré qu'un employé avait accédé aux informations bancaires de 3 573 clients, effectuant plus de 6 600 consultations entre le 21 février 2022 et le 24 avril 2024 sans raison justifiée. L'accès ne se présentait pas comme une intrusion externe; il s'agissait d'un usage abusif d'un accès interne au sein d'une grande banque.
Cette distinction est la raison pour laquelle la sanction est importante. La Garante s'est concentrée sur le modèle de contrôle autour de l'accès légitime, et pas seulement sur la question de savoir si les données avaient quitté la banque. Son communiqué de presse indiquait que les accès inappropriés n'avaient pas été détectés par les systèmes de contrôle interne et révélaient des faiblesses significatives dans la surveillance et la prévention.
La décision formelle a relié l'affaire aux principes d'intégrité, de confidentialité, de responsabilité, de sécurité du traitement, de notification de violation et de communication aux personnes concernées, en vertu des articles 5, 24, 32, 33 et 34 du RGPD.
La surface d'impact est plus large que le montant de 31,8 millions d'euros. Le régulateur a décrit l'accès à des clients à haut risque, y compris des personnes occupant des fonctions publiques importantes, pour lesquels des protections renforcées auraient dû exister. La décision mentionne également le programme ultérieur de la banque visant à renforcer les protections pour certains clients sensibles, à renforcer l'autorisation ex ante et les contrôles ex post, et à introduire un masquage dynamique des données.
Ces points de remédiation révèlent la surface de contrôle: qui peut interroger quels dossiers clients, comment les accès inhabituels sont détectés, quand cela escalade et quand les clients concernés sont informés.
Intesa Sanpaolo n'est pas une petite cible. Le groupe se décrit comme l'un des principaux groupes bancaires européens et le leader italien dans les activités de détail, d'entreprise et de gestion de patrimoine, servant environ 14 millions de clients en Italie. Pour une institution de cette envergure, la surveillance des accès internes est au cœur de la résilience opérationnelle.
Il convient de suivre l'événement pour voir si les contrôles post-incident de la banque réduisent la curiosité privilégiée, si les procédures d'appel modifient la sanction et si d'autres superviseurs européens utilisent l'affaire comme une référence pour la gouvernance des accès bancaires.

