2026 年 3 月,Garante 的行动将 Intesa Sanpaolo 的内部事件转化为欧洲银行业的一个治理信号。监管机构表示,一名员工在无正当理由的情况下,于 2022 年 2 月 21 日至 2024 年 4 月 24 日期间访问了 3,573 名客户的银行信息,进行了超过 6,600 次查询。该访问并非外部入侵;它是在一家大型银行内部对内部访问权限的滥用。
这一区别正是处罚的关键所在。Garante 关注的是围绕合法访问的控制模型,而不仅仅是数据是否离开银行。其新闻稿称,内部控制系统未能检测到不当访问,暴露了监控和预防方面的重大缺陷。正式决定将该案与 GDPR 第 5、24、32、33 和 34 条规定的完整性、机密性、问责制、处理安全性、泄露通知及与受影响人员的沟通联系起来。
影响面比 3180 万欧元这个数字更广。监管机构描述了访问高风险客户的情况,包括担任重要公共职务的人员,对这些人员本应有更强有力的保护。决定还记录了该行后来的计划:加强对特定敏感客户的保护,强化事前授权和事后控制,并引入动态数据脱敏。这些整改要点揭示了控制面:谁可以查询哪些客户记录,如何检测异常访问,何时上报以及何时告知受影响客户。
Intesa Sanpaolo 并非小目标。该集团自称是欧洲顶级银行集团之一,在意大利的零售、企业和财富管理业务中处于领先地位,为约 1400 万意大利客户提供服务。对于如此规模的机构,内部访问监控是核心运营韧性的组成部分。应关注该事件:该行事后控制措施是否减少了特权好奇心,上诉程序是否会改变制裁,以及其他欧洲监管机构是否会以此案作为银行访问治理的基准。

