Introduzione al caso
Un ex dipendente di Intesa Sanpaolo, Vincenzo Coviello, sarebbe entrato in possesso di dati sensibili relativi a transazioni finanziarie di numerosi esponenti del mondo politico e sociale, ma non solo. Tra i 3572 clienti vittime della curiosità di Coviello si annoverano personaggi di rilievo quali la premier Giorgia Meloni, il ministro Guido Crosetto, il presidente del Senato Ignazio La Russa, così come figure appartenenti al mondo dello spettacolo come Francesco Totti, Al Bano e Paolo Bonolis, ma anche nomi di spicco del mondo imprenditoriale quali i membri della famiglia Elkann e Berlusconi, e persino alti ufficiali e magistrati. Gli accessi abusivi, che ammontano a oltre 6.600 interventi illeciti, sono stati effettuati non solo all’interno della stessa Intesa Sanpaolo, ma hanno toccato anche clienti di spicco in altri importanti istituti bancari. Il caso ha suscitato significative preoccupazioni circa l’integrità del sistema relativo alla sicurezza delle informazioni sensibili, sollevando pressanti interrogativi circa l’efficacia dei meccanismi di tutela adottati dagli istituti finanziari.
Le implicazioni per Intesa Sanpaolo
La vicenda presenta implicazioni che trascendono il solo impatto mediatico, ponendo Intesa Sanpaolo in una situazione complessa, caratterizzata da un rilevante danno reputazionale e dal rischio di conseguenze operative significative. Non si tratta solo di un problema d’immagine, ma si prospettano potenziali azioni risarcitorie collettive. Le ricadute potrebbero comportare perdite economiche dirette e indirette ingenti a seconda del riverbero della questione sullafiducia di clienti e investitori.
La cronistoria dell’accaduto
A partire dal 21 febbraio 2022, Vincenzo Coviello ha intrapreso un’attività di accesso non autorizzato a numerosi conti bancari, coinvolgendo in particolare 3.572 clienti, tra cui numerosi esponenti pubblici e istituzionali, per un totale di circa 6.637 accessi illeciti sparsi su 679 filiali, per come rilevato dalle indagini. Tale condotta si è protratta continuativamente fino all’ottobre 2023, quando il sistema di alert di Intesa Sanpaolo ha individuato una serie di interrogazioni sospette, con particolare riguardo alle carte di credito di alcuni clienti. La banca ha inizialmente attribuito tali anomalie a presunti errori procedurali da parte di Coviello, il quale giustificò gli accessi come involontari.
Tuttavia, una revisione successiva e più estesa dell’attività da parte della direzione di Internal Auditing, ha confermato il sospetto di violazioni sistematiche. Nel luglio 2024, un cliente ha formalizzato una denuncia dopo aver riscontrato accessi insoliti al proprio conto, rilevati su avviso di un dipendente della filiale. In realtà, come detto in precedenza, Intesa Sanpaolo già da alcuni mesi era risalita al presunto responsabile, a cui aveva chiesto conto delle violazioni. A seguito di tale segnalazione il licenziamento definitivo è stato formalizzato l’8 agosto, motivato dalla violazione diregolamenti e procedure.
Dettagli sull’imputazione di Coviello
La Procura di Bari ha avviato l'indagine solamente in seguito alla querela del correntista Antonio Moschetta, presentata il 22 luglio 2024. Le accuse al momento sono quelle di accesso abusivo ai sistemi informatici e tentato procacciamento di notizie concernenti la sicurezza dello Stato. Risulta ancora da chiarire tuttavia se Coviello abbia agito per mero interesse personale e privo di intenti malevoli, come da lui affermato, o se, come suggerito nel decreto di sequestro, si tratti di un disegno più ampio in coordinamento con altri soggetti. La motivazione secondo i pm sarebbe stata quella di «procurare a sé e/o ad altri notizie che, nell’interesse della sicurezza dello Stato o, comunque, nell’interesse politico, interno o internazionale, dello Stato dovevano rimanere segrete».
L’indagine nei confronti di Intesa Sanpaolo
La Procura di Bari e il Garante della Privacy hanno richiesto a Intesa Sanpaolo chiarimenti sulla gestione della violazione dei dati di migliaia di clienti. Sebbene la banca abbia finora attribuito quanto accaduto esclusivamente a Vincenzo Coviello, permangono dubbi sull’eventuale corresponsabilità dell’istituto, in particolare in merito alla tempestività della denuncia degli accessi non autorizzati e la conformità con la normativa in merito.
Nel marzo del 2024 l’ufficio interno preposto all’analisi degli alert ha esaminato tutti gli accessi fatti dal bancario partendo dalla possibile violazione di ottobre, scoprendo così il quadro degli accessi illegittimi: la sospensione del dipendente è stata poi disposta solamente ad aprile. Nella lettera di contestazione in vista del licenziamento, la banca ha attestato che il direttore della filiale di Bisceglie fosse a conoscenza delle violazioni già dall’ottobre del 2023. Intesa Sanpaolo, tuttavia, ha notificato formalmente l’accaduto al Garante della Privacy il 17 luglio 2023, circa quattro mesi dopo l’avvio delle indagini, mentre il limite temporale imposto dal GPDR è di 72 ore dalla scoperta.
Gli inquirenti hanno quindi aperto un fascicolo a carico di Intesa Sanpaolo per presunta violazione della legge n. 231/2001 sulla responsabilità amministrativa delle persone giuridiche, che stabilisce la co-responsabilità dell'ente per reati commessi dai propri dipendenti nell’esercizio delle loro funzioni. In questo caso, si contesta alla banca di non aver segnalato tempestivamente all’autorità giudiziaria la possibile commissione di un reato da parte di un proprio dipendente, anche dopo la sua sospensione a seguito di indagine disciplinare interna.
Inoltre, è stato evidenziato che Intesa Sanpaolo non disponesse di misure dedicate specificamente alla gestione dei conti delle persone politicamente esposte (PEP), prassi adottata in altre grandi banche per monitorare in modo più stringente i profili ad alto rischio. La banca, tuttavia, ha dichiarato di avere un sistema di sicurezza adeguato (in quanto le PEP non costituiscono una categoria prevista dalla normativa) e di considerarsi parte lesa in questo caso, affermando di aver rispettato i tempi di notifica della violazione, giustificandoli come "resi possibili da un processo esteso e accurato". Gli avvocati dell’istituto hanno infatti già garantito piena collaborazione con le autorità, incontrando il procuratore di Bari Roberto Rossi.
Il ruolo del Garante della Privacy
Il provvedimento del 12 maggio 2011 del Garante della Privacy ha imposto alle banche obblighi specifici in merito allaprotezione dei dati dei clienti, come parte delle misure necessarie a prevenire accessi illeciti o usi impropri delle informazioni finanziarie.
Il regolamento, elaborato a partire da rilevazioni che indicavano la frequenza di accessi indebiti ai dati sensibili, stabilisce tre disposizioni fondamentali per garantire la sicurezza: il tracciamento degli accessi tramite file di log, la conservazione dei log per almeno 24 mesi al fine di analizzarli e l’implementazione di sistemi di alert per rilevare accessi intrusivi ai dati bancari.
Secondo quanto disposto dal Regolamento Generale sulla Protezione dei Dati, le violazioni della privacy possono essere classificate in tre tipologie: della riservatezza, dell’integrità e della disponibilità. Sulla base di ognuna, il Garante della privacy può prescrivere misure correttive valutando l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati violati. Le sanzioni pecuniare previste variano a seconda della violazione. Nel caso delleimprese ammontano fino al 2% del fatturato globale o fino a 10 milioni di euro (il maggiore dei due) per violazioni minori, come l’inadeguata gestione della sicurezza o il mancato aggiornamento del registro dei trattamenti. Per infrazioni più gravi, come la violazione dei diritti fondamentali degli interessati o la mancata protezione dei dati sensibili, si parla di sanzioni che ammontano fino al 4% del fatturato globale o fino a 20 milioni di euro (il maggiore dei due).
Le conseguenze legali e i costi
Dal punto di vista giuridico, Intesa Sanpaolo potrebbe essere soggetta a sanzioni di rilievo per presunte violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR) del 2018, che prevede ammende fino al 4% del fatturato globale per infrazioni della privacy di particolare gravità. La misura potrebbe tradursi in una penalità sostanziale, considerata la dimensione economica dell’istituto bancario. Inoltre, la banca potrebbe doversi difendere in sede civile da azioni collettive promosse dai clienti danneggiati al fine di richiedere risarcimenti. Tale risposta sarebbe in linea con le direttive europee e le aspettative di vigilanza della Banca d’Italia, che esige un adeguato monitoraggio del rischio informatico. La portata delle sanzioni dipenderà dagli esiti delle indagini in corso, ma il caso potrebbe costituire un precedente per il settore bancario europeo, incentivando un ulteriore rafforzamento delle misure di sicurezza perprevenire episodi analoghi
Le misure di risposta e la nomina di un Chief Security Officer
Intesa Sanpaolo ha stanziato investimenti considerevoli in ambito cyber security, destinando oltre 20 milioni di euro nel 2022 a iniziative e collaborazioni strategiche. Attraverso Neva SGR, la banca ha stretto partnership con aziende specializzate come Cyber Int, che si occupa di protezione dai rischi digitali e intelligence delle minacce, e Coro, nota per l’utilizzo di intelligenza artificiale nella mitigazione automatizzata dei rischi informatici. Ciononostante, l'accesso non autorizzato ai conti correnti da parte dell'ex dipendente Vincenzo Coviello ha messo in luce falle che vanno oltre la sfera tecnologica ma che coinvolgono la gestione e la sicurezza interne.
Tra le iniziative principali in risposta, l'istituto ha creato una nuova Area di Governo denominata "Chief SecurityOfficer" (CSO), adibita alla sicurezza fisica, informatica, e della continuità operativa. Questo nuovo reparto, che risponde direttamente all'Amministratore Delegato Carlo Messina, è stato affidato ad Antonio De Vita, un ex Generale di Divisione con una vasta esperienza nelle operazioni di sicurezza e gestione delle risorse nell'Arma dei Carabinieri.T ale mossa intende consolidare un approccio integrato alla protezione dei dati e alla sicurezza operativa, mitigando i rischi sia reputazionali che finanziari.
Come è potuto accadere?
L’accesso ai dati sensibili dei clienti all'interno di Intesa Sanpaolo è regolato da un sistema rigoroso di autorizzazioni noto come "segregazione dei ruoli". In virtù di tale principio, i dipendenti possono visualizzare solo le informazioni necessarie per l'esecuzione delle loro specifiche mansioni, con limitazioni basate sulla loro posizione e responsabilità. In teoria, tale sistema garantisce che l'accesso ai dati sia adeguatamente circoscritto, riducendo al minimo i rischi di violazione della privacy.
In veste di gestore presso la Direzione Agribusiness, Vincenzo Coviello disponeva di accesso a conti correnti di clienti distribuiti in diverse filiali sul territorio nazionale. Tale accesso era reso possibile dalla specifica configurazione operativa di Agribusiness, un settore pensato per fornire supporto a una clientela diffusa su scala nazionale. Nonostante ciò, l'accessibilità tecnica di Coviello non implica la legittimità di un uso indiscriminato dei dati. Il regolamento interno impone che qualsiasi interazione con i conti correnti sia giustificata da una richiesta esplicita del cliente, come un prelievo o una consultazione dell'estratto conto. In caso di accessi non autorizzati, i sistemi di sicurezza dovrebbero generare alert interni per segnalare possibiliviolazioni.
Dopo la vicenda, Intesa Sanpaolo ha avviato una revisione approfondita delle proprie procedure e del sistema disegregazione dei ruoli per prevenire ulteriori abusi.
Il commento della premier Meloni
La Presidente del Consiglio Meloni, vittima insieme a sua sorella Arianna Meloni e l'ex compagno Andrea Giambruno, ha commentato con queste parole l'accaduto alla trasmissione Porta a Porta: "Esiste un mercato delle informazioni, come si rubavano i gioielli, oggi accade con le informazioni. Prima in banca, poi a Milano, poi a Roma…. Avevamo già varato un tavolo, ma la cosa più importante è l'infedeltà dei funzionari, non sono degli estranei, ma funzionari italiani che usano il loro potere per fare altro con quelle banche dati, il problema non è l'hackeraggio", e poi, "Sulla vicenda dei dossieraggi mi aspetto che la magistratura vada fino in fondo, perché, nella migliore delle ipotesi, alla base di questo lavoro c'era un sistema di ricatto ed estorsione, ma nella peggiore siamo davanti al reato di eversione. Nessuno Stato di diritto può tollerare una cosa del genere".
Un caso isolato o una vulnerabilità sistemica?
Il caso di Intesa Sanpaolo si inserisce in un contesto più ampio di scandali bancari internazionali. Eventi simili hanno più volte evidenziato la vulnerabilità delle istituzioni finanziarie rispetto all’argomento. Un esempio emblematico è il caso dell’HSBC Data Breach del 2008 in cui un ex dipendente della filiale svizzera della banca rubò dati sensibili di circa 100.000 clienti e li consegnò alle autorità francesi. Un altro precedente è quello dell’Equifax Data Breach del 2017, in cui una delle maggiori agenzie di credito statunitensi subì una delle più gravi violazioni dei dati personali mai registrate, con informazioni sensibili di 147 milioni di persone esposte. La crescente sofisticazione della minaccia informatica ha suscitato reazioni procedurali interne agli istituti e regolamentazioni normative esterne da parte dei governi. Viene tuttavia spontaneo domandarsi, in veste di clienti e di cittadini, è davvero possibile garantire la privacy? O meglio, è possibile parlare ancora di privacy?
Comments