MILANO (Reuters) - Il Garante della Privacy ha dato a Intesa Sanpaolo (BIT:ISP) 20 giorni di tempo per informare tutti i clienti che sono stati coinvolti nella violazione dei dati personali e bancari avvenuti attraverso accessi indebiti di un dipendente della banca.
L'autorità ritiene infatti, diversamente da quanto valutato dalla banca, che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare, si legge in una nota.
Con un comunicato diffuso in serata Intesa ribadisce "il valore prioritario che attribuisce all'assicurare il massimo livello di sicurezza per i dati dei propri clienti" e afferma che ha già introdotto ulteriori sistemi e processi di controllo.
La banca assicura "la massima collaborazione alle Autorità competenti" e conferma "di aver già avviato le attività per rispondere alle richieste del Garante".
Il provvedimento - si legge nel comunicato del Garante - si è reso necessario poiché nelle prime comunicazioni inviate da Intesa al Garante non era stata adeguatamente messa in evidenza l'ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti.
Il Garante si riserva di valutare l'adeguatezza delle misure di sicurezza adottate nell'ambito di un'istruttoria tuttora in corso e ha inoltre ingiunto alla banca di trasmettere all'autorità, entro 30 giorni, "un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto".
Un dipendente di Intesa, poi licenziato dalla banca, è stato indagato dalla procura di Bari per accesso abusivo ai sistemi informatici in quanto avrebbe compiuto accessi non autorizzati a dati riservati di clienti tra cui anche esponenti di primo piano delle istituzioni italiane.
(Gianluca Semeraro, editing Claudia Cristoferi, Antonella Cinelli)