Un ex dipendente di Intesa Sanpaolo della filiale di Bisceglie è al centro di un’inchiesta della Procura di Bari per aver effettuato quasi 7.000 accessi illegittimi ai conti correnti di 3.572 clienti, tra cui importanti figure istituzionali e personaggi noti. Tra le vittime di rilevo figurano la Presidente del Consiglio Giorgia Meloni, sua sorella Arianna, l’ex compagno Andrea Giambruno, il procuratore nazionale antimafia Giovanni Melillo, i ministri Guido Crosetto, Raffaele Fitto e Daniela Santanché ed i governatori Michele Emiliano e Luca Zaia, oltre ad altri membri del governo e numerosi esponenti del mondo dello spettacolo.
Critiche ai controlli interni e alla protezione dei dati
Questa vicenda mette in luce la mancanza di controlli proattivi da parte dell’istituzione bancaria. Il GDPR richiede che gli incaricati al trattamento dei dati personali abbiano accesso solo ai dati strettamente necessari per svolgere le loro mansioni. Tuttavia, nel caso in questione, il dipendente ha avuto accesso a informazioni potenzialmente sensibili (presenti per esempio in un estratto conto personale) per un lungo periodo e su moltissimi soggetti non incardinati nella propria filiale, violando palesemente questo principio.
Misure di sicurezza inadeguate
La mancanza di un monitoraggio proattivo e tempestivo da parte della banca ha consentito che il bancario agisse per quasi due anni, effettuando le migliaia di consultazioni illecite, sollevando quindi legittime domande sulla inefficacia dei sistemi interni di controllo. Questo caso mette in luce la necessità di rafforzare i meccanismi di sicurezza e di assegnazione dei corretti provilegi di accesso all’interno delle istituzioni finanziarie (e non solo), per garantire che episodi simili non si ripetano e che i dati di tutti i clienti siano adeguatamente protetti.
UPDATE: a conferma di quanto da noi sospettato, “stando a quanto emerso dalle indagini, per quanto sia di per sé grave, Coviello non si limitava a effettuare l’accesso ai conti correnti ma in alcuni casi ha controllato anche i movimenti della carta di credito. Una ricerca molto particolare, perché permette di conoscere in tempo reale, o retrodatandoli, gli spostamenti delle persone attenzionate” – fonte notizia Il Giornale.
A nostro avviso, un problema che investe – oltre che il nostro Governo – direttamente anche il COPASIR.
Il tutto dopo altri precedenti scandali, ultimo dei quali il recente caso Striano; cos’altro deve succedere? Quis custodiet ipsos custodes?
Dato che il Garante è stato notificato dell’evento di violazione dalla Banca, attendiamo pronunce della nostra Autorità di Controllo; speriamo anche in un autorevole provvedimento di indirizzo o linee guida per gli accessi alle banche dati strategiche, ma sopratutto i controlli obbligatori da implementare, magari di terza parte.
Paradossalmente, il 16 diventa pienamente efficace la direttiva NIS2, la quale sarebbe progettata per rafforzare la sicurezza informatica in settori considerati essenziali, tra cui banche, settori finanziari, sanità e altre infrastrutture critiche. Oltre alle norme, vogliamo effettuare seri controlli su come sono appllcate?
UPDATE: ANSA riporta – da fonti della Procura – che “‘la banca non ha comunicato subito i conti spiati”.
Inoltre i conti correnti violati sono indicati nel numero di 6.637, relativi a 679 filiali dell’Istituto San Paolo e a 3.572 loro correntisti.
Da ultimo, vogliamo citare Zaia: “pensare che ci sia una persona, da quel che ho capito, che fa seimila accessi vuol dire che i sistemi di controllo permettono di farli, in generale“.
UPDATE: indagata anche la Banca Intesa Sanpaolo.
Come immaginavamo, Banca Intesa è indagata per presunta violazione della legge 231 del 2001 sulla responsabilità amministrativa delle persone giuridiche. Intesa Sanpaolo, secondo i pm, non avrebbe tempestivamente segnalato agli inquirenti gli accessi abusivi.