Intesa Sanpaolo böter 31,8 miljoner euro efter anställds dataövergrepp

4 Lästid / mars 31, 2026

Intesa Sanpaolo Hit With €31.8 Million Fine After Employee Accessed 3,573 Customer Accounts

Italiens dataskyddsmyndighet bötfällde på måndagen Intesa Sanpaolo, 31,8 miljoner euro (36 miljoner dollar). Orsaken var att en anställd under mer än två års tid hade haft obehörig tillgång till bankdata för 3 573 kunder utan att det upptäcktes. Böterna är bland de största GDPR-sanktionerna som utdömts i Italien och följer på en separat bot på 17,6 miljoner euro mot samma bank tidigare denna månad.

Intrånget pågick mellan februari 2022 och april 2024. Under denna period gjorde en enskild anställd över 6 600 obehöriga sökningar i kundkonton. Enligt den italienska dataskyddsmyndigheten, känd som Garante, flaggades ingen av dessa åtkomster av interna övervakningssystem, vilket avslöjade vad tillsynsmyndigheten beskrev som ”betydande svagheter i övervaknings- och förebyggande mekanismer”.

Högriskskunder inkluderade offentliga personer

De komprometterade kontona inkluderade kunder med framträdande offentliga roller som borde ha varit föremål för förstärkta skyddsåtgärder. Garante namngav inte specifika individer, men italienska medier rapporterar att premiärminister Giorgia Meloni var bland de drabbade. Tillsynsmyndigheten noterade att dessa högprofilerade kunder representerade exakt den typ av konton som borde utlösa ytterligare säkerhetskontroller under GDPR-kraven.

Utredningen började efter att Intesa Sanpaolo anmälde intrånget till myndigheten i juli 2024. Bankens sena anmälan blev en del av problemet, tillsynsmyndigheten konstaterade att informationen till berörda kunder var ofullständig och försenad utöver de lagstadgade tidsfristerna.

Åtkomstproblemet var strukturellt

Tillsynsmyndighetens utredning avslöjade att problemet sträckte sig bortom övervakningsluckor. Anställda på Intesa Sanpaolo kunde söka i stora delar av kunddatabasen i vad tillsynsmyndigheten kallade ett ”cirkulärt” åtkomstmönster utan adekvata motbalanserande kontroller. Tillsynsmyndigheten uppger att bankens operativa modell gjorde det möjligt för anställda att söka i stora delar av kunddatabasen utan tillräckliga kontroller för att förhindra eller upptäcka obehörig åtkomst.

Garante drog slutsatsen att Intesa Sanpaolo misslyckades med att uppfylla grundläggande GDPR-skyldigheter kring dataintegritet, konfidentialitet och ansvarsskyldighet genom effektiva tekniska och organisatoriska åtgärder. Böterna på 31,8 miljoner euro beräknades baserat på överträdelsernas allvar och varaktighet, antalet drabbade kunder och bankens respons efter upptäckten.

Del av ett mönster av tillsynsåtgärder

Böterna följer på en straffavgift på 17,6 miljoner euro som utdömdes mot Intesa Sanpaolo den 13 mars 2026 för olaglig profilering av 2,4 miljoner kunder under deras överföring till det digitala dotterbolaget Isybank. Banken hade analyserat kunddata inklusive ålder, användning av digitala kanaler och kontosaldon för att bestämma vilka kunder som skulle flyttas till den nya plattformen, utan att etablera en korrekt rättslig grund under GDPR.

Mönstret tyder på ihållande tillsynsgranskning av Intesa Sanpaolos datahanteringspraxis över både säkerhets- och användningsöverträdelser. Båda fallen involverade otillräckliga anmälningsförfaranden och bristfällig kundkommunikation, frågor som förstärker de underliggande dataskyddsbristerna.

Tidpunkten är betydelsefull. Europeiska tillsynsmyndigheter har intensifierat GDPR-efterlevnaden inom banksektorn, där finansinstitut möter ökad granskning på grund av volymen och känsligheten hos kunddata de hanterar. De upprepade överträdelserna vid Italiens största bank signalerar att storlek och rykte inte ger något skydd från tillsynsåtgärder när grundläggande dataskyddskontroller misslyckas.

Intesa Sanpaolo avböjde att kommentera de senaste böterna. Banken har enligt uppgift implementerat korrigerande åtgärder inklusive förbättrade övervakningssystem, striktare åtkomstkontroller och förbättrad personalövervakning, även om dessa förändringar kom först efter att intrånget upptäcktes och rapporterades.