Cosa rischia Intesa Sanpaolo dopo l’inchiesta sugli accessi abusivi a migliaia di conti

Gli investigatori impegnati nelle indagini sulla violazione dei dati di migliaia di clienti di Intesa Sanpaolo stanno ricostruendo il sistema di autorizzazioni, controlli e allerte interne alla banca per accertare eventuali responsabilità di Vincenzo Coviello, un dipendente della filiale di Bisceglie accusato di aver spiato migliaia di conti correnti tra cui quelli di politici e personaggi noti. È un lavoro lungo e indispensabile per capire non solo se Coviello abbia violato la legge, ma anche se i sistemi informatici della banca siano sicuri e se dunque i dati di tutti i clienti siano protetti in modo adeguato. Dell’organizzazione del sistema informatico si sta occupando anche il Garante della privacy, che ha avviato un’istruttoria per stabilire se Intesa abbia fatto tutto il possibile per proteggere questi dati.

Rispetto allo scorso ottobre, quando la procura di Bari ha avviato l’inchiesta, c’è una novità piuttosto importante: gli investigatori hanno accusato almeno tre dipendenti di altre filiali di aver spiato i conti correnti esattamente come avrebbe fatto Coviello. Del caso sono state informate le procure di Treviso, Varese e Mantova, dove lavorano i tre dipendenti indagati. Secondo le informazioni avute finora, i dipendenti coinvolti non si conoscevano e quindi non facevano parte di un’associazione a delinquere, cioè di un gruppo organizzato con l’obiettivo di violare la legge.

Le novità e gli accertamenti fatti su Coviello suggeriscono che il sistema di autorizzazioni e accesso ai dati custoditi dalla banca avesse molti problemi, a prescindere dal comportamento dei singoli dipendenti.

Coviello è accusato di aver fatto nel giro di due anni 6.637 accessi illegittimi a conti correnti di 3.572 clienti tra cui parenti, colleghi e celebrità. Tra gli altri, avrebbe spiato i conti di diversi politici: la presidente del Consiglio Giorgia Meloni e sua sorella Arianna, che guida la segreteria politica di Fratelli d’Italia, i ministri Daniela Santanchè e Guido Crosetto, il presidente del Senato Ignazio La Russa, ma anche l’ex compagno di Meloni Andrea Giambruno e il procuratore della Direzione nazionale antimafia Giovanni Melillo. I reati ipotizzati sono accesso abusivo ai sistemi informatici e tentato procacciamento di notizie concernenti la sicurezza dello Stato.

La procura di Bari aprì l’inchiesta lo scorso luglio dopo la denuncia presentata da un professore universitario di Bari: un dipendente della sua filiale lo aveva avvisato di una quantità anomala di accessi fatti al suo conto corrente. In realtà già da alcuni mesi Intesa Sanpaolo sapeva di questi accessi ed era risalita al presunto responsabile, a cui aveva chiesto conto delle violazioni. Dal marzo del 2024 la banca aveva avviato un procedimento disciplinare nei confronti di Coviello, sospeso poi ad aprile. A maggio lo stesso Coviello ammise di aver agito per «mera curiosità», senza altri fini, e fu infine licenziato l’8 agosto per violazione dei regolamenti e delle procedure.

Nonostante la scoperta dei primi accessi anomali fosse di almeno nove mesi prima, la prima segnalazione ufficiale fatta dalla banca al Garante della privacy risale al 17 luglio 2024. Intesa presentò poi una denuncia alla procura di Bari il 21 agosto. La procura si è concentrata soprattutto sul comportamento di Coviello, mentre il Garante sul sistema di controlli e alert della banca, che dal punto di vista penale rischia poco o nulla in quanto per ora nessuno dei dirigenti è stato indagato.

Una parte molto importante delle indagini e dell’istruttoria del Garante della privacy riguarda l’organizzazione della cosiddetta segregazione dei ruoli e delle funzioni, cioè il sistema con cui la banca permette ai dipendenti di vedere i dati a seconda della loro posizione: i cassieri hanno un accesso limitato ai clienti della loro filiale e più si sale di grado più dati si possono vedere.

Coviello, come ha confermato la stessa Intesa, aveva un ruolo che gli consentiva di accedere a quei conti, ma l’accesso illegittimo e massiccio ai dati avrebbe dovuto far scattare un avviso di allerta, che invece non c’è stato. L’obbligo di avere un sistema di alert è previsto dalla legge da oltre 10 anni e fu imposto a tutte le banche proprio per evitare casi di violazione della privacy. Su questo punto, cioè su come mai non sia scattato un alert, Intesa non ha mai commentato per non compromettere le indagini a cui ha collaborato fin da subito.

Il Garante della privacy ha preso un primo provvedimento lo scorso 5 novembre, quando ha ordinato a Intesa Sanpaolo di informare tutti i clienti coinvolti nella violazione dei dati bancari entro 20 giorni. «Il provvedimento si è reso necessario poiché nelle prime comunicazioni inviate dalla banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti», si legge nella nota del Garante.

Da quel momento i funzionari del Garante della privacy hanno iniziato a raccogliere informazioni sul singolo caso e più in generale su come era organizzata la segregazione dei dati. La questione centrale dell’istruttoria è capire se Coviello e gli altri dipendenti siano riusciti in qualche modo a violare un sistema informatico sicuro oppure se al contrario il sistema informatico si prestasse a questo tipo di violazioni perché mal strutturato. Esaminando istruttorie analoghe che in passato hanno coinvolto altre banche o aziende, nella maggior parte dei casi la singola violazione è un segnale della mancanza di misure essenziali per garantire la privacy.

In questo caso Intesa rischia due provvedimenti, uno di tipo sanzionatorio e uno correttivo, che non si escludono l’uno con l’altro. Le multe per il mancato rispetto del regolamento europeo sulle misure di protezione dei dati possono arrivare fino al 2 per cento del fatturato annuo mondiale. Considerando quello di Intesa Sanpaolo del 2024, la multa potrebbe arrivare fino a 540 milioni di euro, ma negli ultimi anni il Garante non ha mai applicato il massimo della sanzione. La banca ha inoltre offerto un’ampia collaborazione, cosa che potrebbe evitarle una sanzione pesante.

Il provvedimento di tipo correttivo consiste invece in modifiche tecniche all’organizzazione dei dati e al sistema informatico. Già a ottobre Intesa ha avviato una revisione delle procedure e della segregazione dei ruoli per controllare meglio gli accessi ai dati ed evitare altre violazioni.

Secondo informazioni avute da funzionari del Garante, serviranno tra i sette e gli otto mesi prima della conclusione dell’istruttoria.