La sanción de 31,8 millones de euros impuesta a Intesa Sanpaolo por el Garante per la protezione dei dati personali ha vuelto a poner el foco en una de las mayores vulnerabilidades del sector financiero: la gestión interna de los datos. El caso, que afecta a más de 3.500 clientes, no responde a un ciberataque externo sofisticado, sino a un fallo estructural en los controles internos de una de las mayores entidades bancarias de Europa.
Intesa Sanpaolo, con sede en Italia, es uno de los principales grupos financieros del continente. Opera en banca minorista, corporativa, inversión y seguros, y gestiona millones de cuentas en distintos países. Su tamaño y relevancia dentro del sistema financiero europeo hacen que cualquier incidente de seguridad tenga un impacto que va más allá de sus propios clientes, afectando a la confianza en el conjunto del sector.
Un fallo interno prolongado durante más de dos años
La investigación del regulador italiano revela que un empleado accedió sin justificación a los datos de 3.573 clientes entre febrero de 2022 y abril de 2024. Durante ese tiempo, realizó más de 6.600 consultas a información sensible, incluyendo datos personales, movimientos bancarios y detalles de tarjetas de pago.
Lo especialmente grave es que este comportamiento no fue detectado durante más de dos años. En un entorno donde las entidades financieras manejan sistemas avanzados de monitorización, la ausencia de alertas ante accesos reiterados y no justificados evidencia una falla crítica en los mecanismos de control.
Este tipo de incidentes se encuadra dentro del riesgo conocido como amenaza interna (insider threat), una de las principales preocupaciones actuales en ciberseguridad. A diferencia de los ataques externos, este riesgo proviene de usuarios con acceso legítimo a los sistemas, lo que dificulta su detección si no existen controles adecuados.
Deficiencias en el modelo de acceso a los datos
Uno de los puntos clave señalados por el regulador es el modelo de acceso implementado por el banco. Los empleados podían consultar información de toda la base de clientes sin restricciones suficientemente granulares. Este enfoque, habitual en organizaciones que priorizan la operatividad, requiere sistemas de supervisión robustos que permitan detectar abusos.
Sin embargo, en este caso, dichos controles no funcionaron correctamente. Las consultas indebidas no generaron alertas ni fueron bloqueadas, lo que permitió que el acceso no autorizado se prolongara durante meses.
Además, la investigación detectó que entre los clientes afectados había perfiles de alto riesgo, como figuras públicas o personas políticamente expuestas. Este tipo de usuarios requiere medidas de protección reforzadas, que en este caso resultaron inexistentes o ineficaces.
Vulneración de los principios del RGPD
El Reglamento General de Protección de Datos establece obligaciones estrictas en materia de seguridad y tratamiento de datos personales. En este caso, la autoridad italiana concluyó que se vulneraron principios fundamentales como la integridad, la confidencialidad y la responsabilidad proactiva.
El concepto de accountability es especialmente relevante. No basta con disponer de sistemas de seguridad; las organizaciones deben demostrar que estos son eficaces. La incapacidad del banco para detectar durante tanto tiempo accesos indebidos fue determinante en la cuantía de la sanción.
Retrasos en la gestión de la brecha
La actuación del banco tras detectar el incidente también ha sido objeto de crítica. La notificación del data breach se realizó de forma incompleta y fuera de los plazos establecidos por la normativa europea.
Además, la comunicación a los clientes afectados no se produjo hasta meses después, y solo tras la intervención del regulador en noviembre de 2024. Este retraso limitó la capacidad de los usuarios para reaccionar ante posibles riesgos derivados del acceso a sus datos.
Tras el escándalo, Intesa Sanpaolo ha adoptado medidas para reforzar su seguridad interna. Entre ellas, destaca el despido del empleado implicado y la implementación de nuevos controles de acceso.
El banco ha introducido la obligación de justificar cualquier consulta fuera de la cartera de clientes asignada, así como sistemas de alerta más avanzados para detectar comportamientos anómalos. También se han añadido capas adicionales de autorización para acceder a información sensible.
