Intesa Sanpaolo ha fatto il possibile per proteggere i dati dei suoi clienti?

La procura di Bari e il Garante della Privacy hanno chiesto a Intesa Sanpaolo di chiarire come sia stata gestita la violazione dei dati di migliaia di clienti di cui è accusato un suo ex dipendente, Vincenzo Coviello. Finora la banca ha scaricato tutte le colpe su di lui, definito «infedele», ma resta da capire se anche Intesa Sanpaolo abbia responsabilità in questa vicenda, soprattutto se l’accesso illegittimo a migliaia di conti correnti – tra cui quelli di politici e personaggi noti – sia stato denunciato velocemente, nel rispetto delle leggi.

Le informazioni che è stato possibile raccogliere fin qui e le comunicazioni dell’azienda suggeriscono che la notifica al Garante della Privacy sia stata fatta almeno quattro mesi dopo l’avvio dell’indagine interna e non dopo 72 ore come previsto dalla legge, che la banca non avesse una politica di attenzione speciale per i conti delle persone politicamente esposte, come è prevista in altre grandi banche, e che il sistema di controllo sia scattato almeno un anno e mezzo dopo l’inizio dei presunti accessi illegittimi.

Intesa Sanpaolo assicura invece che i suoi sistemi sono sicuri, di essere solo parte lesa in questa vicenda e di aver notificato la violazione «nei tempi resi possibili da un processo esteso e accurato». Gli avvocati della banca hanno già incontrato il procuratore di Bari Roberto Rossi, a cui hanno garantito massima collaborazione.

Al di là di come si concluderanno l’inchiesta della procura e l’istruttoria del Garante della Privacy, questo caso ha generato discussioni più estese sulla gestione dei dati bancari, sulla loro sicurezza e riservatezza, sul sistema di controlli che ogni banca dovrebbe avere per prevenire violazioni così gravi, e in definitiva su come una grande banca come Intesa Sanpaolo protegga i dati di milioni di persone.

La notizia dell’indagine della procura di Bari era stata pubblicata dal quotidiano Domani il 10 ottobre. Coviello, che ha 52 anni, lavorava nella filiale di Intesa Sanpaolo di Bisceglie, in Puglia, in distaccamento dalla sede Agribusiness di Barletta. Il programma Agribusiness di Intesa Sanpaolo propone prodotti finanziari studiati per la filiera dell’agroalimentare, rivolti ad aziende agricole e allevamenti.

Coviello è accusato di aver eseguito dal febbraio del 2022 all’aprile di quest’anno 6.637 accessi illegittimi a conti correnti di 3.572 clienti, tra cui parenti, colleghi e celebrità. I reati ipotizzati sono accesso abusivo ai sistemi informatici e tentato procacciamento di notizie concernenti la sicurezza dello Stato.

Secondo i magistrati, avrebbe spiato i conti di diversi politici: la presidente del Consiglio Giorgia Meloni e sua sorella Arianna, che guida la segreteria politica di Fratelli d’Italia, i ministri Daniela Santanchè e Guido Crosetto, il presidente del Senato Ignazio La Russa, ma anche l’ex compagno di Meloni Andrea Giambruno e il procuratore della Direzione nazionale antimafia Giovanni Melillo. Tra gli altri sarebbero stati violati i dati di alcuni presidenti di Regione (Luca Zaia del Veneto e Michele Emiliano della Puglia), di procuratori della Repubblica, ufficiali dei Carabinieri e della Guardia di Finanza oltre che di diversi personaggi dello sport e dello spettacolo.

La scansione temporale del caso è importante. L’inchiesta della procura di Bari è iniziata alla fine di luglio dopo la denuncia presentata da Antonio Moschetta, medico e professore universitario. Nella denuncia, Moschetta aveva scritto di essere stato avvertito da un dipendente della filiale: gli era stato detto, a voce, che qualcuno aveva fatto molti accessi al suo conto corrente. In realtà Intesa Sanpaolo già da alcuni mesi era risalita al presunto responsabile, a cui aveva chiesto conto delle violazioni.

Nell’ottobre del 2023 nella filiale di Bisceglie scattò un alert, cioè l’avviso automatico di un possibile accesso illegittimo a conti correnti o carte di credito. Banca Intesa precisa che il primo alert scattò grazie ai controlli su carte di credito di tre clienti: era stato rilevato un «fenomeno di numerosità e concentrazione di interrogazioni anomalo». Secondo i carabinieri, Coviello aveva controllato in particolare la carta di credito della moglie di suo cognato. Quando il direttore della filiale gli chiese spiegazioni, disse di aver commesso «un errore di digitazione nell’ambito delle ordinarie verifiche dei plafond delle carte dei clienti gestiti».

Nel marzo del 2024 l’ufficio interno che si occupa di analizzare gli alert, la direzione Internal Auditing, controllò tutti gli accessi fatti dal bancario partendo dalla possibile violazione di ottobre e scoprì che gli accessi illegittimi erano molti di più.

La banca avviò un procedimento disciplinare nei confronti di Coviello che inizialmente si difese sostenendo di aver rispettato le norme sulla privacy. Fu sospeso ad aprile, ma nel frattempo secondo gli investigatori era riuscito ad accedere ai conti correnti di altri 261 clienti. A maggio ammise di aver agito per «mera curiosità». Tra le altre cose portò la relazione di uno psicologo per dimostrare di essere affetto da «disturbo di adattamento misto», cioè disturbi emotivi e della condotta dovuti allo stress. Nella lettera di contestazione inviata il 4 luglio in vista del licenziamento, la banca ha confermato che il direttore della filiale di Bisceglie sapeva degli accessi già dall’ottobre del 2023.

Intesa Sanpaolo ha infine licenziato Coviello l’8 agosto per violazione dei regolamenti e delle procedure. Il Garante della Privacy ha detto che la prima segnalazione ufficiale presentata da Intesa Sanpaolo è del 17 luglio. La denuncia alla procura è del 21 agosto.

Per comprendere meglio la successione degli eventi e le eventuali responsabilità è necessario capire come funziona il sistema di gestione e controllo dei dati bancari, simile in tutte le banche. Ogni banca gestisce diversi database con i dati dei clienti, che siano persone o aziende: il principale è il database interno con informazioni sintetiche sui dati personali e relative ai conti. Esistono vari livelli di profondità delle banche dati, dal semplice estratto conto fino ai movimenti di bancomat e carte di credito, oltre a mutui e investimenti. Le banche hanno a disposizione anche database esterni a cui i dipendenti possono accedere, per esempio quelli legati alla situazione debitoria (il CRIF, gestito da una società privata, e la Centrale dei Rischi della Banca d’Italia).

Non tutti i dipendenti possono accedere ai dati di tutti i clienti. L’organizzazione delle autorizzazioni viene definita «segregazione» dei ruoli o delle funzioni: significa che i dipendenti possono vedere solo alcuni dati a seconda della loro posizione. I cassieri hanno un accesso limitato ai clienti della loro filiale e più si sale di grado più dati si possono vedere.

Intesa Sanpaolo conferma che Coviello ha potuto accedere ai conti di migliaia di clienti di altre filiali perché il suo ruolo di gestore della direzione Agribusiness glielo consentiva: la direzione Agribusiness è stata pensata per dare risposte ai clienti su tutto il territorio nazionale. A esplicita domanda, però, la banca non ha potuto indicare in modo puntuale quanti dei suoi 100mila dipendenti abbiano accesso ai conti di tutti i clienti, perché dopo il caso è stata avviata una revisione delle procedure e della «segregazione» dei ruoli.

Per Coviello l’accesso ai dati era tecnicamente fattibile, ma non per questo legittimo. Il principio che regola l’accesso ai conti correnti è che tutto debba partire da un’azione del cliente, che sia la richiesta di un prelievo o di un semplice controllo dell’estratto conto o del mutuo. Nella maggior parte dei casi, quando un dipendente accede ai conti correnti senza avere avuto una richiesta puntuale o l’autorizzazione del cliente dovrebbe scattare un alert.

L’obbligo di avere un sistema di alert è previsto dalla legge da oltre 10 anni: il primo regolamento approvato dal Garante della Privacy è del 12 maggio 2011 e contiene norme poi assorbite in diversi altri regolamenti sulla protezione dei dati. Le tre disposizioni più importanti introdotte nel 2011 riguardano il tracciamento degli accessi ai dati bancari, i tempi di conservazione dei registri di accesso (file di log) e la messa a punto di alert «volti a rilevare intrusioni o accessi anomali ai dati bancari».

Il tracciamento delle operazioni bancarie è obbligatorio quando la consultazione è riconducibile al singolo cliente. Il sistema deve registrare il codice identificativo del dipendente che ha fatto l’accesso, la data e l’ora di accesso, il codice della postazione di lavoro utilizzata, il codice del cliente interessato dall’operazione, il tipo di contratto del cliente a cui si riferisce l’operazione (numero del conto corrente, fido o mutuo, deposito titoli).

Ogni banca ha un’organizzazione diversa degli alert: c’è chi ha criteri molto rigidi che fanno scattare l’avviso dopo il primo accesso sospetto, chi invece più laschi. In Intesa Sanpaolo, dice la banca, gli alert scattano in funzione di più elementi, tra cui la quantità e la concentrazione di alcune operazioni: quando compare un alert vengono avviate procedure di controllo che interessano più livelli, dalla singola filiale alle sedi regionali e centrali. Se però Coviello ha fatto migliaia di accessi illegittimi già dal febbraio del 2022, come è emerso dall’inchiesta, non è chiaro come mai per un anno e mezzo non sia scattato nessun alert: non è stato possibile avere dettagli su questo punto proprio perché è in corso un’indagine.

I controlli vengono fatti grazie alla conservazione dei registri di accesso, che secondo il regolamento del Garante devono rimanere a disposizione almeno per 24 mesi. Intesa Sanpaolo li conserva esattamente per il tempo previsto, non di più: è il motivo per cui l’indagine interna ha potuto accertare gli accessi fino a febbraio 2022 e non più indietro nel tempo. La procura ipotizza che Coviello possa aver violato i dati dei conti correnti anche negli anni precedenti.

Altre grandi banche sentite dal Post hanno spiegato di aver introdotto un ulteriore sistema di sicurezza derivato da norme antiriciclaggio e anticorruzione: i conti dei politici vengono inseriti nella categoria “persone politicamente esposte” (PPE), a cui sono collegati alert più selettivi. In questo modo le operazioni su questi conti sono ancora più controllate. Interpellata su questo punto, Intesa Sanpaolo dice che le “persone politicamente esposte” non costituiscono una categoria prevista dalla normativa della privacy – quindi non ci sono obblighi – e che solo ora «sono in corso azioni specifiche su questa tipologia di clienti».

Guido Scorza, componente del Garante della Privacy, dice che tutte queste regole sono state gradualmente introdotte e poi inglobate nel Regolamento generale dell’Unione Europea sulla protezione dei dati (GDPR), perché la sicurezza dei dati deve basarsi sul sistema nel suo complesso, non sulla responsabilità del singolo: «Chi ha un rapporto privilegiato con dati di straordinaria rilevanza talvolta può cadere in tentazione: è inesorabile. Le regole servono per trovare in tempi rapidi quella minima percentuale di dipendenti che fisiologicamente possono aver buttato un occhio dove non avrebbero dovuto». Un sistema ben organizzato e funzionante previene eventuali abusi, permette di risalire alle violazioni velocemente e di comunicarle alle persone coinvolte. Al momento Intesa Sanpaolo ha informato solo i clienti su cui si è concentrato il maggior numero di accessi, non tutti quelli coinvolti nel caso.

Secondo il GDPR, la violazione deve essere comunicata al Garante della Privacy «senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si viene a conoscenza» della violazione, soprattutto quando la stessa comporta «un rischio per i diritti e le libertà delle persone».  

Dopo aver avviato un’indagine interna lo scorso marzo, Intesa Sanpaolo ha notificato gli accessi illegittimi quattro mesi dopo, il 17 luglio, tramite la procedura telematica del portale online del Garante. La notifica è stata poi integrata successivamente con altre informazioni. Sul contenuto della notifica e sui tempi della segnalazione si concentrerà l’istruttoria avviata proprio dal Garante nei confronti della banca. Si dovrà capire se la comunicazione sia stata puntuale oppure se ci sia stato un tentativo di minimizzare.

In una dichiarazione data all’agenzia Ansa il 12 ottobre, un portavoce della banca ha detto che Intesa Sanpaolo «ha potuto procedere con la notifica presso l’autorità per la privacy e la denuncia presso la procura di Bari come parte lesa nei tempi resi possibili da un processo esteso e accurato, volto alla ricostruzione di quanto avvenuto».

Le indagini della procura potranno aggiungere altri elementi per chiarire se la responsabilità della violazione sia stata solo individuale, di Coviello, oppure dovuta in parte a mancanze del sistema di alert e a eventuali controlli poco reattivi. Intesa Sanpaolo dovrà spiegare con precisione quando è scattato il primo alert, come è stato valutato, cosa ha prodotto l’indagine interna, e come mai non erano scattati alert negli anni precedenti. Al termine dell’istruttoria, se verranno individuate responsabilità dell’azienda, le sanzioni vanno dal semplice obbligo di informare tutti i clienti coinvolti nella violazione fino a multe da milioni di euro, nei casi più gravi.

Per quanto riguarda Coviello, gli investigatori stanno cercando di capire se abbia ceduto i dati bancari ad altre persone. Gli sono stati sequestrati PC, computer aziendale, diversi smartphone e altri dispositivi nei quali potrebbero esserci copie dei dati: in questo caso la sua posizione si aggraverebbe. 

In un recente comunicato stampa, Intesa Sanpaolo si è detta dispiaciuta dell’accaduto e ha chiesto scusa ai clienti per il comportamento del suo ex dipendente. Ha anche detto che «non c’è stato alcun problema di sicurezza informatica», rispetto alla quale la banca si «colloca nelle migliori posizioni internazionali». Nel frattempo il consiglio di amministrazione ha nominato l’ex generale dei Carabinieri Antonio De Vita Chief Security Officer, cioè capo della sicurezza fisica e informatica.