di LUCA GARELLA *
Il recente scandalo che ha coinvolto un dipendente di Intesa Sanpaolo in Puglia, il quale ha violato i conti bancari di migliaia di clienti, tra cui personalità politiche di alto profilo, evidenzia significative vulnerabilità nella protezione dei dati finanziari delle Persone Politicamente Esposte (PEP) e solleva preoccupazioni non solo sulle politiche di sicurezza interna delle banche, ma anche sulla supervisione delle autorità di regolamentazione, come la Banca Centrale Europea (ECB).
L’evento: una violazione sistematica e mirata
L’indagine condotta dalla Procura di Bari, dopo la denuncia resa pubblica dal quotidiano ‘Domani’, ha rivelato che il dipendente ha avuto accesso in modo non autorizzato ai conti di figure di primo piano del governo italiano, inclusi la premier Giorgia Meloni, sua sorella Arianna, l’ex compagno della premier Andrea Giambruno, e i ministri Daniela Santanché e Guido Crosetto. Anche altre personalità politiche, imprenditori, militari e sportivi sono stati vittime di questi accessi non autorizzati. Le dimensioni dell’evento sono impressionanti, con un numero di accessi definito “enorme”, indicando una falla sistematica nella gestione della sicurezza interna di Intesa Sanpaolo.
Rischi specifici per le Persone Politicamente Esposte (PEP)
Le PEP, in virtù del loro ruolo pubblico e dell’influenza che esercitano, sono esposte a rischi particolarmente elevati rispetto al cittadino comune. Le minacce includono:
• Frodi finanziarie: Accessi non autorizzati possono facilitare il furto di informazioni sensibili per scopi fraudolenti o estorsivi.
• Ricatti e minacce alla sicurezza personale: Le informazioni finanziarie possono essere usate per manipolare o ricattare una PEP, mettendo a rischio anche la stabilità politica.
• Perdite reputazionali: La divulgazione di informazioni riservate può compromettere l’integrità pubblica di una figura politica, anche se non ci sono illegalità da parte della PEP stessa.
Queste minacce evidenziano l’importanza critica della sicurezza dei dati bancari e della protezione delle informazioni sensibili relative alle PEP.
Le lacune nella regolamentazione di Intesa Sanpaolo
Questo evento solleva domande sulla conformità di Intesa Sanpaolo con le normative europee e internazionali sulla sicurezza dei dati e sulla protezione delle PEP. Sebbene la banca operi sotto il quadro del Regolamento Generale sulla Protezione dei Dati (GDPR) e delle direttive della Banca Centrale Europea (ECB), la violazione dimostra evidenti lacune nel controllo interno e nell’accesso ai dati.
Nello specifico, alcune carenze includono:
• Accesso indiscriminato ai dati: La possibilità per un dipendente di accedere senza giustificazione ai conti di clienti, compresi i PEP, rappresenta una grave violazione delle norme sulla gestione dei dati e della sicurezza interna. Questo indica un fallimento nei sistemi di monitoraggio degli accessi, che dovrebbero essere limitati e supervisionati rigorosamente.
• Mancanza di segregazione dei ruoli: Non è chiaro se il dipendente avesse un ruolo legittimo che giustificasse l’accesso a dati così sensibili. La segregazione dei ruoli è fondamentale per limitare l’accesso a informazioni critiche e prevenire abusi.
• Assenza di audit efficaci: Le politiche interne della banca non sembrano prevedere controlli o audit regolari sufficientemente rigidi da individuare comportamenti sospetti, prima che si verifichino violazioni su larga scala.
Il ruolo dell’ECB e gli errori di supervisione
L’ECB, in qualità di supervisore delle principali banche europee attraverso il Meccanismo di Vigilanza Unico (SSM), ha la responsabilità di garantire che le istituzioni finanziarie mantengano standard elevati di gestione del rischio, compresi i rischi operativi e di sicurezza dei dati. Tuttavia, nel caso di Intesa Sanpaolo, è evidente che vi sono state carenze nella supervisione.
1. Audit inefficaci sulle politiche di accesso ai dati: Nonostante l’ECB conduca regolari audit e valutazioni del rischio nelle banche sotto la sua supervisione, il fatto che un dipendente abbia potuto accedere in modo così esteso e per un lungo periodo senza essere rilevato indica che gli audit non erano sufficientemente approfonditi. La mancanza di identificazione di queste vulnerabilità riflette una supervisione inefficace.
2. Inadeguata valutazione dei rischi operativi: L’ECB richiede alle banche di adottare misure rigorose per gestire i rischi operativi, compresi quelli legati all’accesso ai dati sensibili. Tuttavia, la mancata identificazione delle debolezze nei sistemi di accesso di Intesa Sanpaolo rappresenta un errore nella valutazione del rischio e una mancanza di vigilanza da parte delle autorità di regolamentazione.
3. Carenza nella protezione delle PEP: Le direttive europee richiedono una particolare attenzione nella protezione delle PEP e dei loro dati, considerando la loro esposizione a rischi elevati. Il fatto che l’ECB non abbia sollecitato adeguate misure di protezione per queste figure rappresenta un ulteriore fallimento.
Conclusione
Il caso di Intesa Sanpaolo evidenzia non solo le vulnerabilità specifiche nella sicurezza interna della banca, ma anche una più ampia mancanza di vigilanza da parte della Banca Centrale Europea nel garantire che le istituzioni finanziarie seguano standard rigorosi per la protezione dei dati, soprattutto per le Persone Politicamente Esposte. L’evento ha messo in luce la necessità urgente di una revisione delle politiche di sicurezza e accesso ai dati, nonché di audit più efficaci e tempestivi. In un contesto in cui le minacce informatiche e il rischio di abusi interni sono in costante aumento, una maggiore attenzione alla protezione dei dati è fondamentale per prevenire incidenti simili in futuro e salvaguardare la sicurezza delle PEP e la fiducia nel sistema bancario europeo.
(* ex banker)
