En Italie, un accès illicite aux données de 3 573 clients vaut à Intesa Sanpaolo une lourde sanction, révélatrice d’un angle mort critique dans la surveillance interne.

L’autorité italienne de protection des données a infligé à Intesa Sanpaolo SpA une amende de 36 millions $ (31,8 millions d’euros) après la découverte d’accès injustifiés aux informations bancaires de 3 573 clients entre février 2022 et avril 2024. Le régulateur évoque de graves insuffisances dans la sécurité des données personnelles, liées à des mesures techniques et organisationnelles inadaptées. L’affaire, déclenchée après une fuite de données signalée en juillet 2024, met en lumière un défaut de détection interne, des contrôles jugés trop faibles et une gestion contestée des notifications adressées aux personnes concernées. Plusieurs clients visés étaient en outre considérés comme sensibles ou à haut risque.

Une fuite interne qui expose les failles de contrôle

L’affaire frappe l’une des plus grandes institutions financières italiennes au cœur de sa fonction la plus sensible : la protection des données bancaires. Lundi, l’Autorité italienne de protection des données a annoncé une sanction de 36 millions $ (31,8 millions d’euros) contre Intesa Sanpaolo SpA. En cause, des consultations indues d’informations bancaires concernant plus de 3 500 clients, sur une période de plus de deux ans.

Le dossier a débuté avec une fuite de données rendue publique par la banque en juillet 2024. L’enquête ouverte dans la foulée a permis d’établir qu’un salarié avait accédé, sans motif légitime, aux données de 3 573 clients entre février 2022 et avril 2024. Ce seul calendrier suffit à montrer l’ampleur du problème : il ne s’agit pas d’un incident ponctuel, ni d’une erreur isolée détectée rapidement, mais d’un accès prolongé, répété, et resté invisible durant une période exceptionnellement longue.

Le régulateur décrit des « graves lacunes en matière de sécurité des données personnelles, dues à l’inadéquation des mesures techniques et organisationnelles adoptées ». La formule est lourde de sens. Elle vise à la fois l’architecture de sécurité, les procédures de contrôle, et la gouvernance qui encadre l’accès aux informations les plus sensibles. Dans le secteur bancaire, cet empilement de protections est censé empêcher qu’un employé puisse consulter librement des comptes sans alerte immédiate. Or, selon l’autorité, ce garde-fou n’a pas tenu.

Le communiqué du régulateur insiste sur un point déterminant pour toute analyse cyber : les accès non autorisés n’ont pas été repérés par les systèmes de contrôle interne. Autrement dit, le risque ne vient pas seulement de l’acte fautif d’un employé. Il découle aussi d’une incapacité structurelle à voir, qualifier et interrompre un comportement anormal. Dans une logique de sécurité, l’échec est donc double : la prévention n’a pas suffi, la détection non plus.

Le modèle opérationnel de la banque est lui aussi explicitement mis en cause. Selon l’autorité, les opérateurs pouvaient interroger de manière exhaustive l’ensemble de la clientèle, sans que ce pouvoir soit compensé par des mécanismes aptes à prévenir ou identifier les abus. Cette remarque dépasse le cas individuel. Elle révèle un problème de conception, où l’accessibilité interne aux données l’emporte sur le cloisonnement, alors même que ce type d’exposition crée un risque évident d’espionnage économique, de surveillance ciblée ou d’exploitation de renseignements sensibles.

Des clients sensibles et une réponse jugée insuffisante

Le régulateur souligne un autre aspect particulièrement sensible : parmi les personnes concernées figuraient des clients considérés comme « à haut risque », dont des personnalités publiques bien connues. Ce détail change la portée du dossier. Lorsqu’une banque gère des profils exposés, la protection attendue ne relève plus seulement de la conformité de base. Elle touche à la prévention de scénarios plus critiques, où les données financières peuvent alimenter des pressions, des atteintes à la vie privée, des campagnes d’influence ou des opérations de ciblage.

L’autorité estime justement qu’Intesa Sanpaolo aurait dû appliquer à ces comptes des contrôles renforcés. Cette appréciation est centrale. Elle montre que le régulateur ne raisonne pas seulement en nombre de victimes, mais aussi en niveau de sensibilité des informations compromises. Dans une lecture renseignement, la valeur d’une donnée dépend du profil qu’elle concerne, du contexte dans lequel elle est consultée, et de l’usage potentiel qui peut en être fait. L’absence de vigilance supplémentaire pour des clients à risque alourdit donc mécaniquement la gravité du dossier.

L’enquête ne s’est pas arrêtée aux seuls accès illicites. D’autres irrégularités ont été constatées dans la manière dont la banque a géré l’incident après sa découverte. Selon le communiqué, les notifications adressées aux clients concernés étaient incomplètes et envoyées hors des délais prévus par la loi. Là encore, le sujet va au-delà d’un manquement procédural. Dans une crise de données, la qualité de l’information transmise aux victimes est un indicateur direct de maturité. Prévenir tard, ou prévenir partiellement, laisse les personnes exposées sans capacité immédiate d’évaluation ou de réaction.

Intesa Sanpaolo n’a pas souhaité commenter, son porte-parole ayant refusé toute déclaration. Le silence public de l’établissement ne modifie pas les éléments retenus par l’autorité, qui précise avoir calibré l’amende selon plusieurs critères : la gravité des faits, leur durée, le nombre de clients touchés et la manière dont le problème a été traité après sa découverte. Cette méthode de calcul ancre la sanction dans une logique cumulative, où chaque défaillance renforce l’autre.

Au total, cette affaire montre qu’en matière bancaire, la menace interne reste l’un des angles morts les plus dangereux lorsque les droits d’accès sont trop larges et les contrôles trop faibles.