Garante della Privacy har gett Intesa Sanpaolo 20 dagar att informera alla kunder som har påverkats av det intrång i person- och bankuppgifter som skedde genom att en bankanställd fick otillbörlig tillgång till uppgifterna.

I själva verket anser myndigheten, i motsats till bankens bedömning, att personuppgiftsincidenten utgör en hög risk för de berörda individernas rättigheter och friheter, med hänsyn till incidentens art, de kategorier av uppgifter som behandlas, incidentens allvar och de konsekvenser som kan följa, står det i en not.

I ett uttalande som publicerades på kvällen upprepar Intesa "det prioriterade värde som bolaget fäster vid att säkerställa högsta möjliga säkerhetsnivå för sina kunders uppgifter" och uppger att man redan har infört ytterligare kontrollsystem och processer.

Banken försäkrar "maximalt samarbete med de behöriga myndigheterna" och bekräftar "att man redan har påbörjat aktiviteter för att svara på Garantes begäran".

Åtgärden - enligt Garantes kommuniké - blev nödvändig eftersom omfattningen av överträdelsen inte hade belysts tillräckligt i de första meddelanden som Intesa skickade till Garante, vilket sedan visade sig både i pressartiklar och i den återkoppling som Intesa självt gav.

Garante förbehåller sig rätten att bedöma om de säkerhetsåtgärder som vidtagits är tillräckliga inom ramen för en preliminär utredning som fortfarande pågår och har också beordrat banken att inom 30 dagar till myndigheten översända "ett lämpligt dokumenterat svar på de initiativ som tagits för att fullt ut uppfylla kraven".

En anställd på Intesa, som senare avskedades från banken, utreddes av åklagarmyndigheten i Bari för missbruk av tillgång till datasystem eftersom han påstods ha gjort obehörig åtkomst till konfidentiella uppgifter om kunder, inklusive ledande företrädare för italienska institutioner.

(Gianluca Semeraro, redigering Claudia Cristoferi, Antonella Cinelli)