Vlasnik PBZ-a u velikim problemima na talijanskom tržištu

Talijanski bankarski div Intesa Sanpaolo suočava se s novim reputacijskim i regulatornim udarcem nakon što mu je talijanski nacionalni regulator za zaštitu podataka izrekao kaznu od 31,8 milijuna eura zbog ozbiljnog incidenta povezanog s neovlaštenim pristupom podacima klijenata.

Odluku je donijelo tijelo "Garante per la protezione dei dati personali", koje je utvrdilo da je jedan zaposlenik banke tijekom više od dvije godine, od početka 2022. do proljeća 2024., u tisućama navrata pristupao osjetljivim informacijama klijenata bez odgovarajućih ovlasti. Ukupno je pogođeno više od 3.500 korisnika, a regulator posebno ističe da su među njima bili i pojedinci visokog javnog profila.

Iako ovakvi slučajevi često uključuju vanjske kibernetičke napade, ovaj incident dodatno naglašava sve veći fokus europskih regulatora na takozvane “insider” prijetnje – situacije u kojima zaposlenici ili partneri zloupotrebljavaju legitimni pristup sustavima. Upravo takvi scenariji, prema regulatorima, otkrivaju slabosti koje su teže detektirati od klasičnih hakerskih upada.

Ključni problem u ovom slučaju nije bio samo neovlašten pristup, već činjenica da je takva aktivnost mjesecima prolazila ispod radara internih kontrolnih mehanizama. Regulator je u svojoj odluci naglasio “ozbiljne nedostatke” u sustavu nadzora pristupa podacima, što sugerira da postojeće sigurnosne i organizacijske mjere nisu bile dovoljno robusne za instituciju te veličine.

Kazna, jedna od većih izrečenih u talijanskom financijskom sektoru u okviru europskog GDPR-a, dolazi u trenutku kada banke diljem Europe ubrzano digitaliziraju poslovanje i sve više oslanjaju operacije na centralizirane podatkovne sustave. Upravo takva transformacija, iako povećava učinkovitost, istovremeno širi površinu rizika – posebno kada je riječ o internim pristupima i upravljanju privilegiranim korisničkim računima.

Regulator je ipak uzeo u obzir činjenicu da je banka nakon otkrivanja incidenta unaprijedila svoje sigurnosne procese, što je djelomično ublažilo konačni iznos kazne. No, vremenski kontekst dodatno pojačava pritisak na upravu Intesa Sanpaola: riječ je o drugoj značajnoj kazni u kratkom razdoblju povezanoj s upravljanjem podacima klijenata.