Il caso Intesa Sanpaolo ha riportato al centro un tema spesso sottovalutato nella sicurezza aziendale: il rischio non arriva sempre dall’esterno. Non servono necessariamente hacker, malware o attacchi sofisticati per compromettere dati personali e informazioni riservate. A volte basta un dipendente con credenziali valide, accessi troppo ampi e sistemi di controllo insufficienti.

Secondo quanto emerso dal provvedimento del Garante Privacy, un dipendente avrebbe effettuato migliaia di accessi non giustificati ai dati bancari di clienti, consultando posizioni estranee alla propria attività lavorativa. Tra i soggetti interessati vi sarebbero anche persone politicamente esposte, figure istituzionali e conoscenti privati. La criticità, però, non riguarda solo la condotta del singolo lavoratore, ma soprattutto l’assetto organizzativo che ha consentito questi accessi per un lungo periodo senza generare segnali di allarme.

Il punto centrale è la gestione delle autorizzazioni. In ogni organizzazione, ciascun dipendente dovrebbe poter accedere solo ai dati realmente necessari per svolgere le proprie mansioni. È il principio del minimo privilegio: meno accessi non necessari, meno rischi. Quando invece un operatore può consultare basi dati molto estese, anche al di fuori della propria area di competenza, aumenta la possibilità di accessi impropri, curiosità indebite o utilizzi contrari alle finalità lavorative.

Questo tipo di rischio viene definito insider threat, cioè minaccia interna. Può riguardare dipendenti, collaboratori o consulenti che, pur avendo un accesso legittimo ai sistemi, lo utilizzano in modo scorretto. Non sempre si tratta di condotte mosse da finalità fraudolente. Esistono anche comportamenti dettati da superficialità, negligenza o semplice curiosità: controllare il conto di un conoscente, verificare informazioni su un collega, consultare dati di personaggi noti. Proprio per questo i sistemi devono essere progettati per prevenire anche condotte apparentemente “banali”, ma potenzialmente molto gravi.

Le misure tecniche e organizzative hanno quindi un ruolo decisivo. Non basta tracciare gli accessi se poi nessuno li controlla. Servono log completi, sicuri e non modificabili, ma anche sistemi capaci di individuare anomalie: consultazioni ripetute, accessi fuori orario, ricerche su soggetti non collegati all’attività del dipendente, volumi di interrogazioni incompatibili con la mansione. In questo contesto, strumenti di monitoraggio comportamentale possono aiutare a rilevare deviazioni rispetto all’uso ordinario dei sistemi.

Naturalmente, questi controlli devono essere costruiti nel rispetto della normativa privacy e delle regole sul lavoro. Non devono trasformarsi in forme di sorveglianza occulta dei dipendenti, ma devono servire a garantire sicurezza, responsabilità e tracciabilità degli accessi. Per questo è fondamentale definire procedure interne chiare, informare il personale e indicare in modo trasparente quali attività vengono registrate e per quali finalità.

Un altro elemento essenziale è la formazione. I dipendenti devono sapere che l’accesso ai dati aziendali non è mai neutro: ogni consultazione deve avere una ragione di servizio. Accedere a informazioni personali per curiosità può comportare conseguenze disciplinari, penali e reputazionali, oltre a esporre l’azienda a sanzioni da parte del Garante.

Il caso dimostra anche l’importanza degli audit periodici. Le autorizzazioni devono essere riviste nel tempo, soprattutto quando cambiano ruoli, mansioni o sedi operative. Le eccezioni devono essere motivate, documentate e riesaminate. Un modello di accesso pensato solo per agevolare l’operatività quotidiana, ma non bilanciato da controlli adeguati, può diventare un punto debole rilevante.

In conclusione, proteggere i dati aziendali non significa soltanto difendersi dagli attacchi esterni. Significa anche governare correttamente ciò che accade all’interno dell’organizzazione. Accessi profilati, controlli proporzionati, log affidabili, formazione e procedure chiare sono strumenti indispensabili per prevenire abusi, dimostrare accountability e tutelare sia l’azienda sia le persone i cui dati vengono trattati.

Articolo ripreso da Federprivacy