イタリアの規制当局は月曜日、同国最大級の金融機関の1つに対し、2年以上にわたって3,500人以上の顧客の銀行情報に不正アクセスしたとして3,180万ユーロ(3,600万ドル)の罰金を科した。
イタリア・データ保護機関(IDPA)は、採用された技術的および組織的措置の不十分さに起因する「個人データセキュリティの重大な欠陥」の疑いでIntesa Sanpaolo SpAに罰金を課した。
規制当局は、2024年7月に銀行が発表したデータ漏洩を受けて調査を開始した。その後の調査により、従業員が2022年2月から2024年4月の間に、正当な理由なく3,573人の顧客の銀行情報にアクセスしていたことが判明した。
「これらの不正アクセスは内部統制システムで検出されず、監視および予防メカニズムの重大な弱さが浮き彫りになった」と規制当局はプレスリリースで述べた。「オペレータが顧客全体をフルサーキュラー方式で照会できるようにした運用モデルは、不正アクセスを防止および識別するための統制によって適切にバランスされていなかった。」
注目すべきことに、アクセスされた顧客アカウントは「高リスク」と判定され、よく知られた公人が含まれていた。規制当局は、Intesa Sanpaolo がこれらの顧客に対してより強化された統制を適用すべきであったと述べた。
銀行がデータ漏洩にどのように対応したかについても、追加の不正行為が発見された。プレスリリースによると、影響を受けた顧客への通知は完全ではなく、法的に必要な期限を過ぎて送付されたとのこと。
Intesa Sanpaolo のスポークスパーソンはコメントを拒否した。
プレスリリースによると、罰金額は違反行為の重大性と期間、影響を受けた顧客の数、および問題発見後に金融大手がどのように問題を是正したかに基づいて決定された。
翻訳元: https://therecord.media/italian-regulator-fines-financial-giant-36-million
