🏦 Contexte

Source : The Cyber Express, publié le 2 avril 2026. L’article présente une réponse exclusive du Secrétaire général de l’autorité italienne de protection des données (Garante), Luigi Montuori, sur l’affaire Intesa Sanpaolo, déjà sanctionnée par une amende de 31,8 millions d’euros.

🔍 Nature de l’incident

L’incident implique un employé interne d’Intesa Sanpaolo qui a accédé de manière répétée et sans justification professionnelle aux données de plus de 3 500 clients, dont des personnes politiquement exposées et des personnalités de haut profil. L’accès non autorisé s’est étalé sur plus de deux ans sans déclencher aucune alerte.

🚨 Défaillances identifiées

L’autorité a établi que les systèmes de surveillance de la banque présentaient des lacunes structurelles :

  • Les seuils et mécanismes de monitoring n’étaient pas calibrés pour détecter des accès répétés mais distribués dans le temps
  • Les contrôles étaient orientés sur les volumes et non sur les patterns comportementaux
  • L’accès large aux données clients accordé aux employés n’était pas compensé par une surveillance adaptée aux risques réels
  • Même les accès concernant des individus à haut profil n’ont pas déclenché d’alertes

📋 Absence d’exfiltration confirmée

L’autorité précise qu’aucune preuve d’exfiltration de données vers l’extérieur n’a été établie. Néanmoins, la durée, l’échelle et la nature des personnes concernées ont été jugées suffisantes pour constituer un risque élevé pour les droits et libertés des individus. Une procédure pénale judiciaire est également en cours.

🛠️ Mesures correctives post-incident

Après la découverte, Intesa Sanpaolo a mis en place :

  • Protections renforcées pour les clients sensibles ou à haut profil
  • Mécanismes d’autorisation ex ante et contrôles ex post améliorés
  • Systèmes d’alerte et de monitoring renforcés pour les accès anormaux
  • Task force dédiée à l’analyse et au support décisionnel
  • Mesures additionnelles de data masking
  • Améliorations de gouvernance sur la gestion des violations de données personnelles

📰 Nature de l’article

Article de presse spécialisée à visée informationnelle, s’appuyant sur une réponse officielle exclusive du régulateur italien. Il documente les causes profondes d’un incident de conformité majeur dans le secteur bancaire européen.

🧠 TTPs et IOCs détectés

TTP

  • T1078 — Valid Accounts (Defense Evasion / Persistence / Privilege Escalation / Initial Access)
  • T1530 — Data from Cloud Storage (Collection)
  • T1083 — File and Directory Discovery (Discovery)

🔗 Source originale : https://thecyberexpress.com/intesa-sanpaolo-data-breach-missed-for-2-years/

🖴 Archive : https://web.archive.org/web/20260402095057/https://thecyberexpress.com/intesa-sanpaolo-data-breach-missed-for-2-years/