Protezione dei dati

GDPR per banche e finanza: obblighi e sanzioni

GDPR per banche: linee guida del Garante sui trattamenti bancari, abusi di accesso ai conti, banche dati creditizie (SIC) e la sovrapposizione con DORA.

Also available in:Français·Deutsch·Nederlands

Il settore bancario tratta i dati personali più sensibili sul piano economico — saldi, movimenti, affidamenti, profili di rischio — e per questo è tra i più controllati dal Garante. Due rischi dominano l’agenda: l’accesso abusivo ai conti da parte di dipendenti che consultano posizioni per cui non hanno legittimazione, e la gestione delle banche dati creditizie (SIC/centrali rischi) che decidono l’accesso al credito di milioni di persone. A questi si aggiunge, dal 17 gennaio 2025, la sovrapposizione con DORA (Regolamento UE 2554/2022) sulla resilienza operativa digitale. Questa guida mappa gli obblighi privacy della banca, dalle linee guida del Garante sui trattamenti bancari fino al coordinamento con la vigilanza di Banca d’Italia.

Punti chiave

  • Il Garante ha adottato linee guida sui trattamenti di dati personali in ambito bancario, con obblighi rafforzati di tracciamento degli accessi.
  • Gli accessi abusivi ai conti da parte del personale sono una violazione ricorrente e sanzionata: UniCredit è stata multata per 2,8 milioni di euro nel 2024.
  • I Sistemi di Informazioni Creditizie (SIC) operano secondo un codice di condotta che disciplina tempi di conservazione e diritti dell’interessato.
  • DORA si somma al GDPR per le entità finanziarie: la gestione degli incidenti ICT e dei fornitori terzi va integrata con l’art. 32 GDPR.
  • La banca deve garantire misure di sicurezza adeguate (art. 32 GDPR), tracciamento degli accessi e notifica delle violazioni.

Le linee guida del Garante sui trattamenti bancari

Il Garante ha adottato prescrizioni e linee guida specifiche per il settore bancario, imponendo agli istituti di adottare misure per prevenire e rilevare gli accessi non autorizzati ai dati dei clienti. Il cuore delle indicazioni è il tracciamento degli accessi: la banca deve registrare chi consulta quali posizioni, conservare i log e predisporre alert sugli accessi anomali. L’obiettivo è impedire che un dipendente consulti il conto di un vip, di un collega o di un familiare senza una ragione di servizio.

Questi obblighi discendono dall’art. 32 GDPR (sicurezza del trattamento) e dal principio di integrità e riservatezza (art. 5, par. 1, lett. f). La banca è titolare del trattamento e risponde direttamente delle misure adottate. I propri fornitori tecnologici — outsourcer IT, provider cloud, società di recupero crediti — vanno inquadrati con la nomina a responsabile ex art. 28.

Accessi abusivi ai conti: la violazione ricorrente

L’accesso abusivo ai conti da parte del personale è uno dei fronti più sanzionati. Nel 2024 il Garante ha comminato a UniCredit una sanzione da 2,8 milioni di euro in relazione a una violazione dei dati risalente al 2018, contestando misure di sicurezza inadeguate. Casi di dipendenti che consultano indebitamente le posizioni dei clienti emergono con regolarità nell’attività dell’Autorità. La lezione operativa: non basta vietare gli accessi nelle policy interne, servono controlli tecnici che li impediscano o li rilevino, e procedure disciplinari coerenti.

Quando l’accesso abusivo si traduce in una violazione dei dati, scatta l’obbligo di notifica della violazione al Garante entro 72 ore e, nei casi di rischio elevato, la comunicazione agli interessati.

Banche dati creditizie e centrali rischi

I Sistemi di Informazioni Creditizie (SIC) raccolgono dati su finanziamenti e affidabilità creditizia e influenzano l’accesso al credito. Operano secondo un codice di condotta che disciplina i tempi di conservazione dei dati (differenziati tra ritardi sanati e insoluti), i diritti di accesso e rettifica dell’interessato e gli obblighi informativi verso chi viene segnalato. La banca che segnala deve rispettare tempi, preavvisi e diritti; l’errata segnalazione di un cliente come cattivo pagatore è una fonte frequente di reclami al Garante.

DORA: la resilienza operativa si somma al GDPR

Dal 17 gennaio 2025 le banche e le altre entità finanziarie applicano DORA (Regolamento UE 2554/2022), che impone gestione del rischio ICT, classificazione e segnalazione degli incidenti, test di resilienza e governance dei fornitori terzi ICT. DORA non sostituisce il GDPR: si somma ad esso.

Aspetto GDPR DORA
Focus Dati personali Resilienza operativa ICT
Autorità Garante Banca d’Italia, Consob, IVASS
Incidente Violazione dati (art. 33) Incidente ICT grave
Notifica Garante entro 72h Autorità competente per fasi

Un incidente informatico che coinvolge dati personali può innescare entrambe le notifiche. Molte banche integrano i due impianti in un unico programma di sicurezza; per il fronte DORA è utile un software per la conformità DORA che tenga traccia di incidenti e fornitori ICT.

Governance documentale e sicurezza

La banca deve mantenere un registro delle attività di trattamento dettagliato, nominare un DPO (spesso obbligatorio per la natura dei dati) e monitorare l’evoluzione delle sanzioni del Garante, raccolte nel panorama delle sanzioni del Garante privacy. Le decisioni e le linee guida ufficiali sono pubblicate su garanteprivacy.it, mentre il testo del GDPR è consultabile su EUR-Lex.

Marketing bancario e profilazione dei clienti

Le banche usano i dati dei clienti anche per finalità commerciali: proposte di prodotti, cross-selling, scoring di propensione. Qui la base giuridica va scelta con attenzione. La profilazione a fini di marketing richiede il consenso specifico del cliente, distinto dal consenso per l’esecuzione del contratto: mescolarli in un’unica clausola rende il consenso invalido. L’uso dei dati transazionali — su cosa spende il cliente e dove — per costruire profili commerciali è particolarmente delicato, perché rivela abitudini e condizioni personali. Il Garante ha ricordato che il trattamento a fini di marketing e profilazione deve essere separato, trasparente e revocabile, e che il cliente deve poter usare i servizi bancari anche senza acconsentire alla profilazione commerciale.

Diritti dei clienti e gestione delle richieste

Un cliente bancario esercita con frequenza i diritti dell’art. 15 e seguenti: accesso alla documentazione, rettifica dei dati errati, opposizione al marketing, contestazione di una segnalazione in una banca dati creditizia. La banca deve rispondere entro un mese e disporre di procedure che raccolgano i dati dispersi tra i diversi sistemi (conti, carte, mutui, canali digitali). Le richieste più critiche riguardano le segnalazioni creditizie errate: qui il cliente ha diritto alla rettifica e la banca deve attivarsi verso il gestore del SIC. Una gestione lenta o incompleta di queste richieste è tra le cause più frequenti di reclamo all’Autorità e, in caso di segnalazione illegittima, può generare anche richieste risarcitorie.

FAQ

Cosa impongono le regole del Garante sugli accessi ai conti?

La banca deve tracciare gli accessi ai dati dei clienti, conservare i log, predisporre alert sugli accessi anomali e impedire consultazioni prive di ragione di servizio. L’obiettivo è prevenire e rilevare gli accessi abusivi da parte del personale, in attuazione dell’art. 32 GDPR.

DORA sostituisce gli obblighi GDPR per le banche?

No. DORA (Regolamento UE 2554/2022) disciplina la resilienza operativa digitale e si aggiunge al GDPR. Un incidente ICT che coinvolge dati personali può richiedere sia la notifica all’autorità competente per DORA sia la notifica al Garante entro 72 ore ex art. 33 GDPR.

Quanto restano i dati in una banca dati creditizia?

Dipende dal tipo di segnalazione. Il codice di condotta dei SIC prevede tempi differenziati: più brevi per i ritardi poi sanati, più lunghi per gli insoluti. L’interessato ha diritto di accesso e rettifica e va informato prima della prima segnalazione negativa.

La banca deve nominare un DPO?

In pratica quasi sempre. Il trattamento su larga scala di dati finanziari e il monitoraggio sistematico rendono la nomina del DPO obbligatoria o comunque fortemente consigliata ai sensi dell’art. 37 GDPR. Il DPO supervisiona la valutazione dei rischi, la gestione delle richieste dei clienti e i rapporti con il Garante, e diventa un punto di riferimento anche per il coordinamento con gli obblighi DORA.

Serve il consenso del cliente per proporre altri prodotti bancari?

Sì, quando la proposta si basa sulla profilazione dei dati del cliente. Il consenso al marketing e alla profilazione deve essere specifico e separato da quello per il contratto: il cliente deve poter usare i servizi bancari anche senza acconsentire al marketing commerciale.

Vedi anche: il GDPR per le assicurazioni e per i commercialisti, settori con obblighi finanziari analoghi; sul fronte della resilienza operativa, vedi DORA per le banche.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →