Il caso del dipendente di Intesa Sanpaolo e le falle nei sistemi di controllo bancari

Il recente scandalo che ha coinvolto Vincenzo Coviello, ex dipendente della filiale Intesa Sanpaolo di Bisceglie, accusato di accesso abusivo ai sistemi informatici e tentato procacciamento di notizie sulla sicurezza dello Stato, getta una luce inquietante sulle vulnerabilità dei sistemi di controllo interni delle banche italiane, comprese quelle degli istituti più grandi e prestigiosi, come Intesa Sanpaolo. La vicenda, che ha portato Coviello a spiare i conti correnti di oltre 3.500 clienti dell’istituto, tra cui figure di primo piano della politica, dello spettacolo e dell’imprenditoria, evidenzia gravi lacune nella gestione della sicurezza e del monitoraggio delle attività dei dipendenti.

Secondo quanto emerso dalle indagini della Procura di Bari, l’ex dipendente avrebbe compiuto ben 6.637 accessi abusivi tra il gennaio 2022 e l’aprile 2024, consultando i conti di figure di spicco come la premier Giorgia Meloni, i ministri Daniela Santanché, Raffaele Fitto e Guido Crosetto, oltre a diversi presidenti di regione e altri personaggi noti. Nonostante l’enorme numero di accessi illeciti, nessun sistema di allerta interno di Intesa Sanpaolo, la principale banca d’Italia, avrebbe rilevato anomalie in tempo utile per fermare Coviello.

Un sistema di sicurezza carente: la responsabilità degli istituti di credito

Il fiscalista Mauro D’Ambrogio, Presidente della Commissione Fiscalità locale e Federalismo fiscale dell’Ordine dei Dottori Commercialisti di Roma, ha sottolineato con incredulità questo aspetto, affermando che è “inconcepibile che un simile numero di accessi non abbia attivato alcun sistema di allarme interno, soprattutto in una banca di tale importanza”.

Il cuore della questione risiede proprio nella vulnerabilità dei sistemi di sicurezza informatici interni delle banche. Le istituzioni finanziarie, in particolare quelle di grandi dimensioni come Intesa Sanpaolo, gestiscono quotidianamente enormi quantità di dati sensibili. L’accesso non autorizzato a queste informazioni non rappresenta solo una violazione della privacy dei clienti, ma un rischio sistemico per l’intero settore bancario, minando la fiducia che i cittadini ripongono nei loro istituti di credito.

Come ha evidenziato la Banca d’Italia, che ha chiesto chiarimenti a Intesa Sanpaolo, la normativa vigente impone alle banche di dotarsi di adeguati sistemi di controllo e monitoraggio per prevenire rischi informatici e cyber-attacchi.

In particolare, la Vigilanza bancaria nazionale ed europea analizza costantemente questi rischi, imponendo requisiti minimi di sicurezza per i sistemi informativi. Però, come dichiarato da fonti interne a Bankitalia, anche la vigilanza più stringente non può impedire “sempre e preventivamente” il verificarsi di fenomeni isolati di malversazione, come nel caso di Coviello.

Il caso solleva dubbi e non piccoli, su come Intesa Sanpaolo, e altre grandi banche, gestiscano i controlli interni sui propri dipendenti. Se un semplice dipendente di livello medio ha potuto accedere con facilità a informazioni così sensibili, il problema potrebbe non essere circoscritto a un caso isolato. Il rischio è che simili episodi si ripetano altrove, soprattutto se i sistemi di allerta non sono in grado di rilevare comportamenti anomali in tempo reale. Un controllo manuale e a posteriori delle attività sospette non è sufficiente a garantire la sicurezza di milioni di conti correnti.

Il controllo e la compliance bancaria: una riflessione necessaria

Nel settore bancario, la compliance (la conformità a certe norme), gioca un ruolo cruciale nella prevenzione di rischi operativi e reputazionali. Il caso Coviello evidenzia un problema strutturale nell’implementazione delle misure di sicurezza da parte di Intesa Sanpaolo, ma potrebbe trattarsi di una questione più ampia che interessa l’intero sistema bancario italiano. Le normative europee, come la Direttiva PSD2 sui servizi di pagamento, richiedono una forte autenticazione dei clienti e rigorosi controlli sugli accessi alle informazioni sensibili, ma queste norme si basano sull’assunto che le banche adottino meccanismi di sorveglianza adeguati per il monitoraggio delle operazioni interne.

Un dipendente che spia i conti di migliaia di persone in un periodo prolungato di tempo non è solo una questione di mancata supervisione: potrebbe indicare un fallimento nell’attuazione di politiche di sicurezza adeguate a livello di compliance. Oltre ai sistemi informatici, anche le procedure di verifica e monitoraggio del personale dovrebbero essere potenziate, per prevenire l’abuso di accesso alle informazioni da parte di operatori interni.

Bankitalia e la risposta regolatoria

L’intervento della Banca d’Italia in questo caso è particolarmente rilevante. Nonostante non possa prevenire ogni caso di malversazione, come ha sottolineato la stessa Bankitalia, il suo ruolo di vigilanza resta fondamentale per garantire che gli istituti di credito si adeguino rapidamente alle richieste di maggiore sicurezza. La richiesta di documentazione e chiarimenti da parte dell’istituto centrale segna un primo passo verso una maggiore trasparenza sull’accaduto, ma sarà necessario intraprendere ulteriori azioni affinché simili violazioni non si ripetano.

Una delle soluzioni potrebbe risiedere nel rafforzamento delle tecnologie di monitoraggio proattivo. L’introduzione di algoritmi di machine learning per il rilevamento delle anomalie comportamentali tra i dipendenti, ad esempio, potrebbe consentire alle banche di individuare attività sospette in tempo reale, riducendo al minimo il rischio di accessi illeciti. In aggiunta, sarebbe opportuno implementare politiche di controllo periodico e casuale degli accessi effettuati dai dipendenti, con sanzioni chiare e immediate in caso di abusi.

L’imperativo di una maggiore sicurezza

Il caso Coviello è un campanello d’allarme che non può essere ignorato. La sicurezza informatica e la protezione dei dati sensibili rappresentano pilastri essenziali per il funzionamento delle banche e per la fiducia dei consumatori. Intesa Sanpaolo, la più grande banca d’Italia, dovrà ora rispondere non solo alle domande della Procura e di Bankitalia, ma anche alle preoccupazioni dei suoi milioni di clienti, che si aspettano maggiore attenzione alla protezione dei loro dati personali.