文章总结： 意大利联合圣保罗银行因员工在2022年2月至2024年4月期间未授权访问3573名客户数据被罚3180万欧元。监管机构指出银行内控系统存在严重缺陷，未能及时发现异常访问行为，尤其对高风险客户缺乏严格管控。事件暴露了技术措施和组织管理的不足，建议金融机构加强访问权限监控机制。 综合评分： 78 文章分类： 数据安全,安全建设,政策法规,安全运营,应用安全

员工未授权访问客户数据超2年，银行巨头被罚超2.5亿元

安全内参编译 安全内参编译

奇安信集团

2026年4月7日 17:19 北京

在小说阅读器读本章

去阅读

意大利金融巨头联合圣保罗银行在客户数据保护存在严重缺陷，员工2年多时间未授权访问了3千余名客户数据，未被内控系统发现，特别是被访问客户中有公众人物等高风险群体，被意大利数据保护局罚款超2.5亿元。

安全内参4月3日报道，意大利监管机构日前宣布，对该国最大金融机构之一处以3180万欧元（约合人民币2.52亿元）的罚款。处罚原因是，在长达两年多的时间内，该机构存在不当访问行为，涉及超过3500名客户的银行信息。

意大利数据保护局对联合圣保罗银行股份有限公司（Intesa Sanpaolo SpA）作出处罚决定，指出其在个人数据安全方面存在严重缺陷，根源在于所采用的技术措施和组织管理措施不足。

该银行于2024年7月披露发生数据泄露事件，监管机构随后展开调查。调查结果显示，在2022年2月至2024年4月期间，一名员工在缺乏正当理由的情况下，访问了3573名客户的银行信息。

监管机构在新闻稿中指出，这些未授权访问行为未被内部控制系统及时发现，暴露出监测与防范机制存在重大弱点。现行操作模式允许工作人员以循环方式查询整个客户群体，但缺乏足够的控制手段来防止并识别未授权访问。

值得关注的是，被访问账户的客户被认定为高风险群体，其中包括多位知名公众人物。监管机构认为，联合圣保罗银行理应对这类客户实施更严格的安全控制措施。

新闻稿指出，在应对此次数据泄露过程中，该银行还存在其他不当行为。例如，对受影响客户的通知内容不完整，且晚于法律规定的时限。

联合圣保罗银行的一名发言人对此拒绝置评。

监管机构表示，罚款金额综合考虑了违规行为的严重程度、持续时间、受影响客户数量，以及银行在问题暴露后所采取的整改措施等因素。

参考资料：bleepingcomputer.com

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信集团 安全内参编译 安全内参编译《员工未授权访问客户数据超2年，银行巨头被罚超2.5亿元》