文章总结： 意大利联合圣保罗银行因员工未授权访问客户数据被罚2.52亿元。2022至2024年间员工违规访问3573名高风险客户数据，暴露内部控制缺陷。监管机构指出银行技术措施不足、通知不及时，需加强数据安全建设。 综合评分： 72 文章分类： 数据泄露,政策法规,安全建设,数据安全,安全运营

员工未授权访问客户数据超2年，银行巨头被罚超2.5亿元

安全内参编译 安全内参编译

安全内参

2026年4月3日 18:41 北京

在小说阅读器读本章

去阅读

关注我们

带你读懂网络安全

意大利金融巨头联合圣保罗银行在客户数据保护存在严重缺陷，员工2年多时间未授权访问了3千余名客户数据，未被内控系统发现，特别是被访问客户中有公众人物等高风险群体，被意大利数据保护局罚款超2.5亿元。

前情回顾·网络安全合规执法

• 违反《个人信息保护法》，被罚超4400万元
• 金融机构泄露客户敏感数据，被罚超1200万元
• 未履行网络安全保护义务，快手被罚1.191亿元
• 政府泄露数千万公民求职信息被罚超4100万元

安全内参4月3日消息，意大利监管机构日前宣布，对该国最大金融机构之一处以3180万欧元（约合人民币2.52亿元）的罚款。处罚原因是，在长达两年多的时间内，该机构存在不当访问行为，涉及超过3500名客户的银行信息。

意大利数据保护局对联合圣保罗银行股份有限公司（Intesa Sanpaolo SpA）作出处罚决定，指出其在个人数据安全方面存在严重缺陷，根源在于所采用的技术措施和组织管理措施不足。

该银行于2024年7月披露发生数据泄露事件，监管机构随后展开调查。调查结果显示，在2022年2月至2024年4月期间，一名员工在缺乏正当理由的情况下，访问了3573名客户的银行信息。

监管机构在新闻稿中指出，这些未授权访问行为未被内部控制系统及时发现，暴露出监测与防范机制存在重大弱点。现行操作模式允许工作人员以循环方式查询整个客户群体，但缺乏足够的控制手段来防止并识别未授权访问。

值得关注的是，被访问账户的客户被认定为高风险群体，其中包括多位知名公众人物。监管机构认为，联合圣保罗银行理应对这类客户实施更严格的安全控制措施。

新闻稿指出，在应对此次数据泄露过程中，该银行还存在其他不当行为。例如，对受影响客户的通知内容不完整，且晚于法律规定的时限。

联合圣保罗银行的一名发言人对此拒绝置评。

监管机构表示，罚款金额综合考虑了违规行为的严重程度、持续时间、受影响客户数量，以及银行在问题暴露后所采取的整改措施等因素。

参考资料：bleepingcomputer.com

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参 安全内参编译 安全内参编译《员工未授权访问客户数据超2年，银行巨头被罚超2.5亿元》