An ninh mạng

Ngân hàng lớn nhất Italy bị phạt 36 triệu USD vì truy cập trái phép dữ liệu hơn 3.500 khách hàng

Cơ quan bảo vệ dữ liệu Italy (Garante) vừa ra quyết định xử phạt ngân hàng Intesa Sanpaolo số tiền 31,8 triệu euro (tương đương khoảng 36 triệu USD) sau khi phát hiện hàng loạt vi phạm nghiêm trọng liên quan đến bảo mật dữ liệu cá nhân khách hàng.

13:16, 31/03/2026

Theo kết luận điều tra, vụ việc bắt nguồn từ một nhân viên của ngân hàng đã tự ý truy cập thông tin tài khoản của 3.573 khách hàng trong giai đoạn từ tháng 2/2022 đến tháng 4/2024. Tổng cộng, hơn 6.600 lượt tra cứu dữ liệu đã được thực hiện mà không có lý do hợp lệ.

Đáng chú ý, toàn bộ các truy cập trái phép này không bị phát hiện trong suốt thời gian dài, cho thấy những lỗ hổng đáng kể trong hệ thống kiểm soát nội bộ của ngân hàng. Cơ quan quản lý nhận định, các cơ chế giám sát và phòng ngừa của Intesa Sanpaolo tồn tại nhiều điểm yếu, không đủ khả năng phát hiện và ngăn chặn hành vi vi phạm.

Cuộc điều tra được khởi động sau khi chính ngân hàng công bố vụ vi phạm dữ liệu vào tháng 7/2024. Kết quả xác minh cho thấy mô hình vận hành của Intesa Sanpaolo cho phép nhân viên có thể truy vấn dữ liệu trên phạm vi toàn bộ khách hàng một cách linh hoạt, nhưng lại thiếu các biện pháp kiểm soát tương xứng để phát hiện truy cập bất thường.

Cơ quan bảo vệ dữ liệu Italy nhấn mạnh, đây là “thiếu sót nghiêm trọng trong bảo mật dữ liệu cá nhân”, xuất phát từ việc các biện pháp kỹ thuật và tổ chức được triển khai không đầy đủ.

Trong số các khách hàng bị ảnh hưởng có nhiều cá nhân giữ vai trò công chúng quan trọng và được xếp vào nhóm “rủi ro cao”. Theo quy định, những đối tượng này cần được áp dụng các cơ chế giám sát chặt chẽ hơn, song trên thực tế điều này đã không được đảm bảo.

Không chỉ dừng lại ở hành vi truy cập trái phép, cơ quan quản lý còn chỉ ra những bất cập trong cách ngân hàng xử lý sự cố. Cụ thể, việc thông báo tới các khách hàng bị ảnh hưởng bị cho là chưa đầy đủ, đồng thời không tuân thủ đúng thời hạn theo quy định pháp luật.

Phía Intesa Sanpaolo hiện chưa đưa ra bình luận chính thức về quyết định xử phạt.

Khi xác định mức phạt, cơ quan chức năng đã xem xét nhiều yếu tố, bao gồm mức độ nghiêm trọng và thời gian kéo dài của vi phạm, số lượng khách hàng bị ảnh hưởng, cũng như các biện pháp khắc phục mà ngân hàng đã triển khai sau khi vụ việc bị phát hiện nhằm tăng cường hệ thống kiểm soát nội bộ và bảo mật dữ liệu.

Vụ việc một lần nữa cho thấy những thách thức lớn trong bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính - ngân hàng, đặc biệt khi các hệ thống kiểm soát nội bộ không theo kịp mức độ phức tạp và quy mô của hoạt động vận hành.

Lệ Thanh

An ninh mạng
ngân hàng tài chính Italy rò rỉ dữ liệu dữ liệu cá nhân bảo vệ dữ liệu

Các nước Bắc Âu và Estonia triển khai hệ thống thanh toán thẻ ngoại tuyến đề phòng mất kết nối Internet

Công ty an ninh mạng CrowdStrike sa thải hàng trăm nhân viên

Bình luận

Sự kiện & Quan điểm
Đặt lại vai trò của sandbox trong đổi mới sáng tạo và quản trị rủi ro

Đặt lại vai trò của sandbox trong đổi mới sáng tạo và quản trị rủi ro

Sandbox đang được kỳ vọng như một công cụ tháo gỡ các rào cản thể chế cho đổi mới sáng tạo tại Việt Nam. Tuy nhiên, kinh nghiệm quốc tế cho thấy, nếu không đi kèm với thay đổi trong tư duy quản lý, sandbox rất dễ trở thành một cơ chế cấp phép mới, thậm chí tạo thêm rào cản cho doanh nghiệp. Vấn đề cốt lõi không nằm ở việc có sandbox hay không, mà ở cách hệ thống quản lý ứng xử với cái mới.