Mancata verifica su richieste di informazioni assicurative: multa del Garante

Con provvedimento n. 389 del 10 luglio 2025, il Garante per la protezione dei dati personali ha accertato una grave violazione della normativa in materia di privacy da parte di una compagnia assicurativa, sanzionata con 80.000 euro. 

Il caso ha origine da un reclamo presentato ai sensi dell’art. 77 del Regolamento (UE) 2016/679, che ha evidenziato la comunicazione non autorizzata di informazioni personali relative a tre polizze vita a un indirizzo email estraneo alla titolare.

Secondo quanto ricostruito, la compagnia aveva ricevuto diverse richieste contenenti informazioni dettagliate sulle polizze, corredate da firma autografa e altri dati identificativi. In buona fede, ritenendo legittime le richieste, l’azienda ha fornito riscontro a tali comunicazioni tra il 2021 e il 2023, senza verificare con certezza l’identità del mittente. Solo nel settembre 2024, a seguito della segnalazione della reale intestataria, è emerso che le comunicazioni erano state inviate da un soggetto terzo che si era finto lei, utilizzando un indirizzo email tedesco mai registrato dalla cliente, in un caso di "phishing" contro il quale la compagnia non aveva messo in atto le dovute precauzioni.

L’istruttoria del Garante e le responsabilità accertate

La compagnia ha riferito di aver agito con diligenza e in buona fede, spiegando che le richieste apparivano verosimili per la presenza di dettagli specifici, come importi e date dei versamenti, e la firma autografa dell’intestataria. Tuttavia, il Garante ha sottolineato che la cliente non aveva mai fornito un indirizzo email per ricevere comunicazioni ufficiali e  che pertanto l’azienda avrebbe dovuto adottare misure più rigorose per verificare l’identità del richiedente.

Nel corso dell’istruttoria è emerso che, pur essendo a conoscenza del disconoscimento dell’indirizzo email già da settembre 2024, la compagnia ha notificato la violazione all’Autorità solo a gennaio 2025, superando il termine di 72 ore previsto dall’art. 33 del Regolamento (UE) 2016/679. Secondo le Linee guida 9/2022 del Comitato europeo per la protezione dei dati, il titolare del trattamento è considerato “a conoscenza” della violazione non appena ha ragionevole certezza che si sia verificato un incidente di sicurezza.

Il Garante ha evidenziato come la mancanza di verifica preventiva e il ritardo nella notifica abbiano costituito violazioni dei principi di liceità, correttezza e sicurezza dei dati (art. 5, par. 1, lett. a) e f), e art. 33, par. 1 del Regolamento), dichiarando illecito il trattamento dei dati personali da parte della compagnia

.

La sanzione e le misure correttive adottate

Alla luce della natura colposa della violazione e del fatto che questa ha interessato dati personali riferiti a polizze vita, il Garante ha disposto una sanzione amministrativa pecuniaria pari a 80.000 euro. Nella determinazione dell’importo sono state considerate anche le misure correttive adottate dalla compagnia, tra cui:

• sospensione immediata delle comunicazioni all’indirizzo email disconosciuto;
• avvio di una revisione delle procedure aziendali per rafforzare i controlli sull’identità dei richiedenti;
• collaborazione con l’Autorità durante il procedimento;
• assenza di precedenti specifici.

Inoltre, la società ha presentato denuncia contro ignoti e ha previsto che, in futuro, le richieste relative ai rapporti contrattuali potranno essere evase solo in presenza di specifiche condizioni, come l’uso di recapiti certificati o l’allegazione di un documento di identità.

Il Garante ha disposto la pubblicazione dell’ordinanza di ingiunzione sul proprio sito istituzionale, come previsto dall’art. 166 del Codice in materia di protezione dei dati personali, per garantire la massima trasparenza e informare cittadini e operatori sulle conseguenze delle violazioni in materia di trattamento dei dati personali.