Intesa Sanpaolon Isybankille määrättiin 17,6 miljoonan euron sakko asiakastietojen siirrosta: Tässä on mitä tiedämme

Sitä on sanottu ennenkin: kukaan ei anna mitään ilmaiseksi. Varsinkaan, kun on kyse pankeista ja niistä sovellukseesi ilmestyvistä "eduista", jotka vaikuttavat hyviltä tarjouksilta, mutta ennen kuin huomaatkaan, tilinumerosi on vaihtunut ja lähikonttori kadonnut. Nyt puskaradio ja toimistot ympäri maata puhuvat yhdestä asiasta: Intesa Sanpaolon saamasta 17,6 miljoonan euron sakosta. Kyse ei ole mistään pikkusummasta, ja tietosuojavaltuutettu veti tämän kaniinin hatusta osoittaakseen, että Isybankiin siirtojen kanssa on menty metsään.

Mitä oikein tapahtui? Intesa Sanpaolo Isybank -sakon taustat

Kerrataanpa tilanne alusta, ihan kuin olisin itse kokenut sen. Oli vuoden 2023 loppu ja 2024 alku. Intesa Sanpaolo -konserni päätti painaa kaasua digitalisaatiossa ja loi Isybankin, täysin verkossa toimivan tytärpankkinsa. Ei konttoreita, pelkkä sovellus. Tähän asti kaikki kuulostaa hienolta ja modernilta. Ongelma piilee siinä, miten he päättivät hankkia asiakkaita tälle uudelle tulokkaalle.

Noin 2,4 miljoonaa asiakasta siirrettiin Isybankiin ilman suostumusta. Keitä nämä valitut olivat? Heidät poimittiin kuin parhaat hedelmät kaupassa: alle 65-vuotiaat, ei sijoitustuotteita (kuten rahastoja tai osakkeita), tietyn varallisuusrajan alle jäävät (puhutaan alle 100 000 euron talletuksista) ja ahkerat verkkopankin käyttäjät. Toisin sanoen diginatiivit, valmiita siirtymään uuteen luvattuun maahan ilman konttoreita.

Ydinongelma: laiton tietojen käsittely ja huomaamattomat viestit

Tässä kohtaa homma meni pieleen. Pankki sortui virheeseen. Tehdäkseen tämän valikoinnin, Intesa Sanpaolo käytti asiakkaidensa henkilötietoja vedoten "oikeutettuun etuun". Mutta hetkinen, eikö oikeutettu etu ole laillinen peruste? On kyllä, mutta tietosuojavaltuutettu katsoi, ettei se tässä tapauksessa riittänyt. Kyseessä oli toimenpide, joka oikeasti muuttaa pankkiarjensi (uusi tilinumero palkanmaksua varten, fyysisen konttorin katoaminen, uusi tietojen "käsittelijä"). Tällaiseen olisi tarvittu nimenomainen suostumus. Sitä ei kysytty. Lopputulos? Laiton tietojen käsittely, ja sakot pöytään.

Ja sitten se kaikkein ärsyttävin yksityiskohta: miten he viestivät tästä mullistuksesta? Ei selkeällä push-ilmoituksella, ei tekstiviestillä. He kätkivät tiedotteen Intesa Sanpaolon sovelluksen "arkisto"-osioon. Ja arvaatteko vielä tämän? He tekivät sen keskellä kesää. Siihen aikaan, kun kaikilla on ajatukset rannalla ja jäätelöllä. Täydellinen strategia, jotta kukaan ei huomaisi ajoissa ja ehtisi vastustaa siirtoa. Tietosuojavaltuutetun mukaan viestintä oli "puutteellista" eikä antanut tarpeeksi näkyvyyttä mullistavalle muutokselle.

Mitä tämä tarkoittaa asiakkaille? Käytännön opas

Nyt kaikki varmasti miettivät: "Jos minut tähän soppaan sotkettiin, mitä minun pitäisi tehdä?" Sakko on langetettu, pankki maksaa sen (eikä kyse ole pienestä summasta), mutta teillä on oikeuksia. Tässä pieni tilannekatsaus ja ohjeet toimintaan:

• Onko vahinko jo tapahtunut? Monille kyllä. Jos sinut siirrettiin, olet kärsinyt muutoksista palveluehdoissa ja arjen pankkitoiminnoissa. Tietosuojavaltuutettu toteaa tämän olleen "haittaa".
• Voinko palata takaisin? Tässä on koko homman ydin. Sinun pitää tarkistaa, annettiinko siirron yhteydessä selkeä mahdollisuus kieltäytyä. Kun viestintä oli mitä oli, on todennäköistä, ettei moni pystynyt tekemään tietoista päätöstä. Teoriassa suhteen olisi pitänyt perustua omaan harkittuun valintaasi.
• Mitä nyt pitäisi tehdä? Jos kuulut näihin 2,4 miljoonaan asiakkaaseen, pidä silmät auki. Kuluttajajärjestöt ovat jo haistaneet palaneen käryä. Sinulla voi olla oikeus korvauksiin tai ainakin vaatimukseen palata vanhoihin ehtoihin Intesa Sanpaolon (emopankin) asiakkaana.

Isybank: miljoona asiakasta ja tulevaisuus avoinna

Kaikesta huolimatta Isybank on saavuttanut jo yli miljoona asiakasta vuoden 2026 alussa ja tavoittelee tuplaamista vuoteen 2029 mennessä. Se on "cloud-native"-pankki, aikansa lapsi, luotu kilpailemaan fintechien kanssa. Mutta tämä 17,6 miljoonan euron sakko on kova isku maineelle. Sakko on kertaluonteinen, mutta luottamus on asia erikseen. Ja luottamus on kuin lasi: kerran säröille mennyt, sitä on vaikea saada ennalleen.

Tietosuojavaltuutettu otti sakon suuruudessa huomioon valtavan määrän asiakkaita ja rikkomuksen vakavuuden, mutta myös pankin yhteistyöhalukkuuden ja sen, että toiminta oli "huolimatonta" eikä "tahallista" (eli he eivät tarkoituksella rikkoneet lakia, mutta toimivat huomattavalla huolimattomuudella). Vähän niin kuin: "Typerästi toimitte, ja se tulee kalliiksi."

Tapaus ei ole vielä loppuun käsitelty. Pankki voi valittaa päätöksestä hallinto-oikeuteen, ja te, hyvät asiakkaat, voitte vain olla tarkkana. Tämän päivän opetus on yksinkertainen: kun pankista tulee viesti, vaikka se olisi piilotettu sovelluksen virtuaalilaatikkoon, lue se. Ja jos joku askarruttaa, nyt tiedätte, että tietosuojavaltuutettu saattaa olla teidän puolellanne.