Intesa Sanpaolo, Isybank에 176억 벌금 부과: 고객 데이터 이전의 대가, 우리가 알아야 할 모든 것

이탈리아에서 '공짜는 없다'라는 말, 정답이었습니다. 특히 은행 얘기를 할 때면 더욱 그렇죠. 앱으로 '혜택'이라는 이름으로 날아오는 제안을 받아들였는데, 나중에 알고 보니 IBAN이 바뀌어 있고 가까운 지점은 사라져 있는 경험, 다들 한 번쯤 해보셨을 겁니다. 요즘 이탈리아 전역에서 화제가 되고 있는 뉴스는 바로 Intesa Sanpaolo에 대한 176억 원(1,760만 유로)의 벌금 부과 소식입니다. 결코 적지 않은 금액이며, 개인정보보호 감독기관이 Isybank로의 '강제 이전' 사태에 "이제 그만"이라고 선언하며 꺼내 든 칼이나 다름없습니다.

대체 무슨 일이 있었던 걸까? Intesa Sanpaolo Isybank 벌금 사건의 전말

자, 편안하게 앉아서 이야기를 들어보세요. 제가 직접 겪은 이야기처럼 생생하게 들려드리겠습니다. 2023년 말부터 2024년 초 사이에 일어난 일입니다. Intesa Sanpaolo 그룹은 디지털 전환에 박차를 가하기로 결정하고, 완전히 온라인 기반으로 운영되는 자회사 Isybank를 설립했습니다. 지점 없이 오직 앱으로만 거래하는 은행이었죠. 여기까지만 보면 현대적이고 매력적으로 느껴집니다. 문제는 이 새로운 은행에 고객을 채우는 '방식'이었습니다.

은행은 약 240만 명의 고객을 선별해 일방적으로 Isybank로 이전시켰습니다. 어떤 기준이었을까요? 마치 시장에서 좋은 과일을 고르듯, 고객을 철저히 프로파일링했습니다. 65세 미만, 투자 상품(펀드나 주식 등) 미보유, 일정 금액(약 1억 유로 미만으로 알려짐) 이하의 금융 자산, 홈뱅킹 이용 빈도가 높은 고객들이 그 대상이었습니다. 쉽게 말해, 디지털에 익숙한 고객들을 지점 없는 '약속의 땅'으로 이끌려 했던 것이죠.

쟁점: 불법적인 데이터 처리와 '유령' 같은 통보 방식

바로 여기가 문제의 핵심입니다. 은행의 발목을 잡은 부분이기도 하고요. 이 같은 고객 선별 작업을 위해 Intesa Sanpaolo는 '정당한 이익'을 근거로 고객의 개인 데이터를 활용했습니다. "정당한 이익이라면 문제될 게 없지 않나?"라고 생각하실 수 있습니다. 물론 중요한 법적 근거입니다. 하지만 감독기관은 이번 건에서는 '정당한 이익'만으로는 충분하지 않다고 판단했습니다. 고객의 은행 생활 자체를 근본적으로 바꾸는(급여 이체를 받는 새로운 IBAN, 사라진 오프라인 지점, 새로운 데이터 '관리자'와의 관계) 중대한 변경에는 명시적인 동의가 필요했기 때문입니다. 그러나 그 동의는 구해지지 않았습니다. 결과는? 불법적인 데이터 처리였고, 벌금은 당연한 수순이었습니다.

게다가 고객들의 분노에 기름을 부은 결정적 요소가 하나 더 있습니다. 이 엄청난 변화를 대체 어떻게 고객들에게 알렸을까요? 명확한 푸시 알림도, SMS도 아니었습니다. Intesa Sanpaolo 앱의 '보관함' 메뉴에 관련 통지문을 몰래 넣어둔 것입니다. 그리고 그 시기는, 맞춰보세요. 바로 한창 여름휴가철이었습니다. 모두의 머릿속이 바다와 아이스크림으로 가득 찬 그 시기에 말이죠. 사실상 아무도 제때 알아채고 반대하지 못하게 하려는 완벽한 전략이었습니다. 감독기관 역시 이러한 통보 방식이 "부적절"했으며, 시대착오적인 변화에 대해 제대로 알리지 않았다고 지적했습니다.

고객들은 어떻게 해야 할까? 상황별 대처 가이드

자, 그렇다면 모두가 궁금해하는 질문입니다. "이 난리통에 휩쓸린 나는 어떻게 해야 하지?" 은행은 벌금을 내게 되었고(적은 돈도 아니고), 여러분에게는 권리가 있습니다. 지금부터 상황을 분석하고 대처하는 방법을 알려드리겠습니다:

• 이미 일어난 일은 어쩔 수 없나요? 대부분의 경우 그렇습니다. 이미 이전된 고객이라면 거래 조건과 방식이 바뀌는 불편을 감수해야 했습니다. 감독기관도 이것이 명백한 '불편 초래'라고 인정했습니다.
• 다시 되돌아갈 수 있나요? 이것이 가장 중요한 포인트입니다. 이전 당시, 명확하게 반대 의사를 표시할 기회가 주어졌는지 확인해야 합니다. 앞서 설명한 통보 방식을 고려하면, 대다수 고객은 제대로 된 정보에 기반해 선택할 기회조차 얻지 못했을 가능성이 높습니다. 원칙적으로 모든 관계는 고객의 명확한 동의 위에 구축되어야 합니다.
• 지금 당장 뭘 해야 할까요? 여러분이 240만 명의 '당사자' 중 한 명이라면, 눈을 크게 뜨고 지켜봐야 합니다. 이미 소비자 단체에서는 이 사건을 주시하며 움직이기 시작했습니다. 손해배상을 청구하거나, 최소한 모회사인 Intesa Sanpaolo와의 기존 거래 조건으로 되돌려 줄 것을 요구할 권리가 생길 수 있습니다.

Isybank: 100만 고객 돌파, 그리고 써 내려가야 할 미래

이 모든 와중에도 Isybank는 2026년 초 기준 이미 100만 명이 넘는 고객을 확보하며 2029년까지 두 배 성장을 목표로 하고 있습니다. 클라우드 네이티브 은행으로서 시대의 흐름을 반영한, 핀테크 기업들과 경쟁하기 위해 탄생한 존재입니다. 하지만 이번 176억 원(1,760만 유로)의 벌금은 은행의 명예에 큰 타격입니다. 벌금 자체는 일회성일 수 있지만, 신뢰의 문제는 별개이기 때문입니다. 신뢰는 유리와 같아서, 한번 금이 가면 예전으로 되돌리기 어렵다는 사실, 우리 모두 잘 알고 있습니다.

감독기관은 벌금 액수를 결정하면서 방대한 피해 고객 수와 위반 행위의 중대성을 고려했습니다. 동시에 은행이 조사에 협조한 점과 행위가 '고의적'이기보다는 '과실'에 가깝다는 점(즉, 범죄 의도보다는 상당한 수준의 경솔함에서 비롯된 행위)도 참작했습니다. 마치 "잘못은 크게 했으니, 그 대가도 크게 치르라"는 메시지나 다름없습니다.

결국, 이 사건은 현재 진행형입니다. 은행은 행정법원(TAR)에 항소할 수 있으며, 고객인 우리는 계속해서 주시하고 목소리를 내야 합니다. 오늘의 교훈은 간단합니다. 은행에서 어떤 통지가 오든, 앱의 보관함에 숨겨져 있더라도 반드시 읽어야 한다는 것입니다. 그리고 뭔가 이상하다고 느껴진다면, 이제 여러분 뒤에는 (아마도) 감독기관이 있다는 사실을 기억하시기 바랍니다.