Sedici milioni e mezzo di euro è il conto complessivo che il gruppo Poste Italiane si trova ad affrontare per una scelta tecnologica presentata come misura di sicurezza. L’ultimo atto si è consumato oggi, con il provvedimento del Garante per la protezione dei dati personali che ha irrogato sanzioni per oltre 12,5 milioni di euro: 6.624.000 euro a Poste Italiane e 5.877.000 euro alla controllata Postepay.
La vicenda prende le mosse nell’aprile del 2024, quando milioni di clienti delle app BancoPosta e Postepay si trovano davanti a un messaggio inatteso. Per continuare a usare il servizio devono autorizzare l’accesso all’elenco delle applicazioni installate e in esecuzione sul proprio dispositivo. La giustificazione fornita da Poste è la prevenzione delle frodi, citando i requisiti rafforzati previsti dalla normativa europea sui servizi di pagamento. Chi rifiuta viene avvertito che dopo un numero limitato di accessi, fissato inizialmente a tre e poi portato a cinque, l’app sarà bloccata. Una pressione che mette gli utenti di fronte a una scelta senza reale alternativa, dato che si parla di strumenti legati alla gestione quotidiana del conto corrente e dei pagamenti. Le segnalazioni ad Altroconsumo si moltiplicano fin dai primi giorni: molti pensano inizialmente a un tentativo di phishing. L’associazione contatta Poste direttamente, ottiene conferma dell’autenticità del messaggio e chiede l’intervento del Garante, sostenendo che la pratica sia sproporzionata e lesiva dei diritti degli utenti.
L’istruttoria dell’Autorità, avviata a seguito di numerose segnalazioni e reclami pervenuti a partire da aprile 2024, ha riguardato, in particolare, le modalità di funzionamento delle app BancoPosta e Postepay. Tali applicazioni prevedevano, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli. Secondo quanto dichiarato dalle società, tali trattamenti sarebbero stati necessari per garantire la sicurezza delle operazioni e conformarsi alla normativa in materia di servizi di pagamento.
Il Garante ha tuttavia rilevato che le modalità adottate comportavano un’ingerenza eccessivamente invasiva nella sfera privata degli utenti, in quanto non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi. Nel corso dell’istruttoria sono inoltre emerse diverse violazioni della normativa in materia di protezione dei dati personali, tra cui carenze nell’informativa resa agli utenti, assenza di un’adeguata valutazione di impatto sulla protezione dei dati (Dpia), mancata adozione di misure di sicurezza adeguate e di idonee politiche di conservazione dei dati, nonché irregolarità nella designazione del responsabile del trattamento.
La prima sanzione con l’Antitrust che chiude la sua istruttoria a giugno 2025
In realtà, il primo provvedimento sanzionatorio arriva dall’Autorità Garante della Concorrenza e del Mercato arriva a giugno 2025 e non è leggero. Si tratta di quattro milioni di euro di sanzione (ridotta dai precedenti sei milioni grazie alle misure correttive già adottate da Poste, che aveva rimosso il blocco forzato a febbraio 2025) per pratica commerciale scorretta e aggressiva ai sensi degli articoli 20, 24 e 25 del Codice del Consumo. Il procedimento aveva accertato che la pratica, attiva tra aprile 2024 e febbraio 2025, aveva coinvolto tra i 10 e i 15 milioni di clienti, di cui alcune centinaia di migliaia avevano subito il blocco dell’app dopo aver rifiutato di prestare il consenso. Secondo l’Antitrust, subordinare l’accesso a servizi essenziali al rilascio di un consenso non strettamente necessario non costituisce una scelta libera con l’aggravante che il prezzo del rifiuto era l’esclusione da strumenti di cui non si può fare a meno.
Il parere del Garante Privacy, acquisito nel corso dell’istruttoria AGCM, non era stato reso pubblico nel testo del provvedimento, ma traduceva sostanzialmente la scorrettezza commerciale accertata dall’Antitrust in termini di violazioni della normativa sulla protezione dei dati personali.
Il provvedimento del Garante del 20 aprile 2026 aggiunge un livello di analisi distinto rispetto a quello dell’Antitrust. Le violazioni contestate riguardano il Regolamento UE 2016/679 su più fronti. Il principio di minimizzazione dei dati (art. 5, par. 1, lett. c del GDPR) impone che i dati trattati siano adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alla finalità dichiarata: raccogliere l’intero catalogo delle app installate su milioni di dispositivi eccede questo perimetro, secondo il Garante, perché l’obiettivo antifrode avrebbe potuto essere perseguito con strumenti meno invasivi. Le basi giuridiche invocate da Poste, esecuzione del contratto e adempimento di un obbligo di legge in riferimento alla normativa PSD2, sono state ritenute insufficienti a legittimare un trattamento di tale portata, in assenza di una dimostrazione rigorosa della stretta necessità della misura. A queste violazioni si aggiungono l’informativa agli utenti lacunosa e priva di dettagli tecnici, l’assenza di una preventiva Valutazione d’Impatto sulla Protezione dei Dati (obbligatoria per trattamenti ad alto rischio su larga scala), carenze nelle misure di sicurezza e nelle politiche di conservazione dei dati e irregolarità formali nella designazione dei responsabili del trattamento ai sensi dell’art. 28 GDPR.
Oltre le sanzioni economiche. Le misure inibitorie e il valore del precedente
Oltre alle sanzioni pecuniarie, il Garante ha disposto misure inibitorie, imponendo la cessazione dei trattamenti contestati e l’adeguamento alle prescrizioni in materia di conservazione dei dati, con obbligo di comunicare all’Autorità le misure concretamente adottate. Le due sanzioni del Garante sono distinte perché BancoPosta fa capo a Poste Italiane e Postepay all’omonima controllata, con trattamenti di dati gestiti separatamente, ma le violazioni contestate sono sostanzialmente le stesse su entrambi i fronti. La stessa condotta ha prodotto l’intervento di tre autorità, AGCM, Garante Privacy, con il contributo di Banca d’Italia e AGCOM, ciascuna competente per un profilo diverso della medesima scelta tecnologica e cioè tutela del consumatore, protezione dei dati personali, regolazione dei servizi di pagamento e comunicazione elettronica.
Poste Italiane aveva adottato misure correttive ancor prima della conclusione formale dei procedimenti, rimuovendo il blocco forzato a febbraio 2025 e consentendo la revoca del consenso già prestato. Questo non ha evitato le sanzioni, ma ha contribuito alla riduzione di quella dell’AGCM per ravvedimento operoso. Non è bastato, evidentemente, a scongiurare la stangata da parte del Garante.
