ServizioContenuto basato su fatti, osservati e verificati dal reporter in modo diretto o riportati da fonti verificate e attendibili.Scopri di più
Pagamenti digitali

Privacy, multa da 12,5 milioni dal Garante a Poste Italiane

L’Authority contesta l’uso delle App per accedere ai dati dei clienti sui cellulari. La replica: «Comportamento corretto, faremo ricorso»

Adobe Stock

3' di lettura

English Version

Translated by AI.
For feedback, please contact
english@ilsole24ore.com

I punti chiave

3' di lettura

English Version

Translated by AI.
For feedback, please contact
english@ilsole24ore.com

Il Garante per la Privacy ha irrogato una sanzione complessiva da 12,5 milioni al gruppo Poste, di cui 6,624 euro a Poste Italiane e una di 5,877 milioni di euro a Postepay, per aver trattato illecitamente i dati personali di milioni di utenti.

La vicenda è stessa dalla quale era originata una multa da 4 milioni erogata dall’Antitrust nel giugno 2025, annullata però quest’anno dal Tar dopo il ricorso di Poste. L’istruttoria del Garante per la Privacy era partita a seguito di 140 segnalazioni e 12 reclami a partire dai mesi di aprile e maggio 2024 sul fatto che gli utenti delle App Bancoposta e PostePay avevano ricevuto messaggi di invito ad «autorizzare l’App ad accedere ai dati per rilevare la presenza di eventuali software dannosi».

Loading...

L’autorizzazione era obbligatoria altrimenti l’operatività sarebbe stata inibita. Con l’autorizzazione si consentiva l’accesso a dati di utilizzo, al fine di monitorare le App usate dai clienti, la frequenza di utilizzo e identificare operatore telefonico. Tali applicazioni prevedevano quindi, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli. Il trattamento veniva svolto tramite ThreatMetrix, che nella sostanza è una componente della piattaforma antifrode di Poste che consente di analizzare in tempo reale le operazioni realizzate tramite l’App e fornisce un indice di rischio associato alle operazioni stesse.

Il Garante: applicativo eccessivamente invasivo sugli utenti

Nel provvedimento adottato ieri si legge che, dopo una prima fase di approfondimenti Garante, ha concluso che «la configurazione dell’applicativo ThreatMetrix appariva eccessivamente invasiva della sfera giuridica dell’interessato, in quanto il pur rilevante obiettivo di innalzare il livello di sicurezza informatica e di operare un maggiore controllo antifrode avrebbe potuto utilmente essere raggiunto dalle società mediante l’utilizzo di strumenti, eventualmente anche combinati tra loro, meno impattanti sui diritti degli utenti finali».

La società: trattamenti necessarie per le norme sui pagamenti

Secondo quanto dichiarato dalle società, invece, i trattamenti adottati sarebbero stati necessari per garantire la sicurezza delle operazioni e conformarsi alla normativa in materia di servizi di pagamento. In particolare Poste ha fatto riferimento ai regolamenti dell’Eba e alla direttiva Ue sulla Psd2. Il Garante ha tuttavia rilevato che le modalità adottate comportavano un’ingerenza eccessivamente invasiva nella sfera privata degli utenti, in quanto non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi. Nel corso dell’istruttoria sono inoltre emerse diverse violazioni della normativa in materia di protezione dei dati personali, tra cui carenze nell’informativa resa agli utenti, assenza di un’adeguata valutazione di impatto sulla protezione dei dati (Dpia), mancata adozione di misure di sicurezza adeguate e di idonee politiche di conservazione dei dati, nonché irregolarità nella designazione del responsabile del trattamento.

Oltre alle sanzioni chiesta la cessazione dei comportamenti

Oltre alle sanzioni, l’Autorità ha ingiunto alle società di cessare i trattamenti oggetto di contestazione (anche se ormai sono passati 28 mesi e le due App non esistono più ma sono state fuse in un’unica grande App) ove non vi abbiano già provveduto, e di adeguarsi alle prescrizioni in materia di conservazione dei dati, dandone comunicazione al Garante.

La replica della società non si è fatta attendere. «Poste Italiane accoglie con stupore il provvedimento con il quale il Garante Privacy ha comminato una sanzione per un presunto trattamento illecito dei dati personali degli utenti BancoPosta e PostePay. Provvedimento che, peraltro, oltre che nel merito, è viziato anche sotto il profilo procedimentale, essendo stato adottato in palese ritardo rispetto ai termini perentori previsti dalla legge per l’esercizio dei poteri del Garante», si legge in una nota diffusa dal gruppo dei recapiti. «A tal riguardo, si sottolinea che il 2 febbraio 2026 il Tar Lazio ha annullato il provvedimento con cui l’Antitrust aveva sanzionato Poste Italiane per una presunta pratica commerciale scorretta relativa al medesimo dispositivo antifrode oggetto delle odierne censure del Garante, riconoscendone la piena legittimità e l’assenza di qualsivoglia intento commerciale nelle condotte di Poste», si afferma.

Poste Italiane «respinge ogni addebito e ribadisce la correttezza e la trasparenza del proprio operato. In particolare, come riconosciuto anche da Banca d’Italia, il Gruppo ha utilizzato legittimamente e in conformità con la normativa in materia di servizi di pagamento l’accesso ai dati tecnici dei dispositivi dei clienti, finalizzati esclusivamente all’attivazione di presidi antifrode e antimalaware, come richiesto dalla normativa europea (Direttiva PSD2), per una piena tutela della sicurezza degli utenti». Infine il gruppo dei recapiti annuncia che «presenterà ricorso per l’annullamento del provvedimento presso il Tribunale di Roma».

Riproduzione riservata ©
Loading...

Le ultime di 24+

Brand connect

Loading...

I prossimi eventi

Tutti gli eventi

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti