L’autorità italiana per la protezione dei dati personali ha comminato a Poste Italiane e alla sua controllata PostePay una multa complessiva di oltre 12,5 milioni di euro. L’autorità ha concluso che le società hanno trattato illegalmente i dati personali di milioni di utenti attraverso le loro app mobili.
Il Garante per la protezione dei dati personali italiano (GPDP) ha comminato una sanzione di 6.624.000 euro a Poste Italiane e di 5.877.000 euro a PostePay per aver trattato illecitamente i dati personali di milioni di utenti.
Cosa è emerso dall’indagine
La decisione del GPDP fa seguito a un’indagine avviata nell’aprile 2024, dopo un’ondata di denunce da parte degli utenti delle app Android BancoPosta e PostePay. Al centro del caso c’era il modo in cui tali app gestivano l’accesso ai dati archiviati sui dispositivi mobili degli utenti.
Le app richiedevano agli utenti di autorizzare il monitoraggio di una serie di dati contenuti sui propri dispositivi mobili, comprese le applicazioni installate e in esecuzione, nel tentativo di identificare software dannoso. L’autorità di regolamentazione ha concluso che questo approccio era sproporzionato. Al di là delle intrusive funzionalità antifrode, l’indagine ha individuato lacune nella trasparenza, la mancanza di un’adeguata valutazione dell’impatto sulla protezione dei dati, misure di sicurezza insufficienti, pratiche di conservazione dei dati deboli e problemi di governance relativi ai ruoli dei responsabili del trattamento dei dati.
Oltre alle sanzioni pecuniarie, l’Autorità ha ordinato ad entrambe le società di cessare i trattamenti contestati laddove fossero ancora in corso e di adeguare le proprie pratiche di conservazione dei dati ai requisiti di legge. Devono avvisare l’autorità di regolamentazione una volta completate tali azioni correttive.
Poste Italiane respinge le conclusioni
Poste Italiane si è opposta con fermezza alla decisione. La società ha dichiarato di aver avuto accesso ai dati dei dispositivi dei clienti esclusivamente per attivare le protezioni antifrode e antimalware. Ha inoltre sostenuto che tali misure erano richieste dalle norme europee sui servizi di pagamento, in particolare dalla direttiva PSD2.
A sua difesa, la società ha richiamato anche una relativa sentenza del febbraio 2026, con la quale il TAR del Lazio ha annullato una separata sanzione irrogata dall’Antitrust sulla stessa tecnologia antifrode. Tale decisione, ha affermato la società, ha riconosciuto la piena legittimità del proprio comportamento e l’assenza di qualsiasi intento commerciale. Poste Italiane ha dichiarato che intende ricorrere al Tribunale di Roma, chiedendo l’annullamento della sentenza del Garante.
Il caso non è isolato. L’azione contro Poste Italiane fa seguito a un’altra decisione coercitiva di alto profilo all’inizio di quest’anno che ha coinvolto Intesa Sanpaolo, contro la quale l’autorità di regolamentazione ha imposto una sanzione di 31,8 milioni di euro dopo aver scoperto gravi carenze nella modalità di protezione dei dati dei clienti. Comprendeva un caso in cui un singolo dipendente aveva avuto accesso ai record dei clienti più di 6.600 volte senza alcun motivo aziendale legittimo.
