Il Garante per la protezione dei dati personali ha inflitto a Poste Italiane S.p.A. una sanzione di 6.624.000 euro e a Postepay S.p.A. una sanzione di 5.877.000 euro, per un totale superiore a 12,5 milioni di euro. Il provvedimento n. 237 del 17 aprile 2026 riguarda il trattamento illecito dei dati personali di milioni di utenti tramite le app BancoPosta e Postepay.
Come riporta Altalex, l’istruttoria era stata avviata a seguito di oltre 140 segnalazioni e 12 reclami pervenuti tra aprile e maggio 2024: gli utenti lamentavano di aver ricevuto un messaggio che li invitava ad autorizzare l’app ad accedere ai dati del proprio dispositivo per rilevare eventuali software dannosi. Tale autorizzazione era di fatto obbligatoria: in caso di mancata attivazione, dopo tre accessi l’operatività dell’app veniva bloccata.
Il sistema in questione era basato sulla libreria software di terze parti ThreatMetrix, che consentiva alle app di analizzare in tempo reale le operazioni effettuate e di scansionare l’elenco di tutte le applicazioni installate e in esecuzione sul dispositivo dell’utente. Il Garante ha rilevato che tale accesso era eccessivamente invasivo nella sfera privata degli utenti, in quanto non strettamente necessario rispetto alla finalità dichiarata di prevenzione delle frodi: l’obiettivo antifrode avrebbe potuto essere perseguito con strumenti meno invasivi.
Nel corso dell’istruttoria sono emerse ulteriori violazioni: un’informativa agli utenti lacunosa e priva di dettagli tecnici, l’assenza di una preventiva Valutazione d’Impatto sulla Protezione dei Dati (DPIA), mancata adozione di misure di sicurezza adeguate, politiche di conservazione dei dati insufficienti — i dati venivano trattenuti per 28 mesi, a fronte dei 24 inizialmente dichiarati — e irregolarità nella designazione del responsabile del trattamento.
Le due società si erano difese sostenendo che il monitoraggio fosse un obbligo imposto dalla direttiva europea sui servizi di pagamento (PSD2) e che i dati raccolti fossero utilizzati esclusivamente per finalità antifrode e antimalware, senza alcuno scopo commerciale. Il Garante ha tuttavia respinto queste argomentazioni, ritenendo le basi giuridiche invocate insufficienti a legittimare un trattamento di tale portata.
Oltre alle sanzioni pecuniarie, l’Autorità ha ordinato alle società di interrompere entro 10 giorni dalla notifica i trattamenti relativi alla raccolta dei dati sulle app installate o in esecuzione sui dispositivi degli utenti, e di individuare entro 30 giorni tempistiche specifiche di conservazione per i dati ancora trattati tramite ThreatMetrix. Il Garante ha accertato violazioni degli articoli 5, 6, 13, 25, 28, 32 e 35 del GDPR e dell’articolo 122 del Codice privacy.
Poste Italiane ha dichiarato di accogliere con stupore il provvedimento, definendolo viziato anche sul piano procedurale per essere stato adottato oltre i termini di legge. Il gruppo ha annunciato ricorso al Tribunale di Roma, richiamando anche una decisione del TAR del Lazio del 2 febbraio 2026 che aveva annullato una precedente sanzione dell’Antitrust per il medesimo sistema antifrode, riconoscendone la piena legittimità.
Aduc
