Il Garante per la Privacy ha irrogato una sanzione complessiva da 12,5 milioni al gruppo Poste, di cui 6,624 euro a Poste Italiane e una di 5,877 milioni di euro a Postepay, per aver trattato illecitamente i dati personali di milioni di utenti.
La vicenda è stessa dalla quale era originata una multa da 4 milioni erogata dall’Antitrust nel giugno 2025, annullata però quest’anno dal Tar dopo il ricorso di Poste. L’istruttoria del Garante per la Privacy era partita a seguito di 140 segnalazioni e 12 reclami a partire dai mesi di aprile e maggio 2024 sul fatto che gli utenti delle App Bancoposta e PostePay avevano ricevuto messaggi di invito ad «autorizzare l’App ad accedere ai dati per rilevare la presenza di eventuali software dannosi».
L’autorizzazione era obbligatoria altrimenti l’operatività sarebbe stata inibita. Con l’autorizzazione si consentiva l’accesso a dati di utilizzo, al fine di monitorare le App usate dai clienti, la frequenza di utilizzo e identificare operatore telefonico. Tali applicazioni prevedevano quindi, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli. Il trattamento veniva svolto tramite ThreatMetrix, che nella sostanza è una componente della piattaforma antifrode di Poste che consente di analizzare in tempo reale le operazioni realizzate tramite l’App e fornisce un indice di rischio associato alle operazioni stesse.
Il Garante: applicativo eccessivamente invasivo sugli utenti
Nel provvedimento adottato ieri si legge che, dopo una prima fase di approfondimenti Garante, ha concluso che «la configurazione dell’applicativo ThreatMetrix appariva eccessivamente invasiva della sfera giuridica dell’interessato, in quanto il pur rilevante obiettivo di innalzare il livello di sicurezza informatica e di operare un maggiore controllo antifrode avrebbe potuto utilmente essere raggiunto dalle società mediante l’utilizzo di strumenti, eventualmente anche combinati tra loro, meno impattanti sui diritti degli utenti finali».
La società: trattamenti necessarie per le norme sui pagamenti
Secondo quanto dichiarato dalle società, invece, i trattamenti adottati sarebbero stati necessari per garantire la sicurezza delle operazioni e conformarsi alla normativa in materia di servizi di pagamento. In particolare Poste ha fatto riferimento ai regolamenti dell’Eba e alla direttiva Ue sulla Psd2. Il Garante ha tuttavia rilevato che le modalità adottate comportavano un’ingerenza eccessivamente invasiva nella sfera privata degli utenti, in quanto non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi. Nel corso dell’istruttoria sono inoltre emerse diverse violazioni della normativa in materia di protezione dei dati personali, tra cui carenze nell’informativa resa agli utenti, assenza di un’adeguata valutazione di impatto sulla protezione dei dati (Dpia), mancata adozione di misure di sicurezza adeguate e di idonee politiche di conservazione dei dati, nonché irregolarità nella designazione del responsabile del trattamento.
