L’istruttoria dell’Autorità, avviata a seguito di numerose segnalazioni e reclami pervenuti a partire da aprile 2024, ha riguardato, in particolare, le modalità di funzionamento delle app BancoPosta e Postepay
Il Garante per la protezione dei dati personali ha irrogato una sanzione di 6.624.000 euro a Poste Italiane S.p.A. e una di 5.877.000 euro a Postepay S.p.A., per aver trattato illecitamente i dati personali di milioni di utenti. L’istruttoria dell’Autorità – avviata a seguito di numerose segnalazioni e reclami pervenuti a partire da aprile 2024 – ha riguardato, in particolare, le modalità di funzionamento delle app BancoPosta e Postepay. Tali applicazioni prevedevano, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli. Secondo quanto dichiarato dalle società, tali trattamenti sarebbero stati necessari per garantire la sicurezza delle operazioni e conformarsi alla normativa in materia di servizi di pagamento.
Le motivazioni
Il Garante ha tuttavia rilevato che le modalità adottate comportavano un’ingerenza eccessivamente invasiva nella sfera privata degli utenti, in quanto non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi. Nel corso dell’istruttoria sono inoltre emerse diverse violazioni della normativa in materia di protezione dei dati personali, tra cui carenze nell’informativa resa agli utenti, assenza di un’adeguata valutazione di impatto sulla protezione dei dati (Dpia), mancata adozione di misure di sicurezza adeguate e di idonee politiche di conservazione dei dati, nonché irregolarità nella designazione del responsabile del trattamento. Oltre alle sanzioni, l’Autorità ha ingiunto alle società di cessare i trattamenti oggetto di contestazione, ove non vi abbiano già provveduto, e di adeguarsi alle prescrizioni in materia di conservazione dei dati, dandone comunicazione al Garante.
Poste Italiane respinge misura Garante Privacy e annuncia ricorso
Poste Italiane accoglie con stupore il provvedimento con il quale il Garante Privacy ha comminato una sanzione per un presunto trattamento illecito dei dati personali degli utenti BancoPosta e PostePay. Provvedimento che, peraltro, oltre che nel merito, è viziato anche sotto il profilo procedimentale, essendo stato adottato in palese ritardo rispetto ai termini perentori previsti dalla legge per l’esercizio dei poteri del Garante. A tal riguardo, si sottolinea che il 2 febbraio 2026 il TAR Lazio ha annullato il provvedimento con cui l’Antitrust aveva sanzionato Poste Italiane per una presunta pratica commerciale scorretta relativa al medesimo dispositivo antifrode oggetto delle odierne censure del Garante, riconoscendone la piena legittimità e l’assenza di qualsivoglia intento commerciale nelle condotte di Poste.
Poste Italiane respinge, dunque, ogni addebito e ribadisce la correttezza e la trasparenza del proprio operato. In particolare, come riconosciuto anche da Banca d’Italia, il Gruppo ha utilizzato legittimamente e in conformità con la normativa in materia di servizi di pagamento l’accesso ai dati tecnici dei dispositivi dei clienti, finalizzati esclusivamente all’attivazione di presidi antifrode e antimalaware, come richiesto dalla normativa europea (Direttiva PSD2), per una piena tutela della sicurezza degli utenti. Poste Italiane presenterà ricorso per l’annullamento del provvedimento presso il Tribunale di Roma.
)
)
){kind=logo}
)
)