Il Garante per la protezione dei dati personali ha inflitto a Poste Italiane e alla controllata Postepay sanzioni per un totale superiore a 12,5 milioni di euro. La decisione, annunciata il 20 aprile 2026, chiude un'indagine avviata due anni fa sulla base di numerose segnalazioni e reclami degli utenti. Al centro della vicenda c'è il trattamento dei dati raccolti dalle app Android di BancoPosta e Postepay - applicazioni che milioni di italiani aprono ogni giorno per controllare il saldo o disporre un bonifico.
La multa si divide in due tranche: 6.624.000 euro a carico di Poste Italiane S.p.A. e 5.877.000 euro a Postepay S.p.A. L'importo complessivo resta comunque ben al di sotto dei massimali GDPR, che possono arrivare a 20 milioni di euro o al 4% del fatturato mondiale annuo.
Per dare la misura, il Garante ha comminato di recente una sanzione assai più pesante a Intesa Sanpaolo: 31,8 milioni di euro per carenze nella sicurezza dei dati.
Il cuore della questione è tecnico. Le app di BancoPosta e Postepay chiedevano agli utenti il consenso all'accesso ai cosiddetti «dati di utilizzo» dello smartphone - in concreto, informazioni sulle applicazioni installate e in esecuzione sul dispositivo. Chi rifiutava non veniva semplicemente avvisato: dopo tre accessi, le funzionalità dell'app venivano bloccate. Un meccanismo che il Garante ha giudicato coercitivo, e difficile dargli torto.
La raccolta avveniva tramite ThreatMetrix, una piattaforma antifrode che genera profili di rischio del dispositivo analizzando l'attività delle app, l'integrità del sistema e la potenziale presenza di malware. I dati delle applicazioni venivano registrati come hash MD5 - non in chiaro, quindi - ma il Garante ha stabilito che anche identificatori di questo tipo possono essere ricondotti a persone fisiche e rivelare informazioni sensibili: abitudini finanziarie, condizioni di salute, interessi personali.
Ad esempio: se sul telefono è installata un'app per il monitoraggio del diabete o per incontri, un hash dell'identificativo del pacchetto è tutt'altro che anonimo per chi dispone dei mezzi per correlarlo.
Le violazioni accertate non si limitano alla raccolta eccessiva. I sistemi di backend conservavano i dati relativi a transazioni e dispositivi per un periodo fino a 28 mesi in ambienti di analisi esterni - un arco temporale significativamente più lungo di quanto dichiarato nelle informative sulla privacy.
Il quadro delle irregolarità è ampio: informative insufficienti e poco chiare, assenza di una valutazione d'impatto sulla protezione dei dati (DPIA) adeguata - passaggio obbligatorio prima di implementare trattamenti ad alto rischio - politiche di sicurezza e conservazione inadeguate, gestione irregolare dei responsabili del trattamento esterni. Il Garante ha concluso che l'approccio alla raccolta dati era «sproporzionatamente intrusivo e non strettamente necessario» rispetto all'obiettivo dichiarato di prevenzione delle frodi, considerate le alternative meno invasive disponibili.
Le due società non hanno incassato il colpo in silenzio. Poste Italiane e Postepay hanno sostenuto che le misure adottate fossero necessarie per ottemperare ai requisiti di sicurezza dei pagamenti imposti dalla PSD2 (Payment Services Directive 2) e per contrastare le frodi. In una dichiarazione ufficiale, Poste Italiane ha respinto «tutte le contestazioni», riaffermando «la correttezza e la trasparenza del proprio operato» e specificando di aver «accesso lecitamente a dati tecnici dei dispositivi dei clienti, in conformità alla normativa sui servizi di pagamento, al solo fine di attivare presidi antifrode e antimalware».
L'argomento ha una sua logica: la PSD2 impone effettivamente alle istituzioni finanziarie obblighi stringenti in materia di autenticazione forte e monitoraggio delle transazioni. Il Garante però ha messo il dito su un punto preciso - il fine legittimo non giustifica qualsiasi mezzo. Se esistono strumenti meno invasivi per raggiungere lo stesso obiettivo, il principio di minimizzazione del GDPR impone di adottarli. Non è una sfumatura: è la sostanza del regolamento.
Chi ha usato le app BancoPosta o Postepay su Android negli ultimi anni ha con ogni probabilità condiviso - volente o nolente - un profilo dettagliato delle applicazioni presenti sul proprio dispositivo. Il meccanismo del blocco dopo tre rifiuti rendeva il consenso poco più che una formalità.
La sanzione si inserisce in una fase di crescente attivismo del Garante italiano. Oltre al caso Intesa Sanpaolo, l'autorità ha recentemente comminato una multa da 1,25 milioni di euro a ITA Airways/Alitalia per violazioni del GDPR. Il segnale è chiaro: nemmeno i grandi operatori nazionali, quelli che gli italiani considerano quasi un'infrastruttura pubblica, possono trattare i dati personali con disinvoltura. Il GDPR, a otto anni dalla sua entrata in vigore, continua a mostrare i denti - almeno in Italia.
Fonti: ansa.it, cyberinsider.com, globalbankingandfinance.com
