Garante Privacy, 12,5 milioni di sanzione a Poste Italiane e Postepay

Garante Privacy: maxi‑sanzione da oltre 12,5 milioni di euro a Poste Italiane e Postepay per trattamenti illeciti dei dati nelle app BancoPosta e Postepay

L’Autorità per la protezione dei dati personali ha multato Poste Italiane e Postepay per oltre 12,5 milioni di euro dopo aver accertato pratiche invasive nelle app BancoPosta e Postepay, tra monitoraggio obbligatorio dei dispositivi, carenze informative e assenza di adeguate misure di sicurezza. Imposte anche prescrizioni correttive e l’obbligo di cessare i trattamenti illeciti.

Oltre 12,5 milioni di euro di sanzioni

Il Garante per la protezione dei dati personali ha annunciato una delle sanzioni più rilevanti degli ultimi anni nel settore finanziario e dei servizi digitali: 6.624.000 euro a Poste Italiane S.p.A. e 5.877.000 euro a Postepay S.p.A.

L’istruttoria, avviata a seguito di numerose segnalazioni e reclami ricevuti dall’aprile 2024, ha riguardato il funzionamento delle app BancoPosta e Postepay, strumenti utilizzati quotidianamente da milioni di cittadini per operazioni bancarie e pagamenti digitali.

Secondo il Garante, le due società hanno effettuato trattamenti illeciti di dati personali, imponendo agli utenti condizioni non compliant al principio di necessità e proporzionalità previsto dal GDPR.

Monitoraggio obbligatorio dei dispositivi

L’Autorità ha rilevato che, per utilizzare le app, gli utenti erano obbligati a concedere un’autorizzazione al monitoraggio di una serie di informazioni presenti nei devices mobili, tra cui:

– applicazioni installate
– app in esecuzione
– dati tecnici del dispositivo

Secondo Poste Italiane e Postepay, tale raccolta sarebbe stata necessaria per individuare software malevoli e garantire la sicurezza delle operazioni, in linea con la normativa sui servizi di pagamento.

Il Garante ha però stabilito che le modalità adottate erano eccessivamente invasive e non strettamente necessarie per la prevenzione delle frodi.

In altre parole, la sicurezza non può giustificare un controllo così ampio e sistematico sui dispositivi degli utenti.

Informativa carente, DPIA assente e misure di sicurezza insufficienti

L’istruttoria ha fatto emergere un quadro articolato di irregolarità rispetto al GDPR.

Tra le principali:

– informativa agli utenti incompleta o non adeguata
– assenza di una valutazione d’impatto (DPIA), obbligatoria per trattamenti ad alto rischio
– mancata adozione di misure di sicurezza adeguate
– politiche di conservazione dei dati non conformi
– irregolarità nella designazione del responsabile del trattamento

Si tratta di elementi che, nel loro insieme, hanno portato l’Autorità a qualificare il trattamento come illecito e sproporzionato.

Stop ai trattamenti e adeguamento immediato

Oltre alla sanzione economica, il Garante ha imposto a Poste Italiane e Postepay di:

– cessare i trattamenti contestati, se non già interrotti
– adeguare le politiche di conservazione dei dati
– comunicare all’Autorità l’avvenuto adeguamento

Il provvedimento, pubblicato il 20 aprile 2026, richiama l’importanza di un equilibrio tra sicurezza digitale e tutela della privacy, soprattutto in un settore, quello dei servizi finanziari, dove la fiducia degli utenti risulta un elemento essenziale.

Impatti per utenti e settore

La decisione del Garante rappresenta un precedente significativo per tutte le piattaforme che integrano sistemi di sicurezza basati sul monitoraggio dei dispositivi.

Il messaggio è che la protezione dalle frodi non può trasformarsi in un controllo generalizzato sugli utenti.

Per milioni di cittadini che utilizzano quotidianamente i servizi digitali di Poste Italiane e Postepay, il provvedimento potrebbe tradursi in:

– maggiore trasparenza sulle modalità di trattamento dei dati
– riduzione delle autorizzazioni obbligatorie
– rafforzamento delle misure di sicurezza realmente necessarie

Il caso conferma il crescente ruolo del Garante nel vigilare sulle tecnologie utilizzate da grandi operatori finanziari e digitali, in un contesto in cui app e servizi online sono sempre più centrali nella vita quotidiana.

LEGGI ANCHE Privacy online dei minori, l’indagine globale 2025 rivela rischi crescenti su siti e app usati dai bambini