Enti e Associazioni

Privacy sotto attacco: maxi multa del Garante a Poste Italiane (che farà ricorso)

RedazioneRedazione
Aprile 22, 2026 - 04:00
 0
Privacy sotto attacco: maxi multa del Garante a Poste Italiane (che farà ricorso)

lentepubblica.it

Un intervento senza precedenti per entità e impatto quello disposto dal Garante per la protezione dei dati personali, che ha colpito due tra i principali operatori del settore dei servizi finanziari in Italia: Poste Italiane S.p.A. e Postepay S.p.A..

Le sanzioni complessive superano i 12,5 milioni di euro e arrivano al termine di un’indagine complessa, avviata dopo numerose segnalazioni da parte degli utenti.

Le ragioni dell’intervento dell’Autorità

L’istruttoria ha preso forma nella primavera del 2024, quando all’Autorità sono giunti diversi reclami riguardanti il funzionamento delle applicazioni BancoPosta e Postepay. Al centro delle contestazioni, una specifica modalità operativa: per poter accedere ai servizi, gli utenti erano tenuti ad autorizzare un sistema di monitoraggio del proprio dispositivo mobile.

In concreto, le app richiedevano il consenso a verificare una serie di informazioni presenti sullo smartphone, incluse le applicazioni installate e quelle attive in background. L’obiettivo dichiarato dalle società era quello di individuare eventuali minacce informatiche, come software malevoli, e rafforzare la sicurezza delle operazioni finanziarie.

Una giustificazione che si inserisce nel quadro normativo europeo sui servizi di pagamento, che impone elevati standard di protezione contro le frodi digitali. Tuttavia, secondo il Garante, le modalità adottate hanno superato il limite della proporzionalità.

Quando la sicurezza diventa invasiva

Il nodo centrale della vicenda riguarda proprio l’equilibrio tra sicurezza e tutela della vita privata. Se da un lato è legittimo adottare strumenti di prevenzione contro attacchi informatici, dall’altro tali strumenti devono rispettare criteri rigorosi di necessità e minimizzazione dei dati.

Nel caso specifico, l’Autorità ha ritenuto che il monitoraggio richiesto agli utenti fosse eccessivamente penetrante rispetto allo scopo dichiarato. In altre parole, le informazioni raccolte non erano strettamente indispensabili per prevenire le frodi.

Questa valutazione ha portato a qualificare il trattamento dei dati come illecito, con conseguenze rilevanti sia sotto il profilo economico sia sotto quello reputazionale.

Le criticità emerse durante l’indagine

L’analisi condotta dal Garante non si è limitata alla questione del monitoraggio dei dispositivi. L’istruttoria ha infatti evidenziato una serie articolata di carenze nella gestione complessiva dei dati personali.

Tra le principali criticità rilevate figurano:

  • Informative agli utenti incomplete o poco chiare, tali da non consentire una piena consapevolezza delle modalità di trattamento;
  • Assenza o inadeguatezza della valutazione d’impatto sulla protezione dei dati (DPIA), obbligatoria nei casi di trattamenti potenzialmente rischiosi;
  • Misure di sicurezza non adeguate, rispetto alla natura e alla sensibilità dei dati trattati;
  • Politiche di conservazione non conformi, con possibili rischi di retention eccessiva o non giustificata;
  • Irregolarità nella designazione dei responsabili del trattamento, elemento fondamentale nella governance della privacy.

Si tratta di violazioni che, nel loro insieme, delineano un quadro di gestione non pienamente allineato ai principi del Regolamento europeo sulla protezione dei dati (GDPR).

Le sanzioni e le prescrizioni operative

Alla luce delle irregolarità riscontrate, il Garante ha disposto due sanzioni distinte: oltre 6,6 milioni di euro nei confronti di Poste Italiane e circa 5,8 milioni nei confronti di Postepay.

Ma l’intervento dell’Autorità non si esaurisce nella dimensione economica. Il provvedimento contiene infatti una serie di prescrizioni operative vincolanti.

Le società sono state obbligate a interrompere i trattamenti ritenuti non conformi, qualora non lo avessero già fatto, e ad adeguarsi alle regole in materia di conservazione dei dati. Inoltre, dovranno fornire riscontro al Garante circa le misure adottate per sanare le criticità.

Si tratta di un passaggio cruciale: il focus non è solo sulla sanzione, ma anche sulla messa in sicurezza dei processi, in un’ottica di prevenzione futura.

La posizione di Poste Italiane: ricorso in arrivo

La reazione di Poste Italiane non si è fatta attendere. L’azienda ha annunciato l’intenzione di impugnare il provvedimento, contestandone sia il merito sia la procedura.

Secondo quanto dichiarato in una nota ufficiale, la decisione dell’Autorità sarebbe affetta da vizi, in particolare per quanto riguarda il rispetto dei tempi previsti dalla normativa. La società ha espresso sorpresa per l’esito dell’istruttoria, sottolineando un precedente giudiziario ritenuto significativo.

Il riferimento è a una sentenza del TAR del Lazio, che il 2 febbraio 2026 ha annullato un provvedimento relativo a una presunta pratica commerciale scorretta legata allo stesso sistema antifrode.

In quel caso, l’Antitrust aveva contestato una presunta pratica commerciale scorretta collegata allo stesso meccanismo antifrode integrato nelle applicazioni di Poste, ritenendo che potesse incidere in modo improprio sulle scelte degli utenti.

Il giudice amministrativo, tuttavia, ha adottato una lettura opposta. Nella sentenza, infatti, il TAR ha chiarito che il sistema in questione non poteva essere qualificato come strumento commerciale volto a orientare o condizionare il comportamento del consumatore. Al contrario, è stato ricondotto a una funzione esclusivamente tecnica e di sicurezza, finalizzata alla prevenzione delle frodi informatiche e alla protezione delle operazioni finanziarie.

In sostanza, secondo il TAR, mancava l’elemento chiave per configurare una pratica commerciale scorretta: l’intento di influenzare il consumatore per ottenere un vantaggio economico. Il dispositivo antifrode, nella ricostruzione del giudice, operava in un ambito diverso, quello della sicurezza dei servizi di pagamento, ambito che risponde a obblighi normativi stringenti e a esigenze di tutela degli utenti.

Un elemento che apre a un possibile contenzioso complesso, in cui si confronteranno interpretazioni diverse della normativa.

Un caso destinato a fare scuola

La vicenda si inserisce in un contesto più ampio, in cui il tema della protezione dei dati personali assume un ruolo sempre più centrale, soprattutto nei servizi digitali ad alta intensità informativa.

Il caso evidenzia con chiarezza una linea interpretativa sempre più rigorosa da parte delle Autorità di controllo: anche quando l’obiettivo è la sicurezza, non è consentito eccedere nella raccolta di informazioni.

Per le imprese, il messaggio è chiaro. Non basta invocare esigenze di protezione contro le frodi: ogni trattamento deve essere progettato secondo i principi di privacy by design e by default, con un’attenzione costante alla proporzionalità.

Le implicazioni per utenti e operatori

Dal punto di vista degli utenti, il provvedimento rappresenta un rafforzamento delle garanzie a tutela della sfera personale. La decisione ribadisce che il controllo sui dati non può essere sacrificato neppure in nome della sicurezza digitale.

Per gli operatori, invece, si tratta di un monito operativo. Le tecnologie di monitoraggio, sempre più sofisticate, devono essere accompagnate da un robusto impianto di compliance normativa.

Il rischio, in caso contrario, è duplice: sanzioni rilevanti e danni reputazionali difficilmente recuperabili.

Equilibrio tra innovazione e diritti: la sfida aperta

La trasformazione digitale del settore finanziario impone strumenti sempre più avanzati per contrastare le minacce informatiche. Tuttavia, questa evoluzione deve procedere in parallelo con il rispetto dei diritti fondamentali.

Il caso che ha coinvolto Poste Italiane e Postepay dimostra quanto sia delicato questo equilibrio. Da un lato, la necessità di proteggere milioni di transazioni; dall’altro, l’obbligo di non invadere oltre misura la sfera privata degli utenti.

È proprio su questa linea di confine che si giocheranno le sfide future della regolazione, in un contesto in cui la fiducia digitale rappresenta un asset strategico tanto quanto la sicurezza tecnologica.

Il provvedimento del Garante

Qui il testo completo del documento.

The post Privacy sotto attacco: maxi multa del Garante a Poste Italiane (che farà ricorso) appeared first on lentepubblica.it.

Leggi di più

Qual è la tua reazione?

Mi piace Mi piace 0
Antipatico Antipatico 0
Lo amo Lo amo 0
Comico Comico 0
Furioso Furioso 0
Triste Triste 0
Wow Wow 0
Redazione
Redazione Redazione Eventi e News

Articoli correlati

Concorsi nella sanità, la Consulta frena: no ai bandi contro gli obiettori

Concorsi nella sanità, la Consulta frena: no ai bandi c...

Redazione Aprile 23, 2026  0

Attività di vicinato e conformità urbanistica/edilizia: i chiarimenti del TAR

Attività di vicinato e conformità urbanistica/edilizia:...

Redazione Aprile 23, 2026  0

Il Consiglio dei Ministri ha approvato il Documento di Finanza Pubblica 2026

Il Consiglio dei Ministri ha approvato il Documento di ...

Redazione Aprile 23, 2026  0

Auto blu, transizione ignorata nella PA: un’auto su tre fuori legge ed emissioni in aumento

Auto blu, transizione ignorata nella PA: un’auto su tre...

Redazione Aprile 22, 2026  0

Formazione nelle micro-imprese: Fondoprofessioni rilancia una sfida di sistema

Formazione nelle micro-imprese: Fondoprofessioni rilanc...

Redazione Aprile 23, 2026  0

Nuove soluzioni digitali: un webinar per gli Enti locali su piattaforma Bonus TariFlow

Nuove soluzioni digitali: un webinar per gli Enti local...

Redazione Aprile 22, 2026  0