Roma, 20 aprile 2026 – Il Garante per la protezione dei dati personali ha inflitto due pesanti sanzioni a carico di Poste Italiane S.p.A. e della sua controllata Postepay S.p.A., per un totale complessivo di oltre 12,5 milioni di euro. L’Autorità ha rilevato gravi violazioni nella gestione dei dati personali degli utenti delle applicazioni BancoPosta e Postepay, utilizzate da milioni di cittadini.
Le motivazioni delle sanzioni a BancoPosta e Postepay
Secondo quanto comunicato dall’Autorità per la protezione dei dati personali, le app in questione imponevano agli utenti, come condizione obbligatoria per l’utilizzo, il rilascio di un’autorizzazione al monitoraggio approfondito dei dati contenuti nei dispositivi mobili. Questo controllo includeva dati sensibili come le applicazioni installate e in esecuzione, con la presunta finalità di individuare eventuali software malevoli. Le società coinvolte hanno giustificato tali trattamenti come necessari per la sicurezza delle operazioni e per la conformità alle normative sui servizi di pagamento.
Tuttavia, il Garante ha evidenziato che tali modalità rappresentavano un’ingerenza eccessivamente invasiva nella sfera privata degli utenti, non strettamente necessaria per la prevenzione delle frodi. Durante l’istruttoria, avviata dopo numerose segnalazioni a partire da aprile 2024, sono emerse diverse irregolarità: carenze nell’informativa agli utenti, mancanza di una valutazione d’impatto sulla protezione dei dati (DPIA), assenza di adeguate misure di sicurezza e politiche di conservazione dati non conformi. Inoltre, sono state riscontrate anomalie nella designazione del responsabile del trattamento dei dati.
Provvedimenti del Garante
Oltre alle sanzioni pecuniarie – 6.624.000 euro a Poste Italiane e 5.877.000 euro a Postepay – il Garante ha ingiunto alle due società di cessare immediatamente i trattamenti contestati, qualora non lo abbiano già fatto, e di adeguarsi alle prescrizioni in materia di conservazione dei dati. Le aziende dovranno inoltre fornire una comunicazione formale al Garante dell’avvenuto adeguamento normativo e operativo.
Potrebbe interessarti anche questo articolo: Garante privacy: accesso illecito alle email dopo il licenziamento, sanzione di 40mila euro
