Roma, 12 marzo 2026 – Il Garante per la Protezione dei Dati Personali ha inflitto una sanzione di 17,6 milioni di euro a Intesa Sanpaolo Spa per il trattamento illecito dei dati personali di circa 2,4 milioni di clienti. La decisione segue un’indagine complessa avviata dopo numerose segnalazioni da parte di correntisti, che ha evidenziato gravi violazioni nella gestione delle informazioni personali.
Intesa Sanpaolo: profilazione e trasferimento clienti senza basi legali
Secondo quanto riportato dal Garante, Intesa Sanpaolo ha effettuato una profilazione della clientela senza un’adeguata base giuridica per individuare i clienti da trasferire alla controllata Isybank Spa, banca digitale al 100%. La selezione ha riguardato clienti con specifiche caratteristiche: età inferiore a 65 anni, utilizzo abituale dei canali digitali, assenza di prodotti di investimento e disponibilità finanziarie sotto una certa soglia.
Questa operazione ha comportato il trasferimento unilaterale dei rapporti a un diverso titolare del trattamento, con modifiche contrattuali e operative non concordate, come l’attribuzione di un nuovo IBAN e la possibilità di accesso esclusivamente tramite app, senza sportelli fisici. Le comunicazioni inviate ai clienti sono state giudicate insufficienti e poco chiare, spesso recapitate nel periodo estivo nella sezione archivio dell’app, senza notifiche evidenti come push o SMS.
Il Garante: trattamento illecito e sanzione record
Il Garante ha definito il trattamento dei dati come illecito, poiché i clienti non potevano ragionevolmente prevedere tali cambiamenti sulla base delle informazioni ricevute e del contesto. Nel determinare l’importo della sanzione, l’autorità ha considerato la gravità delle violazioni, l’elevato numero di clienti coinvolti e il carattere colposo delle infrazioni, pur riconoscendo la collaborazione prestata da Intesa Sanpaolo durante l’istruttoria.
Questa sanzione rappresenta un importante richiamo al rispetto delle normative sulla privacy, in particolare nell’ambito della trasformazione digitale dei servizi bancari. Il caso sottolinea l’importanza di garantire trasparenza e correttezza nelle comunicazioni con i clienti, soprattutto quando si modificano condizioni contrattuali e modalità operative.
