Multa Garante Privacy a Poste: impatto sicurezza e GDPR
Analisi della multa Garante Privacy a Poste Italiane per permessi eccessivi sulle app mobili: il conflitto tra sicurezza PSD2 e GDPR, ecco cosa sapere.
Contenuto
Le applicazioni finanziarie che richiedono un accesso diffuso al dispositivo per garantire la sicurezza degli utenti rappresentano un paradigma sempre più diffuso, ma spesso rischiano di compromettere la privacy individuale. Nell'aprile 2026, il Garante per la protezione dei dati personale ha comminato una sanzione complessiva di oltre 12,5 milioni di euro a Poste Italiane e PostePay per il trattamento illecito dei dati. Le app BancoPosta e PostePay sono state ritenute responsabili di aver raccolto informazioni sproporzionate sui dispositivi degli utenti, accendendo un acceso dibattito sulla convivenza tra le direttive antifrode e la normativa sulla privacy.
Il provvedimento del Garante e i permessi eccessivi
Nell'aprile 2026, l'Autorità Garante per la protezione dei dati personali ha reso noto un provvedimento sanzionatorio nei confronti di Poste Italiane, con una multa di 6.624.000 euro, e di PostePay, con una sanzione di 5.877.000 euro. L'indagine, avviata nell'aprile 2024 a seguito di numerose segnalazioni e reclami sugli utenti delle app Android BancoPosta e PostePay, ha evidenziato una serie di criticità significative. Come riportato dall'Autorità: "Le società hanno trattato illegalmente i dati personali di milioni di utenti attraverso le loro app mobili".
Il fulcro della questione risiede nella richiesta di autorizzazione al monitoraggio dei dispositivi. Le app richiedevano agli utenti di consentire il tracciamento di una vasta serie di dati, comprese le applicazioni installate e in esecuzione. Sebbene l'obiettivo dichiarato fosse l'identificazione di software dannoso, il Garante ha concluso che questo approccio risultava sproporzionato rispetto alle finalità perseguite. Questa dinamica rientra in una nota configurazione errata dei sistemi, dove l'implementazione di misure di sicurezza sfocia in una concessione di permessi eccessivi e in una raccolta di dati ben oltre il necessario, generando una violazione privacy da over-collection.
L'assenza di DPIA e le carenze di governance
L'indagine del Garante non si è limitata alla sproporzione dei permessi richiesti, ma ha portato alla luce un quadro di carenze strutturali nella gestione dei dati da parte delle società. In particolare, è stata riscontrata una marcata mancanza di un'adeguata valutazione di impatto sulla protezione dei dati (DPIA). Questo strumento, essenziale per anticipare e mitigare i rischi legati ai trattamenti invasivi, è risultato assente o carente per le app in questione.
Oltre all'assenza della DPIA, l'Autorità ha individuato lacune nella trasparenza verso gli utenti, misure di sicurezza insufficienti e pratiche di conservazione dei dati deboli. Questi ultimi elementi indicano una gestione del ciclo di vita delle informazioni non conforme ai principi di minimizzazione e limitazione della conservazione sanciti dal GDPR. Per tali motivi, il Garante ha ordinato alle società di cessare i trattamenti contestati e di adeguare le pratiche di conservazione dei dati ai requisiti di legge.
Lo scontro tra conformità PSD2 e GDPR
La risposta di Poste Italiane al provvedimento evidenzia la complessità del bilanciamento tra sicurezza e privacy nel settore finanziario. "La società ha dichiarato di aver avuto accesso ai dati dei dispositivi dei clienti esclusivamente per attivare le protezioni antifrode e antimalware", si legge nel dossier del Garante. L'istituto ha respinto le conclusioni dell'Autorità, argomentando che l'accesso ai dati era necessario per conformarsi alla direttiva PSD2 sui servizi di pagamento, che impone rigorosi obblighi di sicurezza e autenticazione forte.
Questa posizione difensiva si inserisce in un contesto legale già intricato. Nel febbraio 2026, il TAR del Lazio ha annullato una separata sanzione Antitrust irrogata a Poste Italiane per la medesima tecnologia antifrode, un precedente che rafforza la tesi dell'azienda sull'importanza di questi sistemi per la tutela finanziaria. Tuttavia, il Garante della Privacy ha ritenuto che la conformità alle direttive di sicurezza non possa giustificare una violazione sistematica dei diritti fondamentali alla riservatezza e alla protezione dei dati personali. Poste Italiane ha annunciato il ricorso al Tribunale di Roma per chiedere l'annullamento della sentenza del Garante, prolungando la guerra legale sulla interpretazione delle due normative.
Il contesto del settore bancario: casi e implicazioni
La sanzione a Poste Italiane non è un caso isolato nel panorama finanziario italiano dell'ultimo periodo. All'inizio del 2026, il Garante ha imposto una sanzione di 31,8 milioni di euro a Intesa Sanpaolo per gravi carenze nella protezione dei dati. Tra le violazioni contestate a Intesa Sanpaolo spicca il caso di un dipendente che aveva accesso ai record dei clienti per più di 6.600 volte senza motivo aziendale legittimo. Questi episodi delineano una tendenza preoccupante nel settore, dove l'accesso ai dati sensibili sembra essere gestito con un margine di rischio elevato e una governance spesso inadeguata.
Il caso di Poste Italiane, tuttavia, introduce una variabile tecnica differente. Mentre la vicenda Intesa Sanpaolo riguarda principalmente l'accesso interno non autorizzato e le pratiche di governance dipartimentale, la controversia su BancoPosta e PostePay riguarda la progettazione architetturale delle applicazioni lato client. La raccolta massiva di dati di diagnostica e di sistema, giustificata dalla difesa antimalware, suggerisce che l'architettura di sicurezza delle app sia stata configurata privilegiando l'estrazione del massimo numero di informazioni possibili per l'analisi predittiva delle frodi, trascurando i necessari filtri di minimizzazione a monte.
È probabile che, per aggirare le limitazioni imposte dai sistemi operitivi mobili sugli accessi in background, le app siano state configurate per richiedere permessi ampi e generalizzati, creando un canale di raccolta dati indiscriminato. Questo approccio tecnico si scontra con il principio di limitazione della finalità e di minimizzazione dei dati, creando un punto di attrito irrisolto tra le esigenze di intelligence finanziaria e i diritti digitali degli utenti.
Domande frequenti
- Perché Poste Italiane è stata multata dal Garante Privacy?
- Nell'aprile 2026, Poste Italiane e PostePay sono state multate per oltre 12,5 milioni di euro per aver trattato illecitamente i dati personali di milioni di utenti attraverso le app BancoPosta e PostePay, richiedendo permessi sproporzionati per il monitoraggio dei dispositivi.
- Qual è il conflitto tra la direttiva PSD2 e il GDPR in questo caso?
- Il conflitto nasce dalla necessità di bilanciare la sicurezza finanziaria con la privacy: Poste Italiane sostiene che l'accesso ai dati del dispositivo fosse necessario per le protezioni antifrode richieste dalla PSD2, mentre il Garante Privacy ritiene che la raccolta di dati sia sproporzionata e in violazione dei principi del GDPR.
- Quali sono state le carenze riscontrate nelle app BancoPosta e PostePay?
- L'indagine ha evidenziato mancanza di un'adeguata valutazione di impatto sulla protezione dei dati (DPIA), lacune nella trasparenza, misure di sicurezza insufficienti, pratiche di conservazione dei dati deboli e una governance complessiva inadeguata.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.repubblica.it/economia/2026/04/20/news/poste_italiane_multa_da_125_milioni_dal_garante_privacy-425294742/
- https://www.ilpost.it/2026/04/20/garante-della-privacy-multa-poste-italiane-postepay/
- https://www.corriere.it/economia/finanza/26_aprile_20/multa-da-12-5-milioni-a-poste-italiane-e-postepay-il-garante-della-privacy-invasione-eccessiva-nel-privato-degli-utenti-b15c6d3d-eb2f-49b1-b015-d7db3cebaxlk.shtml
- https://www.helpconsumatori.it/soldi/poste/bancoposta-e-postepay-multa-del-garante-privacy-per-oltre-125-milioni-di-euro/