Irregolare trattamento dei dati di milioni di utenti: multa per ‘Poste Italiane’ e per ‘Postepay’
Gli accertamenti hanno riguardato, in particolare, le modalità di funzionamento delle applicazioni ‘BancoPosta’ e ‘Postepay’
Multa salata – per una cifra complessiva che supera i 12milioni e 500mila euro – per ‘Poste Italiane S.p.A.’ e ‘Postepay S.p.A.’, colpevoli, secondo quanto appurato dal ‘Garante per la privacy’ (provvedimento del 17 aprile 2026) di avere trattato illecitamente i dati personali di milioni di utenti.
A dare il ‘la’ agli accertamenti del ‘Garante’ sono stati reclami e segnalazioni pervenuti a partire da aprile 2024, accertamenti che hanno riguardato, in particolare, le modalità di funzionamento delle applicazioni ‘BancoPosta’ e ‘Postepay’. Tali applicazioni prevedevano, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli.
Secondo quanto dichiarato dalle società, tali trattamenti sarebbero stati necessari per garantire la sicurezza delle operazioni e conformarsi alla normativa in materia di servizi di pagamento. Invece, il ‘Garante’ ha rilevato che le modalità adottate comportavano un’ingerenza eccessivamente invasiva nella sfera privata degli utenti, in quanto non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi.
Ad indagini in corso, poi, sono anche emerse diverse violazioni della normativa in materia di protezione dei dati personali, tra cui carenze nell’informativa resa agli utenti, assenza di un’adeguata valutazione di impatto sulla protezione dei dati, mancata adozione di misure di sicurezza adeguate e di idonee politiche di conservazione dei dati, nonché irregolarità nella designazione del responsabile del trattamento.
Oltre alle sanzioni – multa di 6milioni e 624mila euro per ‘Poste Italiane’ e multa di 5milioni e 877mila euro per ‘Postepay’ –, il ‘Garante’ ha ingiunto alle società di cessare i trattamenti oggetto di contestazione, ove non vi abbiano già provveduto, e di adeguarsi alle prescrizioni in materia di conservazione dei dati, dandone comunicazione ufficiale.