Foto di camilo jimenez.

Il Garante per la protezione dei dati personali ha sanzionato Poste Italiane e Postepay per un totale di oltre 12,5 milioni di euro, contestando il trattamento illecito dei dati personali di milioni di utenti attraverso le app BancoPosta e Postepay (oggi pensionate e sostituite dall'app Poste Italiane). Il provvedimento, pubblicato il 20 aprile 2026, conclude un'istruttoria avviata nel 2024 a seguito di numerose segnalazioni e reclami relativi alle modalità di funzionamento delle applicazioni mobili: oltre cento utenti lamentavano la ricezione di notifiche nelle app che li invitavano ad autorizzare l'accesso ai dati del dispositivo per rilevare eventuali software dannosi. L'autorizzazione era obbligatoria: in caso di rifiuto, l'operatività delle app veniva limitata o impedita.

Secondo quanto accertato, le app richiedevano agli utenti, come condizione obbligatoria per l'utilizzo dei servizi, l'autorizzazione al monitoraggio di una serie di dati presenti nei dispositivi mobili. Tra questi figuravano informazioni sulle applicazioni installate e in esecuzione, dati di utilizzo e altri elementi ritenuti non strettamente necessari per la prevenzione delle frodi. Il Garante ha ritenuto che tali modalità costituissero un'ingerenza eccessivamente invasiva nella sfera privata degli utenti. Il trattamento dei dati veniva effettuato tramite la piattaforma antifrode ThreatMetrix, utilizzata per analizzare in tempo reale le operazioni effettuate tramite le app e attribuire un indice di rischio. L'Autorità ha rilevato che, pur perseguendo finalità legittime di sicurezza, la configurazione adottata avrebbe potuto essere sostituita da strumenti meno impattanti sui diritti degli interessati.

Nel corso dell'istruttoria sono emerse ulteriori violazioni della normativa sulla protezione dei dati personali. Tra queste figurano carenze nell'informativa resa agli utenti, l'assenza di una valutazione d'impatto (DPIA) adeguata, la mancata adozione di misure di sicurezza idonee e irregolarità nella designazione del responsabile del trattamento. Il Garante ha inoltre contestato l'assenza di politiche di conservazione dei dati conformi ai requisiti normativi. Le sanzioni irrogate ammontano a 6.624.000 euro per Poste Italiane e 5.877.000 euro per Postepay. L'Autorità ha ordinato alle società di cessare i trattamenti ritenuti illeciti, ove non già interrotti, e di adeguarsi alle prescrizioni relative alla conservazione dei dati, con obbligo di comunicare le misure adottate.

Poste Italiane ha contestato il provvedimento, dichiarando che i trattamenti erano conformi alla normativa europea sui servizi di pagamento (PSD2) e riconosciuti da Banca d'Italia. La società ha annunciato ricorso al Tribunale di Roma, sostenendo che l'accesso ai dati dei dispositivi fosse necessario per garantire la sicurezza delle operazioni e prevenire frodi informatiche.

Consigliamo la lettura di:

L'app PostePay non funziona più: scaricate Poste Italiane

PosteMobile da Vodafone a TIM: cambio rete nel 2026. 5 milioni di utenti coinvol...

Poste Italiane, arriva l'app unificata: BancoPosta e PostePay addio

SPID con le Poste, il riconoscimento adesso si paga

Il provvedimento sottolinea che la protezione dei dati personali deve essere garantita anche in presenza di finalità di sicurezza, e che le misure adottate devono rispettare i principi di proporzionalità e minimizzazione. L'Autorità ha ribadito che la prevenzione delle frodi non giustifica trattamenti eccedenti rispetto a quanto strettamente necessario.

Ti raccomandiamo anche:

Immettere credenziali false nei siti dei truffatori serve a ostacolarli?

Poste Italiane porterà la fibra a case e aziende

Truffati o indotti in errore?

Le migliori 5 carte prepagate per l'estate 2015