ULTIMA ORA
Loading...
EduNews24
Poste Italiane e Postepay multate per 12,5 milioni di euro: le app spiavano i dati degli utenti
Editoriali

Poste Italiane e Postepay multate per 12,5 milioni di euro: le app spiavano i dati degli utenti

Disponibile in formato audio

Il Garante Privacy sanziona Poste Italiane e Postepay per 12,5 milioni di euro: le app BancoPosta e Postepay monitoravano in modo illecito i dati personali di milioni di utenti.

La sanzione del Garante Privacy

Una multa da 12,5 milioni di euro complessivi. È questa la cifra che il Garante per la Protezione dei Dati Personali ha deciso di comminare a due colossi del sistema finanziario italiano: Poste Italiane, sanzionata per 6,624 milioni di euro, e la controllata Postepay, colpita da una penalità di 5,877 milioni di euro. L'accusa è grave e riguarda il trattamento illecito dei dati personali di milioni di cittadini attraverso le app BancoPosta e Postepay, due tra le applicazioni finanziarie più scaricate e utilizzate nel nostro Paese. L'istruttoria è partita a seguito di numerose segnalazioni inviate dagli stessi utenti, che avevano notato comportamenti anomali nelle modalità di funzionamento delle applicazioni. In particolare, diversi utilizzatori avevano evidenziato richieste di autorizzazione ritenute eccessive rispetto alle funzionalità dichiarate delle app. Il provvedimento rappresenta una delle sanzioni più significative emesse dall'autorità garante nei confronti di un operatore finanziario italiano e riaccende il dibattito sul delicato equilibrio tra sicurezza digitale e tutela della privacy.

Cosa facevano le app: il monitoraggio contestato

Il cuore della vicenda risiede in un meccanismo di controllo che, secondo il Garante, andava ben oltre quanto necessario. Le app BancoPosta e Postepay richiedevano agli utenti il rilascio di un'autorizzazione al monitoraggio di una vasta gamma di dati contenuti nei dispositivi mobili. Non si trattava soltanto di informazioni direttamente collegate alle operazioni bancarie. Le applicazioni accedevano all'elenco delle app installate e in esecuzione sullo smartphone, con l'obiettivo dichiarato di individuare eventuali software malevoli che potessero compromettere la sicurezza delle transazioni. Una finalità comprensibile, sulla carta. Il problema, però, è che questo tipo di scansione forniva a Poste Italiane e Postepay una fotografia dettagliata delle abitudini digitali degli utenti: quali applicazioni utilizzavano, con quale frequenza, in quali momenti. Un patrimonio informativo enorme, raccolto da milioni di dispositivi. Il Garante ha stabilito che tale pratica costituiva un'ingerenza eccessivamente invasiva nella sfera privata dei cittadini, sproporzionata rispetto alla finalità di sicurezza invocata. Il principio di minimizzazione dei dati, cardine del Regolamento generale sulla protezione dei dati (GDPR), risultava dunque violato.

Le violazioni accertate

Le indagini condotte dall'autorità garante hanno portato alla luce un quadro di irregolarità che va oltre il solo monitoraggio delle app installate. Sono emerse carenze significative nell'informativa resa agli utenti, che non venivano adeguatamente messi al corrente della portata del trattamento dei loro dati. In sostanza, chi scaricava e utilizzava BancoPosta o Postepay non riceveva informazioni sufficientemente chiare su cosa accadesse ai propri dati personali. A questo si aggiunge l'assenza di una valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment), uno strumento previsto dal GDPR come obbligatorio quando il trattamento può comportare rischi elevati per i diritti e le libertà delle persone. Il Garante ha inoltre riscontrato la mancata adozione di misure di sicurezza adeguate a proteggere i dati raccolti e l'assenza di idonee politiche di conservazione, con il rischio che le informazioni personali venissero trattenute più a lungo del necessario. Infine, sono state rilevate irregolarità nella designazione del responsabile del trattamento, figura chiave nell'architettura della protezione dei dati prevista dalla normativa europea.

La difesa di Poste Italiane

Poste Italiane ha reagito al provvedimento con fermezza, respingendo ogni addebito e ribadendo la correttezza e la trasparenza del proprio operato. Secondo l'azienda, il monitoraggio delle applicazioni installate sui dispositivi degli utenti era una misura di sicurezza necessaria e proporzionata, finalizzata esclusivamente a proteggere i clienti da frodi informatiche e attacchi di malware. Il gruppo ha sottolineato come il settore dei pagamenti digitali sia costantemente esposto a minacce crescenti e come la protezione degli utenti richieda strumenti di difesa avanzati. In questa prospettiva, la scansione delle app rappresenterebbe uno scudo tecnologico, non un'intrusione. Poste Italiane ha inoltre annunciato la propria intenzione di presentare ricorso contro le sanzioni, convinta di poter dimostrare in sede giudiziaria la legittimità delle proprie scelte tecniche e organizzative. La vicenda si sposterà dunque nelle aule dei tribunali amministrativi, dove i giudici saranno chiamati a pronunciarsi su una questione che tocca milioni di italiani. L'esito del ricorso potrebbe creare un precedente rilevante per tutto il settore fintech e bancario.

Cosa cambia per gli utenti

Per i milioni di persone che ogni giorno utilizzano le app di Poste Italiane per pagamenti, ricariche e operazioni bancarie, questa vicenda solleva interrogativi concreti. Nell'immediato, il provvedimento del Garante impone alle due società di adeguare le proprie pratiche alle prescrizioni dell'autorità, il che potrebbe tradursi in aggiornamenti delle applicazioni con richieste di consenso più trasparenti e un monitoraggio meno invasivo. La decisione ricorda quanto sia fondamentale leggere con attenzione le autorizzazioni richieste dalle app prima di concederle. Troppo spesso gli utenti accettano condizioni d'uso senza verificare quali dati vengano effettivamente raccolti. Il caso Poste-Postepay dimostra che anche soggetti istituzionali di primaria importanza possono adottare pratiche non conformi alla normativa sulla privacy. In attesa dell'esito del ricorso, resta un dato di fatto: il Garante Privacy ha dimostrato di voler esercitare un controllo rigoroso anche nei confronti dei grandi operatori, confermando che la tutela dei dati personali non ammette eccezioni, nemmeno quando la giustificazione invocata è la sicurezza. La partita, comunque, è tutt'altro che chiusa.

Pubblicato il: 22 aprile 2026 alle ore 12:07

Domande frequenti

Perché il Garante Privacy ha multato Poste Italiane e Postepay?

Il Garante Privacy ha multato Poste Italiane e Postepay per il trattamento illecito dei dati personali degli utenti tramite le app BancoPosta e Postepay. Le applicazioni raccoglievano dati in modo eccessivamente invasivo rispetto alle finalità dichiarate, violando il principio di minimizzazione previsto dal GDPR.

Quali dati venivano monitorati dalle app BancoPosta e Postepay?

Le app monitoravano, oltre ai dati necessari per le operazioni bancarie, anche l’elenco delle app installate e in esecuzione sui dispositivi degli utenti. Questo permetteva di ottenere informazioni dettagliate sulle abitudini digitali degli utenti, andando oltre le esigenze legate alla sicurezza.

Quali altre violazioni sono state riscontrate dal Garante?

Il Garante ha riscontrato carenze nell'informativa agli utenti, assenza di una valutazione di impatto sulla protezione dei dati (DPIA), mancata adozione di misure di sicurezza adeguate e irregolarità nella designazione del responsabile del trattamento. Inoltre, le politiche di conservazione dei dati non erano idonee.

Come ha risposto Poste Italiane alle accuse?

Poste Italiane ha respinto ogni addebito, sostenendo che il monitoraggio fosse una misura di sicurezza necessaria per proteggere gli utenti da frodi informatiche. L’azienda ha annunciato ricorso contro le sanzioni, convinta della legittimità delle proprie scelte.

Cosa cambierà per gli utenti delle app BancoPosta e Postepay?

Gli utenti potrebbero vedere aggiornamenti delle app con richieste di consenso più trasparenti e un monitoraggio meno invasivo. Il caso sottolinea l’importanza di leggere attentamente le autorizzazioni richieste dalle app prima di concederle.

Matteo Cicarelli

Articolo creato da

Matteo Cicarelli

Giornalista Pubblicista Matteo Cicarelli è un giornalista laureato in Lettere Moderne e specializzato in Editoria e Scrittura. Durante il suo percorso accademico ha approfondito lo studio della linguistica, della letteratura e della comunicazione, sviluppando un forte interesse per il mondo del giornalismo. Infatti, ha dedicato le sue tesi a due ambiti distinti ma complementari: da un lato l’analisi della lingua e della cultura indoeuropea, dall’altro lo studio della narrazione giornalistica, con un particolare approfondimento sul giornalismo enogastronomico. Da sempre affascinato dal mondo della comunicazione e del racconto, nel corso della sua carriera ha lavorato anche come addetto stampa e ha collaborato con diverse testate online che si occupano di cultura, cronaca, società, sport ed enogastronomia. Su EduNews24.it scrive articoli e realizza contenuti video dedicati ai temi della scuola, della formazione, della cultura e dei cambiamenti sociali, cercando di mantenere uno stile chiaro, divulgativo, accessibile e attento alla veridicità. Tra le sue passioni ci sono lo sport, la cucina, la lettura e la stand up comedy: un interesse che lo porta anche a cimentarsi nella scrittura di testi comici.

Articoli Correlati

ULTIMA ORA