* La sanzione del Garante Privacy * Cosa facevano le app: il monitoraggio contestato * Le violazioni accertate * La difesa di Poste Italiane * Cosa cambia per gli utenti
La sanzione del Garante Privacy
Una multa da 12,5 milioni di euro complessivi. È questa la cifra che il Garante per la Protezione dei Dati Personali ha deciso di comminare a due colossi del sistema finanziario italiano: Poste Italiane, sanzionata per 6,624 milioni di euro, e la controllata Postepay, colpita da una penalità di 5,877 milioni di euro. L'accusa è grave e riguarda il trattamento illecito dei dati personali di milioni di cittadini attraverso le app BancoPosta e Postepay, due tra le applicazioni finanziarie più scaricate e utilizzate nel nostro Paese. L'istruttoria è partita a seguito di numerose segnalazioni inviate dagli stessi utenti, che avevano notato comportamenti anomali nelle modalità di funzionamento delle applicazioni. In particolare, diversi utilizzatori avevano evidenziato richieste di autorizzazione ritenute eccessive rispetto alle funzionalità dichiarate delle app. Il provvedimento rappresenta una delle sanzioni più significative emesse dall'autorità garante nei confronti di un operatore finanziario italiano e riaccende il dibattito sul delicato equilibrio tra sicurezza digitale e tutela della privacy.
Cosa facevano le app: il monitoraggio contestato
Il cuore della vicenda risiede in un meccanismo di controllo che, secondo il Garante, andava ben oltre quanto necessario. Le app BancoPosta e Postepay richiedevano agli utenti il rilascio di un'autorizzazione al monitoraggio di una vasta gamma di dati contenuti nei dispositivi mobili. Non si trattava soltanto di informazioni direttamente collegate alle operazioni bancarie. Le applicazioni accedevano all'elenco delle app installate e in esecuzione sullo smartphone, con l'obiettivo dichiarato di individuare eventuali software malevoli che potessero compromettere la sicurezza delle transazioni. Una finalità comprensibile, sulla carta. Il problema, però, è che questo tipo di scansione forniva a Poste Italiane e Postepay una fotografia dettagliata delle abitudini digitali degli utenti: quali applicazioni utilizzavano, con quale frequenza, in quali momenti. Un patrimonio informativo enorme, raccolto da milioni di dispositivi. Il Garante ha stabilito che tale pratica costituiva un'ingerenza eccessivamente invasiva nella sfera privata dei cittadini, sproporzionata rispetto alla finalità di sicurezza invocata. Il principio di minimizzazione dei dati, cardine del Regolamento generale sulla protezione dei dati (GDPR), risultava dunque violato.
Le violazioni accertate
Le indagini condotte dall'autorità garante hanno portato alla luce un quadro di irregolarità che va oltre il solo monitoraggio delle app installate. Sono emerse carenze significative nell'informativa resa agli utenti, che non venivano adeguatamente messi al corrente della portata del trattamento dei loro dati. In sostanza, chi scaricava e utilizzava BancoPosta o Postepay non riceveva informazioni sufficientemente chiare su cosa accadesse ai propri dati personali. A questo si aggiunge l'assenza di una valutazione di impatto sulla protezione dei dati (_DPIA_, _Data Protection Impact Assessment_), uno strumento previsto dal GDPR come obbligatorio quando il trattamento può comportare rischi elevati per i diritti e le libertà delle persone. Il Garante ha inoltre riscontrato la mancata adozione di misure di sicurezza adeguate a proteggere i dati raccolti e l'assenza di idonee politiche di conservazione, con il rischio che le informazioni personali venissero trattenute più a lungo del necessario. Infine, sono state rilevate irregolarità nella designazione del responsabile del trattamento, figura chiave nell'architettura della protezione dei dati prevista dalla normativa europea.
La difesa di Poste Italiane
Poste Italiane ha reagito al provvedimento con fermezza, respingendo ogni addebito e ribadendo la correttezza e la trasparenza del proprio operato. Secondo l'azienda, il monitoraggio delle applicazioni installate sui dispositivi degli utenti era una misura di sicurezza necessaria e proporzionata, finalizzata esclusivamente a proteggere i clienti da frodi informatiche e attacchi di _malware_. Il gruppo ha sottolineato come il settore dei pagamenti digitali sia costantemente esposto a minacce crescenti e come la protezione degli utenti richieda strumenti di difesa avanzati. In questa prospettiva, la scansione delle app rappresenterebbe uno scudo tecnologico, non un'intrusione. Poste Italiane ha inoltre annunciato la propria intenzione di presentare ricorso contro le sanzioni, convinta di poter dimostrare in sede giudiziaria la legittimità delle proprie scelte tecniche e organizzative. La vicenda si sposterà dunque nelle aule dei tribunali amministrativi, dove i giudici saranno chiamati a pronunciarsi su una questione che tocca milioni di italiani. L'esito del ricorso potrebbe creare un precedente rilevante per tutto il settore fintech e bancario.
Cosa cambia per gli utenti
Per i milioni di persone che ogni giorno utilizzano le app di Poste Italiane per pagamenti, ricariche e operazioni bancarie, questa vicenda solleva interrogativi concreti. Nell'immediato, il provvedimento del Garante impone alle due società di adeguare le proprie pratiche alle prescrizioni dell'autorità, il che potrebbe tradursi in aggiornamenti delle applicazioni con richieste di consenso più trasparenti e un monitoraggio meno invasivo. La decisione ricorda quanto sia fondamentale leggere con attenzione le autorizzazioni richieste dalle app prima di concederle. Troppo spesso gli utenti accettano condizioni d'uso senza verificare quali dati vengano effettivamente raccolti. Il caso Poste-Postepay dimostra che anche soggetti istituzionali di primaria importanza possono adottare pratiche non conformi alla normativa sulla privacy. In attesa dell'esito del ricorso, resta un dato di fatto: il Garante Privacy ha dimostrato di voler esercitare un controllo rigoroso anche nei confronti dei grandi operatori, confermando che la tutela dei dati personali non ammette eccezioni, nemmeno quando la giustificazione invocata è la sicurezza. La partita, comunque, è tutt'altro che chiusa.