Maxi multa a Poste Italiane, la società annuncia ricorso

VENEZIA - Il Garante per la Privacy ha irrogato una sanzione complessiva da 12,5 milioni di euro al gruppo Poste, articolata in due distinti provvedimenti: una multa da 6,624 milioni a Poste Italiane e una da 5,877 milioni a Postepay, per il presunto trattamento illecito dei dati personali di milioni di utenti.

Una decisione che ha immediatamente innescato la reazione della società, che ha annunciato ricorso e respinto ogni addebito.

La vicenda trae origine da un precedente contesto già oggetto di contenzioso: si tratta infatti dello stesso impianto sul quale si era innestata una multa da 4 milioni di euro dell’Antitrust nel giugno 2025, successivamente annullata dal TAR a seguito del ricorso presentato da Poste Italiane.

L’istruttoria del Garante per la Privacy è partita a seguito di 140 segnalazioni e 12 reclami raccolti a partire dai mesi di aprile e maggio 2024.

Al centro delle contestazioni, il comportamento degli utenti delle app Bancoposta e PostePay, che avevano ricevuto messaggi con l’invito ad “autorizzare l’App ad accedere ai dati per rilevare la presenza di eventuali software dannosi”.

Secondo quanto ricostruito, l’autorizzazione risultava obbligatoria: in assenza di consenso, l’operatività dell’applicazione veniva di fatto inibita.

Con il via libera, gli utenti consentivano l’accesso a dati di utilizzo finalizzati al monitoraggio delle applicazioni installate e utilizzate, alla frequenza d’uso dei servizi e all’identificazione dell’operatore telefonico.

Le applicazioni prevedevano quindi come condizione necessaria per l’utilizzo dei servizi il rilascio di un’autorizzazione al monitoraggio dei dati presenti nei dispositivi mobili, comprese app installate e in esecuzione, con l’obiettivo di individuare eventuali software malevoli.

Il trattamento veniva effettuato tramite il sistema ThreatMetrix, componente della piattaforma antifrode del gruppo, in grado di analizzare in tempo reale le operazioni e attribuire un indice di rischio alle transazioni.

Nel provvedimento, il Garante ha definito l’applicativo “eccessivamente invasivo” rispetto alla sfera giuridica degli interessati.

Pur riconoscendo la legittimità dell’obiettivo di rafforzare la sicurezza informatica e i sistemi antifrode, l’Autorità ha evidenziato che tali finalità avrebbero potuto essere raggiunte con strumenti meno impattanti sui diritti degli utenti.

La posizione del Garante si inserisce in un quadro normativo che punta a bilanciare sicurezza digitale e tutela della privacy, in un contesto in cui milioni di utenti utilizzano servizi bancari e postali digitali.

Dal canto suo, Poste Italiane ha respinto ogni contestazione, ribadendo la correttezza del proprio operato e sottolineando il rispetto della normativa sui servizi di pagamento e della direttiva europea PSD2, con finalità esclusivamente antifrode e antimalware.

La società ha inoltre annunciato che presenterà ricorso al Tribunale di Roma, aprendo un nuovo capitolo di una vicenda che intreccia sicurezza digitale, privacy e regolazione dei servizi finanziari.