Passa al contenuto principale

Baldi & Partners – Privacy e Cyber Sicurezza

  • 8 Maggio 2026

SANZIONI SALATE PER POSTE ITALIANE E POSTEPAY: IL GARANTE LE SANZIONA PER OLTRE 12,5 MILIONI DI EURO PER AVER TRATTATO ILLECITAMENTE I DATI PERSONALI DI MILIONI DI UTENTI TRAMITE LE APP POSTEPAY E BANCOPOSTA.

Il Garante per la protezione dei dati personali ha adottato, con provvedimento n. 237 del 17 aprile 2026, una sanzione complessiva di € 12.501.000 nei confronti di Poste Italiane S.p.A. e PostePay S.p.A., in relazione alle modalità di trattamento dei dati personali degli utenti tramite le app BancoPosta e PostePay. Cosa ha contestato il Garante?

  1. Trattamento eccessivamente invasivo: le app richiedevano agli utenti, come condizione obbligatoria per l’uso dei servizi, di autorizzare l’accesso e il monitoraggio di una vasta gamma di dati presenti nei dispositivi Android, incluse le applicazioni installate e in esecuzione, per la rilevazione di eventuali software malevoli. Questa autorizzazione era richiesta fin dall’avvio dell’app e, in caso di rifiuto, l’utente poteva accedere solo per un massimo di tre volte prima di essere bloccato.
  2. Violazione dei principi GDPR: il Garante ha ritenuto che tali trattamenti: 1) non fossero strettamente necessari rispetto alle finalità dichiarate (prevenzione delle frodi); 2) violassero il principio di minimizzazione del trattamento; 3) fossero eseguiti senza una adeguata valutazione di impatto sulla protezione dei dati (DPIA); d) mancassero di informativa trasparente agli utenti, non individuando la corretta base giuridica del trattamento; 4) non adottassero misure di sicurezza e conservazione dei dati adeguate; 5) presentassero irregolarità nella designazione del responsabile del trattamento.
  3. Uso della tecnologia antifrode (ThreatMetrix): nonostantei dati siano sotto forma di hash (es. MD5), possono essere riconducibili a informazioni sensibili sull’utente.

In estrema sintesi, Il conferimento del consenso dovrebbe sempre essere facoltativo, mentre in tali casi era presentato all’utente come passaggio obbligatorio per l’acquisizione di alcuni dati per la sicurezza delle operazioni,

Per approfondimenti:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10241537

resta aggiornato
in tempo reale

C.F. e P.I. 00734370356

© Baldi&Partners. All rights reserved.
Powered by AgM Srl.