Blog Image
notizie dal mondo legale

PRIVACY: GRUPPO POSTE ITALIANE, MULTA DA OLTRE 12 MILIONI DI EURO DAL GARANTE 

  • Posted by autore blog
  • On Aprile 22, 2026
  • 0
Condividi sui social

Il Garante per la Privacy ha sanzionato Poste Italiane e PostePay per aver trattato illecitamente, tramite la componente ThreatMetrix presente su tutte le proprie applicazioni, i dati personali di milioni di utenti.

di Avv. Salvatore Guglielmino

Con provvedimento n. 237 del 17 aprile 2026 il Garante per la protezione dei dati personali ha sanzionato PostePay S.p.A. e Poste Italiane, rispettivamente nella misura di € 5.877.000,00 ed € 6.624.000,00, per aver compiuto negli anni trattamenti illeciti dei dati personali di milioni di utenti.

LA SEGNALAZIONE DEI CITTADINI

Il procedimento, iniziato nell’aprile del 2024 su segnalazione di 140 cittadini (poi sfociate in 12 reclami dinnanzi all’Autority), si è concentrato sulla legittimità o meno del trattamento dei “dati di utilizzo” degli utenti per come raccolti, da Poste Italiane e PostePay mediante le proprie app, al fine di rilevare la presenza di eventuali software dannosi sui dispositivi mobile in uso agli stessi.

L’Autorità garante ha avviato l’istruttoria (che ha determinato l’acquisizione di memorie difensive e documentazione a supporto delle parti, oltre ad accessi ispettivi presso i Responsabili e sub-Responsabili del trattamento coinvolti), all’esito della quale ha ritenuto di dover ingiungere a PostePay S.p.A. ed a Poste Italiane, ai sensi dell’art. 58, paragrafo 2 lett. f), del Regolamento GDPR 679/2016, di interrompere i trattamenti dei “dati di utilizzo” degli utenti poiché integrante attività illecita.

IL TRATTAMENTO DEI DATI

È infatti emerso che i dati venivano trattati in violazione dei principi di minimizzazione del trattamento ex art. 5 del Regolamento GDPR, in assenza di una adeguata base giuridica e di una data retention e, cosa ancor più grave, che gli utenti erano “obbligati” a rilasciare il consenso alla raccolta poiché, in caso contrario, questi avrebbero potuto effettuare un numero massimo di tre accessi all’applicativo, oltre i quali l’uso ne sarebbe stato inibito. 

Il rilascio dell’anzidetta autorizzazione ha consentito al Gruppo Poste Italiane di accedere ai c.d. “dati di utilizzo” del dispositivo mobile in uso all’utente, allo scopo (illegittimo) di monitorare tutte le applicazioni utilizzate, la loro relativa frequenza e modalità d’uso (ivi compresi i flussi economici transitati) nonché il gestore telefonico, il tutto tramite ThreatMetrix (ossia un componente della piattaforma antifrode di Poste che consente di analizzare in tempo reale le operazioni realizzate tramite l’App e fornire un indice di rischio associato alle operazioni stesse).

IL PROVVEDIMENTO DEL GARANTE

Nel provvedimento l’Autorità ha chiarito che detto trattamento determina un’ingerenza eccessivamente invasiva del Titolare nella sfera privata degli utenti, in quanto tali modalità non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi.

Nel corso dell’istruttoria sono emerse ulteriori violazioni della normativa, tra cui carenze nell’informativa resa agli utenti, assenza di un’adeguata valutazione di impatto sulla protezione dei dati (DPIA), mancata adozione di misure di sicurezza adeguate e di idonee politiche di conservazione dei dati, nonché irregolarità nella designazione del responsabile del trattamento.

Per tutte le ragioni di cui sopra il Garante per la Protezione dei dati personali, oltre all’ingiunzione di cui sopra, ha sanzionato le due società in epigrafe per un importo pari ad oltre dodici milioni di euro.

LA RISPOSTA DI POSTE ITALIANE

Poste Italiane ha dichiarato che i trattamenti effettuati sono invece necessari per garantire la sicurezza delle operazioni e la conformità alla normativa europea in materia di servizi di pagamento,tanto che presenterà ricorso contro il provvedimento, definito “viziato nel merito e sotto il profilo procedimentale”.

LEGGI ANCHE QUI

Vuoi che l’intera architettura della tua società sia conforme alla normativa europea sul trattamento dei dati personali dei tuoi clienti?

Contattaci per una consulenza con i nostri legali, specializzati in privacy e cybersecurity, e metti il tuo business al riparo dalle sanzioni del Garante della Privacy

TAGS:
0 comments on PRIVACY: GRUPPO POSTE ITALIANE, MULTA DA OLTRE 12 MILIONI DI EURO DAL GARANTE 

Strumenti di Accessibilità