Con il provvedimento n. 237 del 17 aprile 2026, il Garante per la protezione dei dati personali ha sanzionato Poste Italiane S.p.a. e PostePay S.p.a. per i trattamenti di dati personali effettuati tramite le app Bancoposta e PostePay su sistema operativo Android. Al centro della vicenda c’è una libreria software antifrode che, nella configurazione adottata dalle due società, accedeva all’elenco delle applicazioni installate e in esecuzione sui dispositivi degli utenti. L’obiettivo dichiarato era rilevare malware. Il risultato, per il Garante, era una sorveglianza sproporzionata e priva di adeguata base giuridica.
I fatti
Nell’aprile 2024 pervennero all’Autorità 140 segnalazioni e 12 reclami. Gli utenti delle due app avevano ricevuto un messaggio che li invitava ad autorizzare l’accesso ai propri “dati di utilizzo”, qualificandolo come obbligatorio e avvertendo che, in caso di mancata attivazione, l’operatività dell’app sarebbe stata inibita dopo tre accessi. L’autorizzazione consentiva alle app di monitorare le applicazioni in uso sul dispositivo, la loro frequenza d’uso, il gestore telefonico e altre informazioni di utilizzo tramite la libreria in questione, che raccoglieva i codici hash MD5 delle app in esecuzione e li trasmetteva ai sistemi cloud del responsabile del trattamento.
Il nodo giuridico: base giuridica errata e consenso non valido
Le società sostenevano che il trattamento fosse esentato dal consenso in quanto strettamente necessario all’erogazione del servizio, ai sensi dell’art. 122 del Codice Privacy, e che trovasse fondamento nell’obbligo legale derivante dalla normativa PSD2 e dai relativi standard tecnici EBA. Il Garante ha respinto entrambe le argomentazioni.
Sul primo punto, l’Autorità ha chiarito che l’esonero dal consenso previsto dall’art. 122 è di stretta interpretazione e si applica solo alle operazioni tecnicamente indispensabili all’erogazione del servizio richiesto. L’accesso all’elenco delle app installate, che può rivelare condizioni di salute, orientamenti religiosi o politici, abitudini finanziarie e aspetti della vita privata, non è strettamente necessario al funzionamento di un’app bancaria. Lo conferma un dato emerso dall’istruttoria dell’AGCM: nei primi sette mesi di utilizzo del sistema, le società stesse avevano dichiarato che la nuova funzionalità non aveva prodotto una rilevazione maggiore o più efficiente di fenomeni fraudolenti. E, soprattutto, le società avevano successivamente disabilitato la funzionalità senza particolari disfunzioni operative.
Sul secondo punto, il Garante ha precisato che la normativa PSD2 non impone la specifica configurazione adottata dalle società. Impone misure antifrode, non quella misura. Meccanismi alternativi ( es. autenticazione multi-fattore rafforzata, algoritmi di scoring anonimi, controlli runtime, monitoraggi di rete) avrebbero potuto garantire un livello di sicurezza equivalente con un impatto molto inferiore sulla sfera personale degli utenti.
Privacy by design violata e DPIA assente
Le violazioni accertate vanno oltre la questione della base giuridica. Il Garante ha contestato l’assenza di una valutazione d’impatto preventiva adeguata rispetto alla specifica configurazione adottata, la non conformità dell’informativa resa agli utenti, che non descriveva con sufficiente precisione le modalità e le finalità del trattamento, il mancato rispetto del principio di limitazione della conservazione, con dati conservati per periodi superiori a quanto inizialmente dichiarato, e profili di inadeguatezza nella designazione del responsabile del trattamento e nella catena dei sub-responsabili.
La violazione del principio di privacy by design è quella che il Garante sottolinea con maggiore energia: una soluzione modulare e configurabile avrebbe potuto essere adottata in una configurazione meno invasiva. La scelta della configurazione più ampia non rispondeva a un requisito normativo, ma a una decisione organizzativa.
Le implicazioni per le imprese
Il provvedimento ha una portata che va oltre Poste Italiane. Chiunque integri librerie di terze parti nei propri sistemi per finalità di sicurezza o antifrode deve verificare che la configurazione specifica adottata sia proporzionata alle finalità dichiarate, che la base giuridica sia correttamente identificata, distinguendo tra accesso al dispositivo e trattamenti successivi, e che la DPIA sia stata effettuata rispetto al trattamento concreto, non a quello astratto. La sicurezza informatica è un obbligo. Non è una giustificazione per raccogliere più dati di quanti ne servano.
