Perché il Garante Privacy ha multato Poste Italiane e Postepay

Oltre 12,5 milioni di euro in totale. È l’ammontare complessivo delle due sanzioni inflitte dal Garante Privacy a Poste Italiane (6,62 milioni) e a Postepay (5,88 milioni) per aver trattato illecitamente i dati personali di milioni di utenti. Si è conclusa così l’istruttoria avviata nel 2024 in seguito a numerosi reclami e segnalazioni.

Poste Italiane e Postepay sanzionate per la privacy

A finire sotto la lente di ingrandimento sono state le applicazioni BancoPosta e Postepay, oggi assorbite dalla nuova Super App del gruppo. Prevedevano l’obbligo di autorizzare il monitoraggio di alcune informazioni nei dispositivi, incluse le altre applicazioni installate ed eseguite, con l’obiettivo di individuare eventuali malware. Secondo il parere di Poste Italiane, si è trattato di una misura di sicurezza necessaria, ma l’Autorità la pensa diversamente, ritenendola un’ingerenza eccessivamente invasiva nella sfera privata degli utenti, in quanto non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi.

L’istruttoria ha permesso al Garante Privacy di far emergere diverse violazioni della normativa sulla protezione dei dati personali. Tra queste figurano carenze nell’informativa, l’assenza di un’adeguata valutazione di impatto e la mancata adozione di misure di sicurezza adeguate per la conservazione dei dati oltre a irregolarità nella designazione del responsabile del trattamento. Per questo motivo, le società devono cessare i trattamenti oggetto di contestazione, ove non vi abbiano già provveduto e adeguarsi alle prescrizioni in materia di conservazione dei dati, dandone comunicazione al Garante.

La replica di Poste Italiane, presenterà ricorso

Non si è fatta attendere la replica di Poste Italiane, che afferma di aver accolto con stupore il provvedimento.

Provvedimento che, peraltro, oltre che nel merito, è viziato anche sotto il profilo procedimentale, essendo stato adottato in palese ritardo rispetto ai termini perentori previsti dalla legge per l’esercizio dei poteri del Garante.

Il gruppo fa inoltre riferimento a una decisione del TAR Lazio di inizio febbraio 2026 con cui è stato annullato il provvedimento con cui l’Antitrust aveva sanzionato Poste Italiane per una presunta pratica commerciale scorretta relativa al medesimo dispositivo antifrode oggetto delle odierne censure del Garante, riconoscendone la piena legittimità e l’assenza di qualsivoglia intento commerciale nelle condotte di Poste. Insomma, il sistema aveva solo una finalità di sicurezza, non raccoglieva dati da impiegare poi con altri scopi.