L’autorità antitrust ha accettato gli impegni e chiuso l’istruttoria a metà giugno 2024. Il Garante per la protezione dei dati personali ha invece inflitto una sanzione di 17,6 milioni di euro a Intesa San Paolo per la violazione della privacy dei clienti con il passaggio unilaterale alla controllata Isybank.
Profilazione dei clienti senza valida base giuridica
Dopo aver lanciato Isybank (giugno 2023), Intesa Sanpaolo ha avviato il trasferimento di circa 2,4 milioni di clienti alla nuova banca digitale. Ciò è avvenuto in due fasi tra ottobre 2023 e marzo 2024. La scelta dei clienti è stata effettuata in base a determinati requisiti, tra cui età non superiore a 65 anni, giacenze inferiori a 100.000 euro e familiarità con i canali digitali (Isybank non ha sportelli fisici). Per l’individuazione dei clienti “prevalentemente digitali” è stato usato il legittimo interesse come base giuridica del trattamento dei dati.
In seguito ai reclami ricevuti da clienti e Unione Nazionale Consumatori, il Garante della privacy ha avviato un’istruttoria il 3 gennaio 2025. Al termine della complessa indagine, l’autorità ha accertato la violazione del GDPR (Regolamento generale sulla protezione dei dati). Intesa Sanpaolo ha effettuato una profilazione dei clienti per individuare quelli idonei al trasferimento verso Isybank.
Tale trasferimento è avvenuto con sistemi automatizzati. Ha inoltre comportato la modifica unilaterale delle condizioni contrattuali e dell’operatività del conto corrente, oltre ovviamente alla modifica del titolare del trattamento dei dati. La profilazione non può avvenire usando il legittimo interesse come base giuridica. In pratica, la banca doveva ottenere un esplicito consenso dai clienti.
Il Garante ha inoltre riscontrato carenze nella modalità di comunicazione del trasferimento. I clienti sono stati informati tramite la sezione archivio dell’area utente su web o dell’app di Intesa Sanpaolo, senza evidenziare la straordinarietà dell’operazione attraverso notifiche push o SMS. Molti clienti non hanno notato la comunicazione e non hanno potuto rifiutare il trasferimento entro la scadenza.
Tenendo contro della gravità delle violazioni e del numero elevato di clienti interessati, il Garante ha inflitto una sanzione di 17,628 milioni di euro a Intesa Sanpaolo. La banca può presentare ricorso al TAR entro 30 giorni.
Ti potrebbe interessare
13 mar 2026