Il Garante per la Privacy ha irrogato una sanzione complessiva da 12,5 milioni al gruppo Poste, di cui 6,624 euro a Poste Italiane e una di 5,877 milioni di euro a Postepay, per aver trattato illecitamente i dati personali di milioni di utenti.
La vicenda è stessa dalla quale era originata una multa da 4 milioni erogata dall’Antitrust nel giugno 2025, annullata però quest’anno dal Tar dopo il ricorso di Poste. L’istruttoria del Garante per la Privacy era partita a seguito di 140 segnalazioni e 12 reclami a partire dai mesi di aprile e maggio 2024 sul fatto che gli utenti delle App Bancoposta e PostePay avevano ricevuto messaggi di invito ad «autorizzare l’App ad accedere ai dati per rilevare la presenza di eventuali software dannosi».
L’autorizzazione era obbligatoria altrimenti l’operatività sarebbe stata inibita. Con l’autorizzazione si consentiva l’accesso a dati di utilizzo, al fine di monitorare le App usate dai clienti, la frequenza di utilizzo e identificare operatore telefonico. Tali applicazioni prevedevano quindi, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli. Il trattamento veniva svolto tramite ThreatMetrix, che nella sostanza è una componente della piattaforma antifrode di Poste che consente di analizzare in tempo reale le operazioni realizzate tramite l’App e fornisce un indice di rischio associato alle operazioni stesse.
