Clienti costretti a “cedere” dati per utilizzare le app BancoPosta e Postepay. Senza alcuna ragione fondata e bypassando le regole. È un’accusa pesante quella mossa dal Garante per la protezione dei dati personali (Privacy) nei confronti di Poste Italiane che, a due anni dalle prime segnalazioni degli utenti (ad aprile e maggio 2024 sono pervenute 140 segnalazioni e 12 reclami) e l’avvio di un’istruttoria con tanto di ispezioni presso la sede di Poste, ha deciso di multare l’azienda guidata da Matteo Del Fante per oltre 12,5 milioni di euro, di cui 6,6 milioni in capo a Poste Italiane Spa e 5,8 milioni a Postepay Spa.Trattamento illecito dei dati personali di milioni di utenti: questo il capo di accusa dell’Autorità basato sulla modalità di utilizzo delle due app sul sistema operativo Android da cui sarebbe derivata “un’ingerenza eccessivamente invasiva nella sfera privata degli utenti”. In dettaglio – spiega il Garante nel provvedimento datato 17 aprile – per utilizzare le applicazioni agli utenti è richiesto di autorizzare il monitoraggio di una serie di dati dei dispositivi mobili (incluse le applicazioni installate e in esecuzione) al fine di individuare eventuali software malevoli, attività che Poste avrebbe valutato come strettamente necessaria al fine di garantire la sicurezza delle operazioni attraverso le app e come necessaria al fine dell’adeguamento alla normativa sui servizi di pagamento. Dichiarazioni rimandate al mittente da parte del Garante poiché le attività in questione “non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi”, spiega ancora l’Autorità.Cosa contesta il Garante PrivacyNel mirino l’applicativo ThreatMetrix, componente della piattaforma antifrode di Poste che consente di analizzare in tempo reale le operazioni realizzate tramite l’app fornendo un indice di rischio associato alle operazioni. E la lista delle violazioni rilevate è piuttosto lunga: carenze nell’informativa agli utenti, assenza di un’adeguata Dpia (la valutazione di impatto sulla protezione dei dati) mancata adozione di idonee misure di sicurezza nonché di politiche di conservazione dei dati e. per finire, irregolarità nella designazione del responsabile del trattamento.Il Garante, oltre alla sanzione, intima alla due società della galassia Poste di cessare i trattamenti oggetto di contestazione (nel caso non si sia già provveduto) e di adeguarsi alle prescrizioni in materia di conservazione dei dati, dandone comunicazione all’Autorità. Vengono dati 30 giorni di tempo a Poste Italiane Spa (a partire dalla notifica del provvedimento) “per individuare specifiche tempistiche di conservazione dei dati degli utenti i cui dati sono tuttora trattati mediante l’applicativo ThreatMetrix” e 10 giorni a Postepay Spa per “interrompere i trattamenti relativi alla raccolta di dati del dispositivo sulle app installate e/o in esecuzione”.Per Poste, la decisione “viziata”“La nostra posizione è molto chiara e netta”, dichiara a Wired Italia un portavoce di Poste nel fare riferimento alla nota emessa a stretto giro dalla società a seguito del provvedimento annunciato dal Garante.Oltre a dirsi stupita dalla decisione dell’Autorità e nell’annunciare ricorso al Tribunale di Roma, Poste mette nero su bianco una serie di contestazioni.Primo: “Il provvedimento oltre che nel merito, è viziato sotto il profilo procedimentale, essendo stato adottato in palese ritardo rispetto ai termini perentori previsti dalla legge per l’esercizio dei poteri del Garante”. E a tal proposito l’azienda ricorda che il 2 febbraio scorso il Tar del Lazio ha annullato il provvedimento con cui l’Antitrust aveva sanzionato Poste per 4 milioni di euro – sempre in merito alla presunta pratica commerciale scorretta legata alle autorizzazioni obbligatorie per l’uso delle due app – “riconoscendone la piena legittimità e l’assenza di qualsivoglia intento commerciale nelle condotte di Poste”.E, ancora, Poste evidenzia che anche secondo Banca d’Italia “il Gruppo ha utilizzato legittimamente e in conformità con la normativa in materia di servizi di pagamento l’accesso ai dati tecnici dei dispositivi dei clienti, finalizzati esclusivamente all’attivazione di presidi antifrode e antimalware, come richiesto dalla normativa europea (Direttiva PSD2), per una piena tutela della sicurezza degli utenti”.