Il Garante per la Privacy ha inflitto una maxi sanzione da 12,5 milioni di euro a Poste Italiane e alla sua controllata PostePay per il trattamento illecito dei dati personali di milioni di utenti attraverso le omonime applicazioni.
La società ha però annunciato ricorso, definendosi «sorpresa» e sottolineando come il sistema contestato serva a proteggere i clienti dalle frodi informatiche.
La sanzione si divide in due quote: 6.624.000 euro a carico di Poste Italiane e 5.877.000 euro per PostePay. Al centro della contestazione mossa dall’Autorità, avviata dopo numerosi reclami ricevuti a partire da aprile 2024, vi è il monitoraggio dei dispositivi mobili.
Secondo il Garante, le app BancoPosta e PostePay avrebbero richiesto l’autorizzazione obbligatoria a sorvegliare le altre applicazioni installate ed eseguite sullo smartphone per individuare eventuali software malevoli. Questa modalità è stata giudicata un’ingerenza eccessivamente invasiva nella sfera privata, aggravata da carenze nelle informative e nell’adozione di misure di sicurezza adeguate.
Poste Italiane contesta il provvedimento sia nel merito sia per vizi procedurali, sostenendo che la decisione sia giunta oltre i termini di legge.
L’azienda ha precisato che l’accesso ai dati tecnici è finalizzato esclusivamente alla sicurezza, in linea con la direttiva europea Psd2. A supporto della propria tesi, il Gruppo ha citato un precedente dello scorso 2 febbraio 2026, quando il Tar del Lazio ha annullato un provvedimento analogo riguardante lo stesso sistema antifrode. In quella sede, i giudici amministrativi avevano riconosciuto la piena legittimità dell’operato di Poste, escludendo finalità commerciali.