Privacy, multa da 12,5 milioni a Poste: le app spiavano tutto
Il Garante Privacy sanziona Poste per 12,5 milioni: le app raccoglievano dati invasivi sugli utenti. Ecco cosa cambia per la cybersecurity in Italia.
Contenuto
Scopri anche
- Cyberattacco ANTS: violazione dati in Francia, 19 milioni a rischio
- L'intelligenza artificiale nella sicurezza del software: opportunità, rischi e trasformazione del ruolo degli sviluppatori
- Meta e riconoscimento facciale: 77 organizzazioni lanciano l'allarme
- Verifica biometrica Tinder: impatto privacy e analisi del sistema World
- Xbox Mode su Windows 11: il PC diventa console ad aprile 2026
- Come riconoscere le menzogne: tecniche psicologiche e segnali comportamentali
- CISA: sito non gestito per fondi, advisory attiva su minacce iraniane
- Missione ISS privata: NASA-Voyager accordo per VOYG-1 nel 2028
- Future Stars of Wrestling: la promozione di Las Vegas tra passato e presente
- CISA: banner funding lapse visibile, pubblicato advisory su minacce Iran
- Memristore a 700°C: la scoperta casuale che cambia l'elettronica
- L'impatto dell'IA sul mondo del lavoro nel 2026: produttività, automazione e nuove competenze
- Voyager 1: la NASA spegne lo storico strumento LECP per preservare la missione
- AI 2026: l'impatto concreto sul mercato del lavoro e la transizione dai progetti pilota alla produzione
- Lumen Field: specifiche tecniche, ingegneria sismica e certificazioni dell'impianto Seattle
- L'ecosistema AI cinese tra modelli aperti, agenti commerciali e lavoro invisibile
- Hamster lancia Console Archives per Switch 2 e PS5: il progetto di conservazione dei classici
- Milla Jovovich lancia Mem-Palace, sistema di memoria IA open source con punteggio record nei benchmark
- Nvidia e Palantir a confronto: due giganti dell'intelligenza artificiale con valutazioni e profili di rischio divergenti
- Hill City Howlers aprono la stagione con due vittorie sui Kannapolis Cannon Ballers
Quanto è lecito spingersi oltre nel nome della sicurezza? È la domanda che il Garante italiano per la protezione dei dati personali ha dovuto affrontare in un caso che stabilisce un precedente importante per tutto il settore fintech italiano. Lunedì 20 aprile 2026, l'Autorità ha annunciato sanzioni per un totale di 12,5 milioni di euro a carico di Poste Italiane SpA e della sua controllata Postepay SpA, accusate di aver trattato illecitamente i dati personali di milioni di utenti attraverso le proprie applicazioni mobili.
I fatti: un sistema di monitoraggio oltre i limiti del GDPR
L'indagine del Garante Privacy si è concentrata sull'app Postepay e su un'applicazione gemella gestita dalla divisione servizi finanziari BancoPosta. Secondo quanto emerso dall'istruttoria, entrambe le app richiedevano agli utenti di autorizzare il monitoraggio di una serie di dati contenuti sui dispositivi mobili, incluse le applicazioni installate e in esecuzione. La finalità dichiarata era l'identificazione di software malevolo, ma il regolatore ha ritenuto i metodi usati "excessively invasive" e non necessari per gli obiettivi di prevenzione delle frodi.
La sanzione complessiva di 12,5 milioni di euro è stata suddivisa quasi equamente: 6.624.000 euro a carico di Poste Italiane SpA e 5.877.000 euro a carico di Postepay SpA. Oltre all'importo della multa, il Garante ha accompagnato il provvedimento con la richiesta di cessare i comportamenti contestati.
Privacy contro sicurezza: il conflitto emerso
Il caso solleva una questione centrale per l'intero settore dei pagamenti digitali: dove tracciare il confine tra misure di sicurezza legittime e sorveglianza eccessiva? Le app di Poste Italiane giustificavano la raccolta dati come strumento per combattere le frodi, ma il Garante ha evidenziato come tale raccolta andasse ben oltre quanto necessario per raggiungere tale scopo.
Secondo l'Autorità, oltre all'invasività del monitoraggio, sono emerse altre criticità significative: mancanza di informazioni adeguate agli utenti riguardo il trattamento dei propri dati e una conservazione dei dati troppo lunga rispetto alle finalità dichiarate. Elementi che, nel complesso, hanno portato a configurare una violazione del GDPR che ha coinvolto milioni di utenti delle piattaforme BancoPosta e PostePay.
La reazione di Poste Italiane
Poste Italiane ha accolto con stupore il provvedimento, annunciando che presenterà ricorso. La società ha contestato la decisione del Garante, facendo riferimento a una pronuncia che, secondo l'azienda, sarebbe già stata annullata in precedenza. La risposta di Poste evidenzia come la interpretazione del bilanciamento tra sicurezza e privacy rimanga oggetto di dibattito anche a livello giurisdizionale.
La posizione dell'azienda riflette una tensione strutturale nel settore: da un lato la pressione regulatoria e dei clienti per implementare misure antifrode sempre più sofisticate, dall'altro i vincoli normativi che limitano l'estensione di tali misure quando impattano sulla sfera privata degli utenti.
Le implicazioni per il settore fintech italiano
La sanzione al gruppo Poste rappresenta uno dei provvedimenti più significativi mai inflitti in Italia per violazioni della privacy nel settore finanziario. Il precedente potrebbe spingere altre istituzioni finanziarie e operatori fintech a rivedere le proprie pratiche di raccolta dati nelle app mobili.
Il messaggio del Garante è chiaro: la sicurezza informatica non può diventare un alibi per monitoraggi indiscriminati. Le misure antifrode devono essere proporzionate, trasparenti e limitate al necessario. Per milioni di utenti italiani che utilizzano quotidianamente app di pagamento, questo caso potrebbe tradursi in richieste di autorizzazione più mirate e informative più chiare su quali dati vengono effettivamente raccolti e per quali scopi.
Cosa cambia per gli utenti
Dal punto di vista pratico, la decisione del Garante dovrebbe portare a una ridefinizione delle richieste di autorizzazione che le app di pagamento mostrano agli utenti. Invece di permessi generici per monitorare tutte le applicazioni presenti sul dispositivo, le future versioni potrebbero limitarsi a controlli più specifici, magari focalizzati su indicatori di rischio senza necessità di mappare l'intero ecosistema software installato.
Per gli utenti che hanno già autorizzato tali permessi, resta aperta la questione di cosa accadrà ai dati già raccolti e conservati. Il Garante ha rilevato una conservazione troppo lunga, il che suggerisce che parte delle informazioni raccolte potrebbe dover essere cancellata nel breve termine.
Domande frequenti
- Perché Poste Italiane è stata multata dal Garante Privacy?
- Per aver trattato illecitamente i dati personali di milioni di utenti attraverso le app Postepay e BancoPosta, raccogliendo informazioni su applicazioni installate e in esecuzione sui dispositivi mobili in modo ritenuto eccessivamente invasivo rispetto alle finalità di prevenzione delle frodi.
- Quanto ammonta la multa a Poste Italiane e Postepay?
- La sanzione totale è di 12,5 milioni di euro, suddivisa in 6.624.000 euro per Poste Italiane SpA e 5.877.000 euro per Postepay SpA.
- Cosa devono fare gli utenti dell'app Postepay?
- Al momento non sono richieste azioni specifiche da parte degli utenti. Poste Italiane ha annunciato ricorso contro il provvedimento. Il Garante ha ordinato la cessazione dei comportamenti contestati, quindi le future versioni delle app dovrebbero modificare le richieste di autorizzazione.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Fonti
- https://www.ansa.it/sito/notizie/economia/2026/04/20/garante-privacy-sanziona-poste-italiane-e-postepay-per-oltre-125-milioni_ffea7f4f-afab-4053-b74b-97ea01021535.html
- https://www.repubblica.it/economia/2026/04/20/news/poste_italiane_multa_da_125_milioni_dal_garante_privacy-425294742/
- https://tg24.sky.it/economia/2026/04/20/garante-privacy-sanziona-poste-italiane-postepay
- https://www.virgilio.it/notizie/maxi-multa-a-poste-italiane-e-postepay-dal-garante-della-privacy-sanzione-da-12-5-milioni-per-dati-illeciti-1750047