Il Garante per la protezione dei dati personali ha inflitto una sanzione da 17,6 milioni di euro a Intesa Sanpaolo per il trattamento illecito dei dati personali di circa 2,4 milioni di clienti coinvolti nel trasferimento verso Isybank, la banca digitale del gruppo.
Il provvedimento chiude una complessa istruttoria avviata dall’Autorità dopo numerose segnalazioni da parte di correntisti che avevano contestato le modalità con cui erano stati informati del passaggio alla nuova piattaforma bancaria. Si tratta di una decisione destinata ad avere un peso rilevante nel dibattito sulla trasformazione digitale dei servizi bancari e sui limiti entro cui può muoversi l’innovazione quando incide sui diritti degli utenti.
La profilazione dei clienti contestata dall’Autorità
Secondo quanto accertato dal Garante, l’istituto avrebbe effettuato una profilazione della propria clientela senza una base giuridica adeguata per individuare i clienti da trasferire alla nuova banca digitale. La selezione sarebbe avvenuta sulla base di diversi criteri, tra cui l’età inferiore ai 65 anni, l’utilizzo frequente dei servizi digitali nell’ultimo anno, l’assenza di prodotti di investimento e disponibilità finanziarie inferiori a una certa soglia.
Questa analisi dei dati personali ha portato alla scelta dei clienti da migrare verso Isybank, e proprio questo passaggio è uno dei punti centrali della contestazione. Per l’Autorità, infatti, la banca ha trattato dati dei correntisti in un modo che questi ultimi non potevano ragionevolmente attendersi, alla luce del rapporto esistente e delle informazioni ricevute.
Il trasferimento a Isybank e gli effetti concreti sui correntisti
Il passaggio verso Isybank non è stato valutato dal Garante come una mera riorganizzazione interna, ma come un’operazione in grado di incidere in modo sostanziale sulla posizione dei clienti. Il trasferimento ha infatti comportato il passaggio dei conti a un diverso titolare del trattamento, con modifiche operative significative come l’attribuzione di un nuovo IBAN e il passaggio a un modello bancario esclusivamente digitale, senza sportelli fisici e con accesso ai servizi soltanto tramite app.
Per molti utenti non si è trattato quindi soltanto di un cambio di marchio o di interfaccia, ma di una modifica concreta delle modalità di gestione del proprio conto corrente. È proprio su questo punto che la vicenda assume una rilevanza più ampia, perché mostra come il tema della protezione dei dati si intrecci direttamente con quello della libertà contrattuale e della trasparenza nei servizi finanziari.
Le comunicazioni ai clienti ritenute insufficienti
Un ulteriore profilo critico riguarda le modalità di comunicazione adottate dalla banca. Le informazioni relative al trasferimento sono state inviate principalmente tramite la sezione archivio dell’app di home banking e in molti casi nel periodo estivo, senza strumenti di notifica più evidenti come sms o notifiche push.
Secondo il Garante, questo sistema non ha garantito una comunicazione sufficientemente chiara e visibile per un’operazione che incideva in modo significativo sui rapporti bancari dei clienti. In altre parole, non basta che l’informazione sia tecnicamente disponibile: deve anche essere portata all’attenzione dell’interessato in modo effettivo, soprattutto quando riguarda decisioni capaci di modificare il rapporto con la banca.
Che cosa insegna questo caso al settore bancario e fintech
Il caso Intesa Sanpaolo-Isybank rappresenta uno dei provvedimenti più rilevanti degli ultimi anni nel settore bancario sul fronte della protezione dei dati e mette in evidenza un punto chiave per l’intero ecosistema fintech europeo: la trasformazione digitale dei servizi finanziari deve sempre rispettare i principi di trasparenza, correttezza e liceità previsti dalla normativa sulla protezione dei dati personali.
La decisione del Garante manda un messaggio chiaro al mercato. Le banche possono spingere sull’innovazione, sulla semplificazione dei servizi e sulla migrazione verso modelli interamente digitali, ma non possono farlo riducendo gli spazi di consapevolezza del cliente o basandosi su trattamenti di dati non adeguatamente giustificati. È questo il vero punto giuridico e strategico che emerge dalla vicenda: la digitalizzazione non è mai neutrale quando modifica il rapporto tra impresa e utente, e proprio per questo richiede standard più alti di responsabilità.
