La sicurezza digitale ha un limite. E quel limite, secondo il Garante per la protezione dei dati personali, è stato superato nel caso delle app di Poste Italiane e Postepay S.p.A..
L’Autorità ha inflitto una sanzione complessiva superiore a 12,5 milioni di euro: 6,6 milioni a Poste Italiane e 5,8 milioni a Postepay. Al centro dell’istruttoria, il modo in cui le applicazioni BancoPosta e Postepay gestivano i dati degli utenti.
Il punto non è marginale. Per utilizzare i servizi, gli utenti erano obbligati ad autorizzare il monitoraggio del proprio smartphone, comprese le applicazioni installate e in esecuzione.
Il nodo: controllo troppo invasivo
Secondo le società, questo sistema serviva a proteggere gli utenti da frodi e malware, in linea con la normativa europea sui pagamenti digitali.
Ma per il Garante la misura è andata oltre il necessario. Il monitoraggio continuo dei dispositivi è stato considerato un’ingerenza eccessiva nella vita privata degli utenti, non giustificata rispetto alle finalità dichiarate.
È qui che si gioca la partita più interessante. Non si contesta l’obiettivo, cioè la sicurezza, ma il modo in cui viene perseguito.
Le violazioni contestate
L’istruttoria ha fatto emergere una serie di criticità che vanno ben oltre il singolo aspetto tecnico.
Secondo il Garante, sono state riscontrate carenze nell’informativa agli utenti, quindi nella trasparenza su come venivano trattati i dati. Mancava una valutazione d’impatto sulla protezione dei dati adeguata, la cosiddetta DPIA, obbligatoria in presenza di trattamenti rischiosi.
A questo si aggiungono problemi nelle misure di sicurezza, nelle politiche di conservazione dei dati e nella gestione dei rapporti con i responsabili del trattamento.
Non si tratta quindi di un errore isolato, ma di un insieme di elementi che hanno portato l’Autorità a intervenire in modo deciso.
Stop ai trattamenti e obbligo di adeguamento
Oltre alla sanzione economica, il Garante ha imposto alle società di cessare i trattamenti contestati, se non già interrotti, e di adeguarsi alle prescrizioni sulla gestione e conservazione dei dati.
È un passaggio fondamentale, perché dimostra che l’intervento non è solo punitivo, ma mira a modificare concretamente il funzionamento dei servizi.
La reazione di Poste: “Faremo ricorso”
La risposta di Poste Italiane è stata immediata. La società ha espresso “stupore” per il provvedimento e ha annunciato ricorso davanti al tribunale di Roma.
La linea difensiva è chiara. Secondo Poste, l’accesso ai dati dei dispositivi era legittimo e necessario per garantire la sicurezza delle operazioni, anche alla luce della normativa europea, in particolare la PSD2.
Non solo. La società richiama anche una decisione del Tar Lazio del febbraio 2026, che ha annullato una precedente sanzione dell’Antitrust sullo stesso sistema antifrode, riconoscendone la legittimità.
Si apre quindi un conflitto giuridico interessante tra diverse autorità e interpretazioni della normativa.
Sicurezza contro privacy: un equilibrio sempre più fragile
Il caso Poste mette in evidenza un problema destinato a crescere. Più i servizi digitali diventano sofisticati, più aumenta la quantità di dati necessari per farli funzionare in sicurezza.
Ma questo non significa che tutto sia consentito.
Il GDPR si basa su un principio preciso: i dati devono essere trattati solo nella misura strettamente necessaria. E proprio su questo punto il Garante ha costruito il suo intervento.
Perché questa vicenda riguarda tutti
Non è una questione tecnica. Riguarda il modo in cui utilizziamo ogni giorno servizi digitali per pagamenti, trasferimenti, gestione del denaro.
Ogni volta che installiamo un’app e accettiamo le autorizzazioni, stiamo facendo una scelta. Spesso senza rendercene conto.
Il caso Poste ci ricorda che dietro quella scelta c’è un equilibrio delicato tra protezione e controllo. E che quel confine, oggi più che mai, è oggetto di una battaglia giuridica e tecnologica destinata a continuare.
