Per usare una delle App di Poste Italiane, Bancoposta o Postepay, bisognava consentire l’accesso ai propri dati personali. Così l’Autorità Garante della Concorrenza e del Mercato (AGCM) nello scovare questo meccanismo, è arrivata ad infliggere una pesante sanzione di 4 milioni di euro.

Vediamo quali sono state le principali implicazioni, con focus sulla privacy.

AGCM sanziona Poste Italiane per una violazione privacy

Non è tanto che la sanzione sia stata irrogata da AGCM a creare interesse, ma la motivazione con la quale la stessa Autorità arriva a infliggere questi quattro milioni di euro a Poste Italiane.

La pratica commerciale scorretta risiedeva nell’obbligare gli utenti/clienti ad autorizzare per forza, altrimenti veniva inibito l’uso delle app, l’accesso ai dati personali, secondo quanto reso noto dall’Autorità Antitrust nel bollettino settimanale.

I fatti contestati

Poste Italiane da febbraio 2024 a febbraio 2025 aveva impostato il funzionamento delle app sui dispositivi Android al consenso obbligatorio da parte degli utenti, senza il quale non avrebbero potuto più accedere a una pluralità di dati presenti sugli smartphone.

No consenso, no app

La mancata autorizzazione da parte dei clienti/utenti rendeva le due applicazioni – Bancoposta e Postepay – del tutto inaccessibili.

La vicenda nasce così da segnalazioni di utenti all’AGCM (competente Sede), lamentando:

1. l’ampia portata dell’autorizzazione richiesta, consentendo a Poste Italiane l’accesso a una pluralità di dati personali;
2. il monitoraggio dell’eventuale utilizzo, da parte dell’utente, di app di operatori concorrenti;
3. la scarsità e vaghezza delle informazioni fornite al fine di giustificare tale richiesta.

Fonte: Bollettino AGCM.

La difesa di Poste e il giudizio di AGCM

La difesa di Poste Italiane era tutta impostata sulle “esigenze di sicurezza e prevenzione delle frodi” in special modo per il circuito Android, più vulnerabile rispetto a Apple/iOS per la sua struttura più aperta”.

Nel corso dell’istruttoria, invero, Poste Italiane aveva avuto modo di precisare che “i dati raccolti venivano trattati in forma anonimizzata e che la richiesta di autorizzazione non aveva alcuna finalità economica”.

Tuttavia, l’Autorità ha ritenuto tale pratica come scorretta finanche “aggressiva” lesiva della libertà di scelta dei consumatori.

Ancora, secondo AGCM la circostanza per cui “la clientela coinvolta includesse anche utenti poco esperti o con competenze digitali limitate” è assai rilevante dal momento che così operando, gli utenti/clienti potevano “non comprendere appieno le implicazioni della richiesta di autorizzazione all’accesso ai propri dati personali”.

L’antefatto

Nell’aprile di quest’anno 2025 le app di Poste “incriminate” chiedevano consensi a tutto spiano per (poter) accedere ai dati di utilizzo del telefono.

Ma non è tutto, il meccanismo attrattivo del consenso scaturiva dalla politica dei messaggi di avviso intitolati “Proteggi il tuo dispositivo”. Poste, come ricorderemo, aveva motivato il suo operato facendo una sorta di campagna “prevenzione di frodi e di rilevamento di app dannose” specialmente sul sistema Android.

La decisione dell’Antitrust

Secondo l’AGCM (ovvero Antitrust), la condotta posta in essere da Poste con riferimento all’uso delle app ha compromesso la possibilità per gli utenti/clienti/correntisti di esercitare un consenso libero e informato, condizionando l’accesso a servizi essenziali con il rilascio di dati personali anche particolari (ex sensibili).

La decisione si impone dalla “necessità di maggiore trasparenza e rispetto del diritto dei consumatori alla protezione dei propri dati, soprattutto in ambiti di uso quotidiano e diffuso come i servizi bancari digitali, e ricorda che le sanzioni per la gestione impropria dei dati personali degli utenti possono arrivare non solo dal Garante della Privacy, ma anche da altre Autorità”.

Tanto basta.

Il parere del Garante privacy

Leggiamo nel provvedimento testualmente che: “In data 13 marzo 2025, in considerazione dei potenziali impatti della condotta oggetto del procedimento in materia di protezione dei dati personali, è stato richiesto il parere al Garante per la Protezione dei dati personali. Il parere è pervenuto in data 14 aprile 2025”.

Quest’ultimo (non pubblico) sostanzialmente traduce la “scorrettezza della pratica” nelle violazioni privacy, emergendo una evidente preoccupazione per una possibile raccolta di dati personali non necessari.

Sanzione a Poste: comportamento scorretto che viola, anche, la privacy

Questa sanzione a Poste merita attenzione perché dimostra come si attui una pratica commerciale scorretta (anche) quando viene violata la privacy/protezione dei dati.

Aspetti di privacy violati: consenso obbligato all’accesso dei dati

Consenso all’accesso dei dati obbligato. In caso contrario l’utente/cliente non poteva più utilizzare le due app.

Questo per gli utenti Android, quelli di Apple invece subivano una politica leggermente diversa e del tenore “in assenza di tale autorizzazione hai a disposizione un numero massimo di 3 accessi dopo i quali non ti sarà più possibile accedere ed operare in app”.

Non solo, per poter accedere e utilizzare le App bancarie gli utenti dovevano dire di sì all’accesso ai dati, in assenza di una chiara e adeguata informativa.

App Poste e la raccolta dati: tutte le criticità

Raccolta dati se non illecita quanto meno e senz’altro illegittima. Soffermiamoci sui passaggi anche fattuali che ci aiutano a capire meglio il caso e la sua importanza.

A inizio aprile 2025 dall’App Bancoposta nello specifico scaricabile dal sistema Android viene congegnato un messaggio nuovo di “richiesta di accesso ai dati dello smartphone”. Insomma, se autorizzi – e sei invitato a farlo – la condivisione di alcune informazioni del telefono per “finalità antifrode” o meglio “per prevenire potenziali frodi”.

In mancanza di autorizzazione/consenso, il sistema garantirà soltanto tre ulteriori accessi, dopodiché sarà consentita più alcuna operazione.

Sembra paradossale, ma con questo caso (di Poste) è tutto incredibilmente vero: la sicurezza che tradisce i precetti (normativi) sulla sicurezza; e il tenore del messaggio è chiaro: “clicca sul pulsante … e autorizza l’app ad accedere ai tuoi dati” altrimenti, dopo il terzo tentativo sei fuori: né potrai accedere né operare movimenti dall’app (Apple IOS).

Nessuna traccia di informativa ma il consenso è obbligato

Nessuna informativa nemmeno breve. Come noto in difetto di informativa non è dato possibile avere evidenze chiare e trasparenti circa le attività di trattamento.

O acconsenti o, dopo il terzo tentativo, sarai impossibilitato ad operare sulle app. Nessuna libera scelta. Quindi quale (altra) base giuridica?

Non solo, la finalità del trattamento (prevenzione frodi) di fatto attiene a un cd “tracciamento comportamentale” ovvero cd attività di behavioral tracking volto a bloccare verosimilmente attività sospette anche se non precisate.

In ogni caso, quand’anche la base giuridica invocabile fosse riconducibile al cd “legittimo interesse”, in totale assenza dell’informativa nulla viene detto tanto meno del diritto di opposizione.

Quali dati raccolti

Nonostante l’assenza di informazioni circa la tipologia dei dati raccolti, è possibile averne un’idea riconducendola ai dati cd di utilizzo. Come rileva correttamente Stefano Gazzella ciò che “si intende mettere in pratica mediante l’attivazione della funzione e la concessione dei permessi consiste nell’applicazione di una tecnica di fingerprinting”, che l’esperto spiega “a livello pratico, grazie al monitoraggio dell’impiego del telefono da parte dell’utente con Threatmetrix, si ricava l’impronta digitale del dispositivo la quale però richiede una raccolta dei dati aggregati di utilizzo (non solo dell’app Bancoposta, ma anche di altre app)” per giungere alla conclusione secondo cui “maggiore è la quantità di questi dati maggiore sarà la capacità di creare un’impronta univoca basata sul comportamento dell’utilizzatore”. Tutto chiaro, no? Alquanto preoccupante.

Caso Poste: principali preoccupazioni sui più fronti anche tecnici

Chiediamoci dunque quali sono le principali preoccupazioni che discendono da un simile caso, sempre sul fronte privacy. Ecco, dunque, che la normativa in materia di protezione dati personali non può affatto venire meno, anzi trova la sua piena applicazione.

Ancora, all’utente in qualità di interessato spettano tutte le informazioni relative al trattamento dei propri dati personali, e in forza dei principi, tra cui quello di trasparenza che impone di comunicare nonché quello di minimizzazione a fronte del quale i dati raccolti devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5 par. 1, lett. c) GDPR).

Per quanto la principale preoccupazione lato tecnico-operativo, bene la spiega sempre Stefano Gazzella quando dice che “l’installazione alla cieca e forza sul proprio smartphone di quello Poste ha messo a disposizione è terribilmente analogo a uno spyware”.

Se così davvero è, ben capiamo quindi le conseguenze devastanti: “un’attività persistente di rilevazione del comportamento”, come ci fa notare Gazzella.

In chiosa, ricordiamo che i dati di comportamento compongono dei dataset estremamente appetibili e di valore, con effetti – se ci fermiamo a pensare – decisamente devastanti.