Il Garante per la protezione dei dati personali ha inflitto una sanzione da 12 milioni e mezzo di euro a Poste Italiane S.p.A. e Postepay S.p.A. per violazioni del GDPR riconducibili alle app BancoPosta e Postepay. È un provvedimento che riguarda direttamente milioni di utenti italiani: chiunque abbia installato e usato queste app ha potenzialmente subito un trattamento di dati personali giudicato illegittimo dall’autorità di controllo. Se ti stai chiedendo se ti riguarda, la risposta è molto probabilmente sì.
In questo articolo analizziamo nel dettaglio cosa è accaduto, perché il Garante ha ritenuto le pratiche di raccolta dati non conformi al GDPR, quale posizione ha assunto Poste Italiane e — soprattutto — quali diritti puoi esercitare in quanto utente coinvolto.
Cosa facevano le app BancoPosta e Postepay
Le app BancoPosta e Postepay, per poter essere utilizzate, richiedevano agli utenti un consenso al monitoraggio del dispositivo mobile. In pratica, le applicazioni raccoglievano informazioni su: quali altre app erano installate sullo smartphone, quali processi erano in esecuzione in quel momento, e dati tecnici del dispositivo.
Poste Italiane e Postepay giustificavano questa raccolta con finalità di sicurezza: prevenzione delle frodi e protezione dei pagamenti digitali. Una motivazione, in astratto, comprensibile. Il sistema antifrode ha bisogno di segnali per distinguere un comportamento legittimo da uno sospetto, e le caratteristiche del dispositivo possono essere uno di questi segnali.
Il problema, secondo il Garante, non era la finalità dichiarata. Era il modo in cui quella finalità veniva perseguita: attraverso una raccolta di dati sproporzionata rispetto a ciò che sarebbe stato strettamente necessario.
Perché il Garante ha sanzionato Poste Italiane
Il provvedimento del Garante si fonda su più profili di violazione del GDPR, che vale la pena distinguere con precisione.
Violazione del principio di minimizzazione dei dati
L’articolo 5 del GDPR stabilisce che i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. È il cosiddetto principio di minimizzazione: non si raccolgono dati in eccesso rispetto all’obiettivo dichiarato.
Il Garante ha ritenuto che conoscere l’intera lista delle app installate su uno smartphone — comprese quelle prive di qualsiasi rilevanza ai fini antifrode — andasse ben oltre ciò che la prevenzione delle frodi richiedeva. Il trattamento era eccessivamente invasivo e non strettamente necessario rispetto agli obiettivi dichiarati.
Informative incomplete agli utenti
Il GDPR impone che gli utenti vengano informati in modo chiaro, trasparente e comprensibile su come vengono trattati i loro dati (art. 13 GDPR). Nel caso di specie, sono emerse carenze nelle informative fornite agli utenti delle app: le modalità di raccolta dati non erano illustrate con il grado di dettaglio e chiarezza richiesto dalla normativa.
In altre parole, molti utenti non erano nelle condizioni di capire — davvero — a cosa stavano acconsentendo quando autorizzavano l’accesso al loro dispositivo.
Assenza di DPIA
Per trattamenti di dati che presentano un rischio elevato per i diritti e le libertà degli interessati, il GDPR (art. 35) impone al titolare del trattamento di effettuare preventivamente una Data Protection Impact Assessment (DPIA), ovvero una valutazione d’impatto sulla protezione dei dati. Questo strumento serve a identificare e mitigare i rischi prima che il trattamento venga avviato, non dopo.
Nell’istruttoria, il Garante ha accertato l’assenza di questo adempimento, che avrebbe dovuto essere svolto dato il carattere sistematico e potenzialmente invasivo della raccolta dati tramite app.
Misure di sicurezza inadeguate e irregolarità nella gestione dei responsabili del trattamento
Sono emersi ulteriori profili critici: misure di sicurezza non adeguate rispetto alla natura dei dati trattati e irregolarità nella catena dei responsabili del trattamento (art. 28 GDPR), ovvero nei contratti e negli obblighi imposti ai soggetti terzi che, per conto di Poste, trattavano dati degli utenti.
La sanzione complessiva di €12,5 milioni riflette la pluralità e la gravità di queste violazioni, valutate anche in relazione alle dimensioni del gruppo e al numero di utenti potenzialmente coinvolti.
La posizione di Poste Italiane e il precedente del TAR Lazio
Poste Italiane non ha accettato passivamente il provvedimento. La società ha dichiarato pubblicamente di ritenere la sanzione “viziata nel merito e sotto il profilo procedimentale” e ha annunciato ricorso davanti all’autorità giudiziaria competente.
Non è la prima volta che Poste e il Garante si confrontano su questo tema. A febbraio 2026, il TAR del Lazio aveva già annullato un precedente provvedimento del Garante su materia analoga, riconoscendo la legittimità del sistema antifrode adottato da Poste. Quella pronuncia rappresenta un precedente rilevante che Poste potrà certamente invocare nel ricorso contro la nuova sanzione.
Questo significa che l’esito del procedimento è ancora incerto dal punto di vista giudiziario. Il Garante ha irrogato la sanzione sulla base della sua lettura del GDPR; Poste contesta quella lettura. Il contenzioso è aperto. Questo, però, non cambia la posizione degli utenti: i loro diritti di interessati esistono indipendentemente dall’esito del ricorso, e possono essere esercitati sin d’ora.
Cosa dice il GDPR: i principi che Poste avrebbe violato
È utile capire il quadro normativo di riferimento per valutare la portata di quanto accaduto.
Il Regolamento UE 2016/679 (GDPR) stabilisce che qualsiasi trattamento di dati personali deve rispettare, tra gli altri, questi principi fondamentali:
- Liceità, correttezza e trasparenza (art. 5, par. 1, lett. a): il trattamento deve avere una base giuridica valida e l’utente deve essere informato in modo chiaro.
- Limitazione della finalità (art. 5, par. 1, lett. b): i dati possono essere raccolti solo per finalità determinate, esplicite e legittime.
- Minimizzazione dei dati (art. 5, par. 1, lett. c): si raccolgono solo i dati necessari, non tutto ciò che potrebbe tornare utile.
- Integrità e riservatezza (art. 5, par. 1, lett. f): devono essere adottate misure tecniche e organizzative adeguate per proteggere i dati.
Il consenso, infine, deve essere libero, specifico, informato e inequivocabile (art. 7 GDPR). Un consenso ottenuto come precondizione obbligatoria per accedere a un servizio — senza possibilità reale di scelta — solleva seri interrogativi sulla sua validità.
Cosa puoi fare se sei un utente delle app BancoPosta o Postepay
Se hai utilizzato — o utilizzi tuttora — le app BancoPosta o Postepay, il provvedimento del Garante ti riguarda direttamente. Il GDPR ti riconosce una serie di diritti che puoi esercitare nei confronti di Poste Italiane e Postepay in qualità di titolari del trattamento.
Diritto di accesso ai dati (art. 15 GDPR)
Puoi richiedere a Poste Italiane una copia di tutti i dati personali che ti riguardano, comprese le informazioni raccolte tramite le app. Questo ti permette di capire concretamente quali dati sono stati trattati e per quali finalità.
Diritto di cancellazione (“diritto all’oblio”, art. 17 GDPR)
Se ritieni che i dati raccolti non fossero necessari o che il trattamento fosse illecito, puoi richiederne la cancellazione. Poste è tenuta a rispondere entro un mese (prorogabile di altri due in casi complessi).
Diritto di opposizione al trattamento (art. 21 GDPR)
Puoi opporti al trattamento dei tuoi dati per le finalità indicate, in particolare ove il trattamento si basasse su un legittimo interesse anziché su un consenso valido.
Reclamo al Garante per la protezione dei dati personali
Se ritieni che i tuoi dati siano stati trattati in violazione del GDPR, puoi presentare un reclamo formale al Garante (www.garanteprivacy.it). Il Garante è competente a ricevere segnalazioni da parte degli interessati e ad avviare verifiche anche su segnalazione individuale.
Richiesta di risarcimento del danno (art. 82 GDPR)
Il GDPR prevede esplicitamente il diritto al risarcimento del danno subito a causa di un trattamento illecito di dati personali. Chiunque abbia subito un danno — materiale o immateriale — ha diritto a ottenere un indennizzo dal titolare del trattamento. Il danno non patrimoniale da violazione della privacy è riconosciuto dalla giurisprudenza italiana e comunitaria, anche quando non è direttamente quantificabile in termini economici.
Per valutare la concreta percorribilità di una richiesta risarcitoria è opportuno rivolgersi a un professionista: la valutazione dipende dalle circostanze individuali, dalla documentazione disponibile e dagli sviluppi del contenzioso tra Poste e il Garante.
Quando rivolgersi a un avvocato
Non ogni violazione della privacy si traduce automaticamente in un danno risarcibile in sede giudiziaria. Tuttavia, ci sono situazioni in cui l’assistenza legale è opportuna e può fare la differenza:
- se vuoi esercitare formalmente i tuoi diritti GDPR (accesso, cancellazione, opposizione) e Poste non risponde o risponde in modo insoddisfacente entro i termini di legge;
- se intendi presentare un reclamo al Garante e vuoi che sia strutturato in modo efficace;
- se hai subito un danno concreto ricollegabile alla raccolta illecita di dati (ad esempio, accesso non autorizzato ai tuoi dati, utilizzo per finalità non consentite);
- se vuoi valutare l’opportunità di un’azione risarcitoria individuale o collettiva.
In questi casi, un avvocato esperto in diritto della privacy può aiutarti a costruire una strategia efficace, a partire dalla raccolta della documentazione necessaria.
Se anche tu sei un utente delle app BancoPosta o Postepay e vuoi sapere se puoi presentare un reclamo al Garante o valutare un’azione per il risarcimento dei danni subiti, fissa subito una consulenza gratuita e valuteremo insieme quali strumenti sono più adatti alla tua situazione.
Domande frequenti
La multa da 12,5 milioni al Garante mi dà diritto automaticamente a un rimborso?
No. La sanzione è irrogata dal Garante a Poste Italiane come autorità di controllo pubblica: le somme vanno allo Stato, non agli utenti. Se vuoi ottenere un risarcimento come privato cittadino, devi esercitare un’azione separata in sede civile oppure attendere eventuali procedure collettive. La sanzione del Garante è però un elemento probatorio importante a tuo favore nel dimostrare l’illiceità del trattamento.
Come faccio a sapere se i miei dati sono stati davvero raccolti?
Se hai installato e utilizzato le app BancoPosta o Postepay nel periodo in cui erano attivi i sistemi di monitoraggio contestati, i tuoi dati sono stati quasi certamente raccolti. Puoi richiedere conferma formale esercitando il diritto di accesso ai dati (art. 15 GDPR) tramite una richiesta scritta a Poste Italiane. Hanno 30 giorni di tempo per risponderti.
Il ricorso di Poste al TAR può annullare la mia possibilità di agire?
No. I tuoi diritti di interessato esistono indipendentemente dall’esito del contenzioso amministrativo tra Poste e il Garante. Il ricorso riguarda la legittimità del provvedimento sanzionatorio nei confronti di Poste, non l’esistenza dei tuoi diritti individuali previsti dal GDPR. Potresti però voler attendere l’esito del ricorso prima di intraprendere un’azione risarcitoria, poiché l’eventuale annullamento della sanzione potrebbe incidere sulle valutazioni di merito.
Posso presentare un reclamo al Garante anche da solo, senza un avvocato?
Sì, il reclamo al Garante può essere presentato direttamente dal privato cittadino tramite il modulo disponibile sul sito www.garanteprivacy.it. Non è obbligatoria l’assistenza legale. Tuttavia, un reclamo ben strutturato — con i riferimenti normativi corretti e la documentazione adeguata — ha più probabilità di essere preso in carico efficacemente. Per situazioni complesse o quando si vuole anche valutare un’azione risarcitoria, il supporto di un avvocato è consigliabile.
Posso chiedere la cancellazione dei miei dati e continuare a usare l’app?
Dipende. Poste potrebbe sostenere che alcuni dati sono indispensabili per l’erogazione del servizio (es. dati del dispositivo per le funzioni antifrode). In quel caso, la cancellazione dei dati potrebbe comportare limitazioni nell’uso dell’app. Puoi però chiedere la cancellazione dei dati raccolti in eccesso rispetto a quelli strettamente necessari: è questo il cuore della contestazione del Garante.
Cosa si intende per danno immateriale da violazione della privacy?
Il danno immateriale è un pregiudizio non quantificabile economicamente ma giuridicamente rilevante: la perdita di controllo sui propri dati personali, l’ansia o il disagio derivante dalla consapevolezza di essere stati monitorati senza un consenso realmente libero, la lesione della sfera di riservatezza. La giurisprudenza europea (Corte di Giustizia UE, causa C-300/21) ha chiarito che il mero fatto della violazione del GDPR non basta da solo a fondare un risarcimento: occorre dimostrare un danno concreto, anche di natura psicologica, causalmente collegato alla violazione.
Entro quando devo agire per non perdere i miei diritti?
Per le azioni risarcitorie in materia di protezione dei dati, si applica in linea generale il termine di prescrizione ordinario di dieci anni per le azioni contrattuali, ma l’interpretazione varia a seconda del fondamento giuridico dell’azione (contrattuale o extracontrattuale). Per i reclami al Garante non è previsto un termine di decadenza rigido, ma prima si agisce, più è facile raccogliere la documentazione necessaria. Non aspettare: i diritti vanno esercitati mentre i fatti sono ancora verificabili.
