L’Autorità, con il prov. n. 31566/2025, in particolare, ha accertato che l’obbligo di fornire il consenso all’accesso ai dati di utilizzo, conservati sugli smartphone, per continuare ad utilizzare le App BancoPosta e PostePay – installate su dispositivi Android – è una condotta in violazione degli artt. 20, 24 e 25 del Codice del Consumo.
Nel corso dell’istruttoria, in considerazione dell’ambito della pratica commerciale, l’AGCM ha richiesto anche il parere del Garante Privacy che, tuttavia, non è inserito in chiaro nel provvedimento.
Oltre alle violazioni del codice del consumo, dunque, quali potrebbero essere i profili di irregolarità della condotta di Poste dal punto di vista della normativa sul trattamento dei dati?
Indice
I dettagli della pratica contestata
Nell’arco del 2024 gli utilizzatori delle App BancoPosta e PostePay hanno ricevuto una notifica con la quale si richiedeva l’autorizzazione all’accesso ai c.d. dati di utilizzo dello smartphone. L’iniziativa di Poste, come descritto dalla Società stessa, sarebbe stata introdotta come nuovo presidio di tutela da implementarsi in ragione di un obbligo di legge che imponeva nuovi standard tecnici per la sicurezza delle transazioni finanziarie on-line.
In tal senso, l’accesso ai dati di utilizzo del dispositivo del consumatore avrebbe consentito di “rilevare la presenza di eventuali software dannosi” e, quindi, aumentare il livello di difesa da eventuali frodi.
I dati di utilizzo, si precisa, comprendono una moltitudine di informazioni relative all’utilizzo del dispositivo e delle App su di esso installate (frequenza di utilizzo, traffico mobile, impostazioni, lingua, operatore telefonico ecc…).
La richiesta di autorizzazione era preceduta da una serie di informazioni sul trattamento – reperibili in parte nella sezione “impostazioni” del dispositivo e in parte da un link ipertestuale di Poste “scopri di più” – che, tuttavia, non circoscrivevano chiaramente i dati raccolti e la finalità del trattamento stesso.
Poste Italiane, come dall’immagine 5 recata a pagina 25 del provvedimento in argomento, al proprio link si limitava a informare il cliente che era richiesto l’accesso “[…] ad alcuni dati. Al riguardo, verranno analizzati soltanto i dati necessari alle verifiche antifrode […]” ad esclusione di dati di altre App, dei dati personali presenti sullo smartphone come foto e messaggi.
Infine, in caso di autorizzazione negata era possibile effettuare solo tre accessi (poi aumentati a cinque) oltre i quali l’App veniva bloccata, impedendo qualsiasi operazione.
Il consumatore, dunque, poteva effettuare le operazioni che prima svolgeva tramite App solamente attraverso il sito web di Poste o presso le sedi fisiche della Società.
Le osservazioni e la decisione dell’AGCM
L’AGCM al termine dell’istruttoria, come anticipato, ha determinato la non conformità al Codice del Consumo della pratica commerciale di Poste per seguenti aspetti principali:
1. La mancata proporzionalità della condotta
La prospettazione del blocco delle App e, dunque, l’estorsione del consenso al trattamento dei dati sono soluzioni evidentemente eccessive per la tutela della sicurezza delle operazioni finanziarie mettendo il consumatore nella posizione di non essere libero di compiere le proprie scelte di consumo e riducendo ingiustificatamente l’offerta di servizi di cui lo stesso già godeva.
Sul punto, l’AGCM ha sottolineato che il ricorso alle App non è equiparabile e sostituibile con il sito web, per interfaccia e facilità d’uso e notifiche push, e tanto meno l’accesso ai locali di Poste.
2. La non necessarietà della condotta
L’accesso alla grande quantità di dati richiesta da Poste Italiane non è giustificabile attraverso l’adempimento di un obbligo di legge o regolamentare.
Infatti, la normativa citata dalla Società, sebbene richieda di implementare sistemi antifrode, non impone misure tecniche specifiche e la salvaguardia da eventuali frodi può essere raggiunta con diverse modalità tecniche decisamente meno impattanti sul consumatore, e sui suoi dati personali.
Poste non è riuscita nemmeno a dimostrare che l’accesso ai dati di utilizzo richiesti fosse effettivamente un mezzo efficace, dunque necessario, alla diminuzione delle frodi finanziarie on-line.
3. Lo squilibro tra intermediari finanziari e i consumatori
La redazione di una informativa poco trasparente e incompleta va contro i doveri di diligenza e buona fede che il prestatore di servizi deve osservare nei confronti del consumatore. Quest’ultimo, che rispetto ai servizi finanziari non può considerarsi esperto e sempre aggiornato, deve essere messo nelle condizioni di avere tutte le informazioni adeguate per prendere decisioni di consumo consapevoli e, quando necessario come nel caso di specie, esprimere un consenso libero e informato.
La pratica, dunque, risulta aggressiva e contraria alla diligenza professionale, ai sensi degli artt. 20, 24 e 25 del Codice del Consumo, ritenendo che:
- l’imposizione del consenso al trattamento dei dati come condizione per l’utilizzo di un servizio essenziale costituisce una indebita pressione sul consumatore (artt. 24 e 25);
- la genericità dell’informativa e l’assenza di alternative equivalenti determinano un significativo squilibrio contrattuale e informativo a danno del consumatore (art. 20);
- il sistema antifrode adottato doveva rispettare i principi di proporzionalità, necessità e trasparenza (artt. 24 e 25).
L’istruttoria ha inoltre rilevato che il sistema antifrode così configurato ha interessato milioni di utenti di cui un numero considerevole che si sono sentiti obbligati a fornire il consenso.
Osservazioni lato privacy
Si è visto che il trattamento dei dati, dal punto di vista della tutela del consumatore, è stata ritenuto non giustificabile in adempimento di un obbligo di legge, non necessario e non informato.
Un simile trattamento, anche senza avere in chiaro le considerazioni del Garante, appare evidentemente in violazione delle norme del GDPR, ma vediamo di seguito di quali disposizioni specifiche potrebbero dirsi lese:
| Articolo GDPR | Principio della disposizione | Osservazioni sulla possibile violazione |
| Art. 5, par. 1, lett. c) | Minimizzazione dei dati | La raccolta di dati deve sempre essere adeguata, pertinente e limitata alla finalità del trattamento.
Nel caso di specie, Poste Italiane ha eseguito una richiesta di accesso a una ampia e indiscriminata serie di dati e non è stata in grado di spiegare all’utente prima, e all’Autorità dopo, come il trattamento di tutti i dati raccolti sia ponderato e utile alla sicurezza delle transazioni (finalità). Poste Italiane, dunque, non avrebbe svolto un trattamento in osservazione del principio di minimizzazione dei dati che tende a circoscrivere oculatamente la quantità e qualità di dati personali raccolti. |
| Art. 6 | Liceità del trattamento | Il trattamento dei dati per essere lecito deve avere una adeguata base giuridica.
Tra le basi giuridiche considerate da Poste Italiane riscontriamo: – Il consenso che, come si vedrà di seguito, non sembra essere stato prestato secondo le modalità prescritte dal GDPR; – L’adempimento ad un obbligo di legge: dall’istruttoria dell’AGCM è emerso che Poste non si è limitata ad adempiere ad un obbligo di legge, che prevedeva un generico miglioramento dei sistemi tecnici antifrode, andando ben oltre la mera finalità di tutela del consumatore e attuando iniziative invasive non necessarie. |
| Art. 7 | Condizioni per il consenso | Il consenso al trattamento dei dati deve essere liberamente prestato. Come ben illustrato dal considerando 42 del GDPR: “Il consenso non dovrebbe essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.”.
Nel caso in esame, pare proprio che il consenso dell’interessato non fosse valido ai sensi dell’art. 7 GDPR poiché conferito obbligatoriamente, nonché in modo condizionato dalla “minaccia” di non poter più usufruire delle App (considerabile come un pregiudizio). |
| Art. 13 e 14 | Obbligo di informativa trasparente | L’informativa collegata al link “scopri di più” ai sensi degli artt. 13 e 14 GDPR deve essere composta da tutti gli elementi utili a chiarire le modalità di trattamento, le finalità e tutte le “ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati” (considerando 60 del GDPR).
Dalle indagini dell’Autorità, invece, è emersa la natura generica e aspecifica dell’informativa fornita da Poste Italiane perché non chiariva le categorie di dati trattati e recava solo per sommi capi le finalità del trattamento. Dunque, si rinviene una possibile violazione anche dell’art. 13 del Regolamento, oltre che una ulteriore possibile carenza delle condizioni del consenso che deve essere anche informato. |
| Art. 25 | Privacy by design e by default | Il sistema di Poste pare progettato all’origine per raccogliere i dati di utilizzo in modo massivo e indiscriminato senza l’implementazione di configurazioni predefinite rispettose della minimizzazione dei dati.
Per essere conformi al GDPR si ritiene che Poste Italiane avrebbe dovuto impostare sin da subito misure tecniche e organizzative offerenti una maggiore tutela dei diritti degli interessati, tra cui un indice più adeguato di minimizzazione dei dati. Poste Italiane, inoltre, avrebbe dovuto osservare una soglia più alta di garanzia dei diritti dell’interessato, e di minimizzazione dei dati, in considerazione del vasto numero di consumatori coinvolti e, quindi di dati trattati. Secondo il considerando 75 del GDPR, infatti, l’ampiezza dei dati a cui si accede è un indicatore di maggior rischio per i diritti e le libertà degli interessati. |
