Dodici milioni e mezzo di euro. È il conto che Poste Italiane S.p.A. e Postepay S.p.A. si trovano a pagare dopo che il Garante per la protezione dei dati personali ha deciso di mettere un freno a pratiche digitali ritenute eccessive. Il provvedimento, datato 17 aprile 2026, afferma un principio che vale ben oltre le due società coinvolte: proteggere i clienti dalle frodi non dà carta bianca su ciò che si può fare con i loro dati.
Immaginate di scaricare l'app della vostra banca. La aprite, inserite le credenziali, e prima ancora di poter fare qualsiasi operazione vi viene chiesto di concedere un permesso: l'accesso alle applicazioni installate sul vostro telefono. Non una, non alcune. Tutte.
È quello che accadeva a chi usava BancoPosta e PostePay. Il sistema che girava dietro le quinte si chiamava ThreatMetrix, una piattaforma antifrode capace di analizzare in tempo reale ogni operazione e assegnarle un indice di rischio. Per farlo, scansionava il dispositivo dell'utente alla ricerca di potenziali minacce informatiche, costruendo di fatto una fotografia digitale completa del telefono. Tutto questo, in teoria, per tutelare il cliente stesso.
Il problema non era l'obiettivo. Nessuno mette in dubbio che combattere le frodi online sia una priorità assoluta, tanto più in un'epoca in cui le truffe digitali si moltiplicano ogni giorno. Il problema era il percorso scelto per arrivarci.
Il GDPR — il Regolamento Europeo 2016/679 sulla protezione dei dati personali — funziona come una bilancia: da un lato il fine, dall'altro i mezzi. E quando i mezzi pesano più del necessario, la bilancia pende nel verso sbagliato. Nel caso in questione, i mezzi erano stati scelti con troppa generosità: si raccoglieva più di quanto servisse, si conservava più a lungo del dovuto, e agli utenti non veniva spiegato con chiarezza cosa stesse accadendo nel loro telefono. A questo si aggiunge la violazione dell'art. 122 del Codice Privacy italiano, che consente l'accesso ai dati presenti sui dispositivi degli utenti solo quando strettamente indispensabile per erogare il servizio richiesto — soglia che il monitoraggio di tutte le app installate superava ampiamente.
La difesa di Poste Italiane e Postepay ha puntato su un argomento apparentemente solido: la PSD2, ovvero la Direttiva Europea 2015/2366 sui servizi di pagamento, impone precisi standard di sicurezza agli operatori del settore. Dunque, tutto ciò che veniva fatto era non solo lecito, ma addirittura dovuto.
Il Garante ha smontato questa logica con una distinzione netta. La PSD2 dice cosa bisogna garantire — la sicurezza delle transazioni — ma non dice come farlo e, soprattutto, non autorizza a fare qualsiasi cosa in nome di quell'obiettivo. Allo stesso modo, l'art. 6 del GDPR, che le società avevano invocato a propria difesa come base giuridica dell'obbligo legale, è stato ritenuto dal Garante non applicabile in modo così estensivo: un obbligo normativo di garantire la sicurezza non si traduce automaticamente nella legittimazione di qualsiasi strumento tecnico scelto per farlo.
È come dire che, poiché esiste l'obbligo di tenere pulita una casa, si può entrare in ogni stanza senza bussare. Il fine non giustifica qualunque mezzo.
Tra le contestazioni mosse dal Garante ce n'è una che racconta forse meglio di tutte la natura del problema: la DPIA, ovvero la valutazione d'impatto sulla protezione dei dati, obbligatoria per i trattamenti ad alto rischio ai sensi dell'art. 35 del GDPR, era stata predisposta in modo inadeguato. Uno strumento che avrebbe dovuto mettere alla prova il sistema prima della sua implementazione era diventato una formalità, compilata a posteriori senza incidere realmente sulle scelte progettuali.
A questo si aggiungevano lacune nella designazione del responsabile del trattamento, disciplinata dall'art. 28 del GDPR, e tempi di conservazione dei dati non sufficientemente giustificati rispetto alle finalità dichiarate. Un quadro complessivo che rivela un approccio alla privacy trattata come adempimento burocratico, anziché come criterio guida nella costruzione del servizio.
Per l'utente comune, questa storia ha un significato concreto: ogni volta che un'applicazione chiede accesso a qualcosa sul proprio telefono, è lecito chiedersi perché. Non per diventare paranoici, ma perché quella domanda è legittima, e chi gestisce quei dati ha l'obbligo di avere una risposta chiara. Poste Italiane ha annunciato ricorso contro il provvedimento, ma al di là dell'esito giudiziario, il caso solleva una questione che riguarda l'intero settore.
La privacy non è un lusso né un ostacolo alla modernità. È una componente della fiducia che un cliente ripone in chi gli gestisce i soldi. E la fiducia, una volta incrinata, è molto più difficile da ricostruire di qualsiasi sistema informatico.
Questa vicenda non riguarda solo due aziende e una multa. Riguarda il modello con cui il settore finanziario — e non solo — sta costruendo i propri strumenti digitali. La domanda che ogni operatore dovrebbe porsi non è "possiamo farlo?" ma "è davvero necessario farlo così?"
Sicurezza e rispetto della persona non sono obiettivi in conflitto. Sono, o almeno dovrebbero essere, due facce della stessa medaglia. Le aziende che riusciranno a tenerle insieme non staranno solo rispettando il GDPR: staranno costruendo qualcosa di più duraturo di qualsiasi tecnologia. Staranno guadagnando la fiducia dei propri clienti.
