L'Autorità Garante della Concorrenza e del Mercato (AGCM) ha inflitto una pesante sanzione amministrativa di 4 milioni di euro a Poste Italiane per una pratica commerciale ritenuta scorretta nella gestione delle app per i servizi bancari di BancoPosta e PostePay.
Secondo quanto reso noto dettagliatamente con il bollettino settimanale dell'Autorità Antitrust, tra febbraio 2024 e febbraio 2025 Poste aveva subordinato il funzionamento delle app sui dispositivi Android al consenso obbligatorio da parte degli utenti all'accesso a una pluralità di dati presenti sugli smartphone. In assenza di tale autorizzazione, le applicazioni risultavano inaccessibili.
Gli utenti che avevano segnalato il caso all’AGCM lamentavano l’ampia portata dell’autorizzazione richiesta, che avrebbe consentito a Poste Italiane l’accesso a una pluralità di dati personali, oltre che il monitoraggio dell’eventuale utilizzo, da parte dell’utente, di app di operatori concorrenti, nonché la scarsità e vaghezza delle informazioni fornite per giustificare tale richiesta.
In particolare un segnalante aveva additato come ulteriore aggravante “il fatto che se si cerca di approfondire la questione si possono consultare solamente informazioni vaghe e per nulla specifiche”, ritenendo tutto ciò “inaccettabile e una gravissima violazione della privacy e della proprietà privata”.
Le giustificazioni addotte da Poste Italiane facevano riferimento a esigenze di sicurezza e prevenzione delle frodi, soprattutto per il sistema Android, ritenuto più vulnerabile rispetto a iOS per la sua struttura più aperta, ma l'Autorità ha giudicato tale pratica come "aggressiva" e in violazione degli articoli 24 e 25 del Codice del Consumo, in quanto lesiva della libertà di scelta dei consumatori.
Inoltre, è stata ritenuta in contrasto con l'articolo 20 dello stesso Codice, che impone un dovere di diligenza professionale da parte degli operatori economici, soprattutto quando sussiste un'evidente asimmetria informativa tra azienda e clientela.
In particolare, agli utenti veniva chiesto di autorizzare l'accesso a informazioni quali l'utilizzo di altre app, operatore telefonico, lingua e altri dettagli del dispositivo, con messaggi poco chiari e senza un'adeguata informativa.
Particolarmente critico, secondo l'Antitrust, è il fatto che la clientela coinvolta includesse anche utenti poco esperti o con competenze digitali limitate, che potevano non comprendere appieno le implicazioni della richiesta di autorizzazione all'accesso ai propri dati personali.
Nel corso dell'istruttoria, Poste Italiane ha precisato che i dati raccolti venivano trattati in forma anonimizzata e che la richiesta di autorizzazione non aveva alcuna finalità economica. Inoltre, la società ha ricordato come fossero sempre disponibili canali alternativi, sia fisici sia digitali, per accedere ai servizi.
Nonostante due proposte di modifica da parte di Poste Italiane, l'Autorità ha ritenuto le misure insufficienti a sanare la scorrettezza della pratica e ha proseguito con il procedimento. Solo a febbraio 2025 l'azienda ha infine rimosso il blocco forzato, consentendo l'uso delle app anche in assenza del consenso all'accesso ai dati.
Il caso ha visto il coinvolgimento anche del Garante della protezione dei dati personali, della Banca d'Italia e dell'AGCOM, le quali hanno espresso pareri critici sul comportamento di Poste. In particolare, è emersa la preoccupazione per la possibile raccolta di dati personali non necessari e il potenziale monitoraggio delle abitudini digitali degli utenti.
Secondo l'Antitrust, la condotta ha compromesso la possibilità per gli utenti di esercitare un consenso libero e informato, condizionando l'accesso a servizi essenziali al rilascio di dati sensibili. La decisione sottolinea la necessità di maggiore trasparenza e rispetto del diritto dei consumatori alla protezione dei propri dati, soprattutto in ambiti di uso quotidiano e diffuso come i servizi bancari digitali, e ricorda che le sanzioni per la gestione impropria dei dati personali degli utenti possono arrivare non solo dal Garante della Privacy, ma anche da altre autorità.
Fonte: Fiderprivacy
Altri articoli
