Tempi difficili per Intesa Sanpaolo: l’Autorità Garante per la protezione dei dati personali ha inflitto una multa pari a 17.628.000 euro all’istituto bancario. Il motivo della sanzione riguarda il passaggio obbligatorio di più di 2 milioni di titolari di conto corrente a Isybank, la piattaforma bancaria digitale posseduta interamente dal gruppo, realizzato in maniera illegittima e senza fornire un’informativa adeguata agli utenti coinvolti.
Quali sono i fatti? Nel periodo compreso tra il 2022 e il 2023, Intesa Sanpaolo ha trasferito in modo unilaterale circa 2,4 milioni di correntisti a Isybank, un istituto che funziona unicamente attraverso applicazione mobile, privo di sedi fisiche. Il passaggio ha generato modifiche concrete e rilevanti per gli utenti interessati: attribuzione di un nuovo codice IBAN, necessità di aggiornarlo presso datori di lavoro, fornitori di servizi e aziende di utenze, oltre all’impossibilità di recarsi presso gli sportelli fisici.
Per individuare i clienti da migrare, Intesa Sanpaolo ha realizzato un’operazione di profilazione degli utenti senza disporre di una legittima base normativa. I parametri adottati comprendevano: età inferiore o uguale a 65 anni, utilizzo costante dei servizi online nell’arco degli ultimi dodici mesi, mancanza di strumenti di investimento e giacenze finanziarie inferiori a una determinata cifra. In sostanza, l’istituto ha identificato i correntisti considerati maggiormente “digitali” e con minori disponibilità economiche, trasferendoli verso il canale online senza richiedere alcuna autorizzazione.
A rendere la situazione ancora più grave, le notifiche trasmesse ai correntisti per comunicare l’operazione risultavano prive di chiarezza. Gli avvisi sono stati collocati nella sezione archivio dell’applicazione di Intesa Sanpaolo nei mesi estivi, senza l’invio di notifiche push o messaggi SMS, e senza dare il giusto rilievo a una trasformazione di tale rilevanza. Secondo il Garante, gli utenti non avrebbero potuto prevedere ragionevolmente una variazione così sostanziale del proprio contratto bancario. Nel documento ufficiale relativo alla sanzione verso Intesa Sanpaolo l’Autorità dichiara:
Il trattamento realizzato dall’istituto bancario con le procedure illustrate nel provvedimento si configura come illecito, anche perché l’utente non avrebbe potuto ragionevolmente aspettarselo in base al contesto e alle informazioni fornite.
L’azione dell’autorità garante
L’inchiesta era partita in seguito a molteplici reclami da parte dei correntisti e si conclude adesso con questa penalità. Tuttavia, non è la prima occasione in cui questa migrazione viene esaminata dalle autorità: già nel 2023 l’Autorità Garante della Concorrenza e del Mercato (AGCM) aveva imposto il blocco del trasferimento, stabilendo che i correntisti dovessero avere la facoltà di decidere autonomamente se rimanere con Intesa Sanpaolo oppure passare a Isybank.
La penalità superiore ai 17 milioni di euro considera la serietà delle infrazioni e il numero elevato di soggetti interessati. Il Garante afferma:
Nella definizione dell’ammontare della sanzione, l’Autorità ha considerato la gravità delle infrazioni, il numero consistente di correntisti coinvolti ma anche la natura colposa delle violazioni e la cooperazione fornita dall’istituto bancario.
Questa situazione sottolinea a tutti – enti, imprese e cittadini – che le informazioni personali non possono essere trattate in maniera discrezionale. La profilazione degli individui, anche quando si verifica nell’ambito di procedure aziendali apparentemente “organizzative”, necessita di una base normativa valida, chiarezza e considerazione della volontà delle persone.
Fonte: GPDP