L’Autorità Garante della Concorrenza e del Mercato (AGCM), con provvedimento n. 31566 del 20 maggio 2025, ha sanzionato un prestatore di servizi di pagamento per aver posto in essere una pratica commerciale scorretta, consistente nell’aver subordinato l’uso di due applicazioni che consentono agli utenti l’accesso ai servizi di pagamento, installate sugli smartphone, al rilascio dell’autorizzazione da parte dell’utente, ad accedere ai dati del proprio smartphone, pena il blocco delle applicazioni stesse.
Tale pratica si configura come aggressiva in violazione degli artt. 24 e 25 del Codice del consumo, in quanto la possibilità per i clienti dell’intermediario di poter continuare ad avvalersi delle predette App è stata subordinata al rilascio obbligatorio del consenso, all’accesso a una pluralità di dati presenti nel proprio smartphone, in base a una richiesta genericamente motivata dalla necessità di garantire la sicurezza da eventuali frodi agli utenti delle delle due applicazioni.
La pratica è, altresì, risultata in contrasto con il dovere di diligenza professionale prescritto all’art. 20 del Codice del consumo, in considerazione dell’asimmetria informativa che caratterizza i rapporti tra intermediari finanziari con i propri clienti, che, nel caso di specie, deve ritenersi particolarmente elevato in considerazione dell’importanza del Professionista (Poste) e delle caratteristiche della sua clientela che, ricomprende soggetti non particolarmente esperti e informati.
Sull’applicazione del Codice del consumo alla raccolta di dati oggetto di monitoraggio antifrode
Preliminarmente, l’AGCM respinge la tesi del prestatore dei servizi di pagamento, per cui la condotta in esame non ricadrebbe nell’ambito di applicazione del Codice del consumo, in ragione dell’assenza di un rapporto di consumo alla stessa sotteso, imprescindibile per la configurazione di una pratica commerciale (scorretta o meno): secondo tale tesi, infatti, i dati oggetto di monitoraggio ai fini antifrode, non sarebbero configurabili come “patrimoniali”, sia in ragione delle modalità di raccolta (che avverrebbe in forma anonima mediante l’attribuzione di un codice hash), sia per la segregazione, che li sottrarrebbe a finalità commerciali e/o di marketing.
Pertanto, secondo tale tesi, l’insussistenza di un rapporto di consumo deriverebbe dalla mancata commercializzazione dei dati dei clienti di Poste Italiane, oggetto della richiesta di autorizzazione.
Per l’AGCM si tratta di un argomento privo di pregio: anche volendo prescindere da ogni valutazione sull’effettiva irreversibilità della natura anonima dei dati interessati e sull’assenza di
qualsivoglia utilizzo, anche potenziale, degli stessi per finalità commerciali, nel caso di specie il rapporto di consumo va ravvisato nella relazione contrattuale intercorrente tra il consumatore e Poste, avente a oggetto la fornitura di servizi di pagamento anche mediante le due applicazioni smartphone.
Il professionista ha, infatti, richiesto ai propri clienti di autorizzare l’accesso ai dati del proprio smartphone al fine di poter continuare a usufruire di una funzionalità ricompresa nel servizio da esso fornito, che costituisce parte integrante dell’offerta di Poste Italiane ai propri clienti, segnatamente la possibilità di disporre del proprio conto corrente o della propria carta di credito attraverso il canale App.
Inoltre, AGCM sottolinea che le condotte di cui trattasi hanno interessato una moltitudine di consumatori, i quali hanno subito un pregiudizio, attuale o potenziale dalla pratica in esame, in quanto – nel periodo immediatamente successivo all’introduzione del nuovo sistema antifrode è risultato che:
- alcuni titolari di App si sono visti bloccare l’accesso alle stesse per non aver concesso l’autorizzazione
- altri sono stati soggetti a uno stringente limite di utilizzo delle App, corrispondente al numero massimo di accessi consentito in assenza di autorizzazione (tre in un primo momento e cinque successivamente)
- la restante parte ha assunto la scelta di consentire l’accesso ai dati presenti sui propri smartphone, in un contesto di condizionamento determinato dall’obbligatorietà del rilascio del consenso, pena il blocco delle App.
La specifica pratica commerciale scorretta nei servizi di pagamento tramite App
Per AGCM, non può neppure accogliersi l’argomento volto a escludere l’aggressività della condotta, per cui dal mancato accesso alle App non sarebbe derivato alcun disagio per i consumatori, essendo possibile per gli stessi fruire dei servizi Banco Posta o PostePay, sia attraverso i canali fisici che online (tramite browser accessibile anche da smartphone o tablet): tale ricostruzione omette di considerare le peculiari caratteristiche di utilizzo delle App rispetto al canale web e al canale fisico, che portano a escludere l’equiparabilità tra le prime e i secondi e, quindi, la loro fungibilità, dal punto di vista del consumatore.
In particolare, relativamente al canale web, la struttura stessa del sistema presenti una minore facilità di utilizzo per AGCM: le App, infatti, differentemente dal browser, essendo direttamente installate sul dispositivo e integrandosi perfettamente con il sistema operativo, utilizzano interfacce più intuitive e ottimizzate che consentono un accesso più rapido ai dati e alle funzionalità offerte; inoltre, garantiscono una comunicazione istantanea con il consumatore, grazie al sistema di notifiche push, e una maggiore facilità di accesso e utilizzo, sfruttando le funzionalità del dispositivo (ad esempio, autenticazione biometrica, accesso tramite codici PIN, sensori per il riconoscimento delle impronte digitali etc.).
Quanto alla prospettata alternativa del canale fisico, è chiara per AGCM la non equivalenza delle modalità di accesso (e, quindi, la fruizione del relativo servizio) per il consumatore: recarsi presso l’Ufficio postale più vicino presenta importanti differenze dal punto di vista logistico oltre che in termini di tempo impiegato, in quanto non può escludersi che, nonostante la presenza capillare degli uffici postali sul territorio, raggiungere fisicamente lo stesso per fruire del servizio di cui si è beneficiari, possa costituire un disagio non trascurabile, anche in considerazione del fatto che alcuni utenti potrebbero trovarsi nell’impossibilità di farlo (per impedimento fisico o altra ragione).
Necessarietà e proporzionalità della condotta: Banca d’Italia e AGCM vigilano su diversi profili di competenza
La condotta in esame non può ritenersi esser stata posta in essere per adempiere a un obbligo di legge o regolamentare: se è vero che la disciplina di cui dalla Direttiva PSD2 e i relativi standard tecnici RTS richiedono ai prestatori di servizi di pagamento l’adozione di processi di monitoraggio delle operazioni effettuate tramite i loro sistemi volti a intercettare i fattori di rischio – tra cui i segnali della presenza di malware – tali atti non giungono a indicare come deve funzionare la componente anti malware del sistema antifrode di cui essi devono dotarsi.
Da ultimo, dall’istruttoria è emerso che all’utilizzo del nuovo sistema non è corrisposto, nei primi sette mesi di attuazione, una rilevazione maggiore o più efficiente di fenomeni fraudolenti.
Il blocco delle App non era l’unica soluzione possibile per tutelare i clienti di Poste da fenomeni fraudolenti: la quasi totalità degli operatori suoi concorrenti, per ottemperare alle prescrizioni normative antifrode, si avvale di sistemi differenti il cui funzionamento non è condizionato all’obbligatorio rilascio del consenso all’accesso dei dati in utilizzo sugli smartphone.
Ma ciò che più rileva, per AGCM, è che in corso di procedimento il Professionista ha volontariamente provveduto a rimuovere il predetto blocco delle App consentendo, quindi, di continuare a utilizzarle anche ai consumatori non intenzionati a rilasciare il proprio consenso all’accesso/trattamento dei dati del proprio smartphone, precisando che a tali consumatori sarebbe stata, comunque, garantita adeguata tutela avverso possibili frodi, a dimostrazione dell’esistenza di una soluzione alternativa in grado di garantire il contemperamento delle esigenze di tutela antifrode con quelle di assicurare ai consumatori la piena fruizione dei servizi cui hanno aderito.
Infine, AGCM rileva che, anche se Banca d’Italia, nel parere ex art. 27, c. 1-bis, del Codice del consumo, si è espressa per la coerenza della misura adottata da Poste rispetto al quadro normativo in materia antifrode, tale circostanza non è in discussione nell’ambito del presente procedimento, per il quale non rileva affatto l’eventuale legittimità degli obiettivi perseguiti da Poste (fronteggiare i fenomeni fraudolenti), ma rilevano le modalità aggressive e contrarie alla diligenza professionale scelte per dare attuazione a siffatti obiettivi.
In sostanza, Banca d’Italia, nell’affermare la funzionalità delle condotte di Poste Italiane al perseguimento del citato obiettivo, non si è pronunciata sulla proporzionalità delle stesse
rispetto alla finalità perseguita, limitandosi a osservare che ai clienti che hanno negato l’accesso ai dati è stata comunque assicurata “la continuità nei servizi di pagamento”, tramite gli altri canali a loro disposizione (browser e sportelli fisici).
L’esistenza di tali canali alternativi assume specifico rilievo per la disciplina di competenza di Banca d’Italia (che, infatti, vi ha fatto espressamente riferimento “per i profili di competenza della Banca d’Italia”) la quale prevede, quale condizione di operatività dei prestatori di servizi di pagamento, l’obbligo di garantire la continuità di tali servizi, con l’obiettivo di scongiurarne il rischio di interruzione, vale a dire la preclusione di accedere con qualsivoglia modalità ai servizi di pagamento.
La tutela apportata dal Codice del consumo, tuttavia, di cui il provvedimento AGCM accerta il mancato soddisfacimento, attiene, invece, al diritto dei consumatori di poter fruire di tutte le prerogative previste dall’offerta alla quale hanno aderito, che nel caso di specie comprendeva anche l’accesso ai servizi di Banco Posta e PostePay tramite App: e ciò in considerazione del fatto che per le finalità di cui alla disciplina sulle pratiche commerciali scorrette, le alternative a disposizione (accesso via browser e via canali fisici) non appaiono equiparabili e, quindi, sostituibili per il consumatore.