Il Garante Privacy, con provvedimento n. 237 del 17 aprile 2026, ha sanzionato un prestatore di servizi di pagamento per aver trattato illecitamente dati personali di milioni di utenti, nell’ambito delle misure tecniche poste in essere per garantire la sicurezza delle operazioni di pagamento e la prevenzione delle frodi.
In particolare, l’istruttoria dell’Autorità ha riguardato, in particolare, le modalità di funzionamento delle applicazioni BancoPosta e Postepay, che prevedevano, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli.
Il Garante ha rilevato che la soluzione tecnica adottata per innalzare il livello di sicurezza informatica nelle transazioni bancarie disposte tramite canali digitali, considerata l’ampiezza e la quantità di informazioni che venivano raccolte, presentava tuttavia profili di violazione del quadro normativo in materia di protezione dei dati personali: la specifica configurazione dell’applicativo appariva eccessivamente invasiva della sfera giuridica dell’interessato, in quanto il pur rilevante obiettivo di innalzare il livello di sicurezza informatica e di operare un maggiore controllo antifrode avrebbe potuto utilmente essere raggiunto mediante l’utilizzo di strumenti, eventualmente anche tra loro combinati, meno impattanti sui diritti degli utenti finali.
Inoltre, per il Garante:
- i trattamenti erano stati effettuati, in assenza di una idonea condizione di liceità e senza che sia stata fornita una specifica e adeguata informativa sugli stessi agli interessati
- non erano state adottate misure volte a garantire che tali trattamenti di dati personali fossero conformi ai principi di protezione dei dati, fin dalla progettazione e per impostazione predefinita, tra cui l’effettuazione di una specifica valutazione di impatto preventiva all’utilizzo della soluzione tecnologica prescelta (DPIA)
- sono risultate inadeguate le misure di sicurezza apprestate ed è stato rilevato il mancato rispetto del principio di limitazione della conservazione dei dati, nonché degli obblighi in materia di designazione del responsabile del trattamento.
Nel corso dell’istruttoria, è stato sostenuta quale condizione di liceità del trattamento dei dati personali, posto in essere tramite l’applicativo, la base giuridica del necessario adempimento a un obbligo legale (art. 6, par. 1, lett. c) del GDPR).
Il Garante, tuttavia, ha rilevato che, ai fini della corretta individuazione della base giuridica dei trattamenti in questione, è necessario operare una distinzione tra due tipologie di trattamento a cui corrispondono quadri giuridici di riferimento diversi:
- il trattamento dei dati personali, effettuato dalle Società nella fase di raccolta delle informazioni archiviate nei dispositivi (terminali) in uso agli utenti, il cui quadro giuridico di riferimento è la lex specialis di cui alla c.d. Direttiva e-Privacy
- i trattamenti successivi posti in essere dalle Società e dal sub-responsabile, relativamente alla rilevazione delle app in esecuzione o, comunque, installate sui dispositivi degli utenti, per finalità antifrode, i quali, invece, rientrano, a pieno titolo, nell’ambito di applicazione del GDPR.
Sul trattamento dei dati personali che implica l’accesso a informazioni già archiviate nel terminale dell’utente
L’art. 122, c. 1 del Codice Privacy, che recepisce le previsioni dell’art. 5, par. 3 della Direttiva ePrivacy (Direttiva 2002/58/CE), consente il trattamento, senza consenso dell’interessato, esclusivamente “nella misura strettamente necessaria” per l’erogazione di un servizio, espressamente richiesto dall’utente.
Tale previsione introduce dunque un’eccezione, di stretta interpretazione, applicabile unicamente alle operazioni indispensabili al funzionamento tecnico del servizio richiesto e non estendibile a trattamenti ulteriori che, pur risultando funzionali a esigenze di ottimizzazione o riconducibili a finalità di sicurezza o prevenzione delle frodi, non risultino comunque strettamente necessari all’erogazione del servizio espressamente richiesto.
E ciò anche tenendo conto delle ipotesi di esonero dall’obbligo di consenso, individuate dal Gruppo di lavoro ex art. 29 nel Parere n. 9/2014 sull’applicazione della Direttiva 2002/58/CE al device fingerprinting.
Nel caso di specie, l’ampiezza delle diverse tipologie di dati raccolti, emersa dalle verifiche effettuate in fase istruttoria e ispettiva, risulta essere eccessiva e sicuramente non “strettamente” necessaria all’erogazione del servizio: tale raccolta deve comunque rispettare il principio di minimizzazione di cui all’art. 5, par. 1, lett. c), del GDPR.
L’obbligo generale di adottare misure di sicurezza non legittima, di per sé, una raccolta di dati personali più ampia di quanto strettamente necessario al perseguimento delle finalità dichiarate: se esistano strumenti e soluzioni tecniche idonee a garantire un livello di sicurezza equivalente che non prevedono l’accesso a dati personali o, come nel caso di specie, a informazioni registrate sul dispositivo, deve infatti essere privilegiata la soluzione meno invasiva.
In relazione al caso oggetto della presente istruttoria il Garante evidenzia, infatti, come l’applicazione metta a disposizione delle società che utilizzano il servizio una soluzione modulare e configurabile nei servizi e nei dati trattati: la società, allo scopo di innalzare ulteriormente il livello di sicurezza complessivo ha poi deciso di aggiungere, alla configurazione base, un modulo software “opzionale” che, attraverso il recupero e l’utilizzo delle informazioni relative alle app installate e in esecuzione sui dispositivi degli utenti finali, fornisce una funzionalità di “malware detection”.
Pertanto, la pretesa “indispensabilità” di tale soluzione appare al Garante discendere più da una scelta di natura organizzativa che giuridica o tecnica: l’innalzamento del livello di sicurezza informatica e del controllo sul rischio frodi può, infatti, essere raggiunto anche con l’uso, eventualmente anche combinato, di altri meccanismi con efficacia complessiva paragonabile, ma meno invasivi della sfera strettamente privata dell’utente finale.
Infatti, meccanismi quali ad esempio l’autenticazione multi-fattore (SCA step-up autorizzativi), algoritmi di scoring anonimi, monitoraggi di rete, controlli runtime (RASP), schermate informative specifiche, visualizzate all’interno dell’applicazione durante la convalida di un pagamento per aumentare la consapevolezza dell’utente (c.d. pop-up), sono ampiamente utilizzati, anche da altri operatori del medesimo settore, consentendo l’impiego di un insieme più limitato di attributi mediante l’adozione di una diversa configurazione della medesima soluzione attualmente utilizzata, caratterizzata da un minore grado di invasività e coerente con il principio di minimizzazione sopra richiamato.
Pertanto, la combinazione tra:
- l’elevata intrusività nell’ambito della sfera personale dell’utente, derivante dal trattamento delle informazioni relative alle app installate e in esecuzione sul dispositivo
- l’assenza del requisito della stretta necessità, unitamente alla possibilità di ricorrere a soluzioni tecniche alternative
- la limitata efficacia dimostrata dalla specifica configurazione della soluzione antifrode adottata
determina per il Garante l’inapplicabilità dell’esonero dall’obbligo di acquisizione del consenso preventivo degli interessati, previsto dall’art. 122 del Codice e configura non solo una violazione del principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del GDPR, ma altresì una violazione del principio di protezione dei dati fin dalla progettazione e per impostazione predefinita, sancito dall’art. 25 del GDPR.
Il Garante precisa inoltre che l’elenco delle app installate e/o in esecuzione non può essere annoverato, in generale, tra le “caratteristiche tecniche” di un dispositivo, quanto piuttosto costituisce un dato personale la cui rilevazione è altamente intrusiva, oltreché non strettamente necessaria alla generazione dell’impronta stessa: a differenza delle caratteristiche tecniche tipicamente utilizzate per il device fingerprinting (l modello del dispositivo, la versione del sistema operativo, la risoluzione dello schermo, la tipologia e la configurazione della connessione o altre proprietà hardware e software generali) l’elenco delle applicazioni installate o in esecuzione può infatti rivelare indirettamente informazioni relative alla sfera personale dell’utente (si pensi anche solo alla presenza di applicazioni dedicate al monitoraggio di specifiche condizioni mediche dell’utente).
La raccolta della lista delle app installate o in esecuzione non rappresenta quindi un’informazione meramente tecnica, ma un trattamento di dati personali, non strettamente indispensabile alla generazione dell’impronta del dispositivo e al suo efficace trattamento, visto che, peraltro, la configurazione base dell’applicazione, indicata dallo stesso produttore proprio come soluzione idonea al fingerprinting dei dispositivi, non richiede, per il suo funzionamento, l’utilizzo del modulo “opzionale” proposto dallo stesso come specifica soluzione anti-malware.
Infine, il Garante ritiene che l’intero set di dati raccolti e successivamente trattati non può essere ricondotto, nemmeno per analogia, alla categoria dei cookie tecnici: a differenza di questi ultimi, la soluzione applicativa viene infatti utilizzata per la raccolta di dati che eccedono il mero fingerprinting e che, potenzialmente, consentono un’attività di profilazione dell’utente, analogamente a cookie di natura commerciale (cookie “di profilazione”) impiegati per il tracciamento delle preferenze e delle modalità di utilizzo dell’utente finale.
Nel caso di specie, tenuto conto della non riconducibilità dell’utilizzo dei dati relativi alle app installate o in esecuzione sul dispositivo a una condizione di “stretta necessità”, ne discende, a fortiori, che tali informazioni non possano essere assimilate, per analogia, ai cookie tecnici e, conseguentemente, ritenute esenti dall’obbligo di acquisizione del consenso.
Dall’istruttoria è emerso che la fruizione del servizio offerto dalle Società tramite App risultava, nei fatti, subordinata alla concessione, da parte dell’utente, dell’autorizzazione tecnica alla raccolta dei c.d. “dati di utilizzo”; il Garante precisa tuttavia che, anche se le autorizzazioni tecniche implementate dai sistemi operativi consentono agli utenti di condizionare l’accesso ai dati del proprio telefono a un’azione specifica, rivelandosi meccanismo utile per la protezione dei dati dell’utente, queste non sono tuttavia progettate per un’idonea raccolta del consenso dell’utente, così come previsto dal GDPR.
Ne consegue che, nel caso in esame, il consenso dovrebbe essere richiesto indipendentemente dal fatto che il sistema operativo presenti (o meno) all’utente la possibilità di concedere l’autorizzazione tecnica.
Ai sensi del GDPR, il consenso è validamente espresso solo se informato, specifico e liberamente prestato, e, pertanto:
- il titolare deve informare preventivamente gli interessati sugli elementi essenziali del trattamento
- la richiesta di consenso deve rispettare il principio di granularità, distinguendo chiaramente le diverse finalità
- la manifestazione di volontà dell’interessato avvenga in assenza di condizionamenti, pressioni o vincoli che possano comprometterne la libertà decisionale.
In conclusione, sulla base delle valutazioni complessivamente effettuate, la condotta tenuta dalle Società in relazione al trattamento dei dati personali che comporta l’accesso a informazioni già archiviate nel terminale dell’utente ha violato, nei termini suesposti, l’art. 122 del Codice.
Sul trattamento successivo dei dati personali relativi alle app installate a prevenzione delle frodi nei servizi di pagamento
La società ha individuato la base giuridica nell’obbligo giuridico di cui all’art. 6, par. 1, lett. c) del GDPR, consistente più nel dettaglio nella necessità di rispettare le previsioni contenute negli artt. 2 e 18 degli “Standard Tecnici di Regolamentazione” emanati da EBA e adottati con il Regolamento Delegato (UE) 2018/389 (“Norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri”), ai sensi di quanto previsto dall’art. 98 della PSD2.
Tuttavia, per il Garante, tali disposizioni nulla dicono rispetto al trattamento dei dati personali da svolgere nell’ambito delle attività di monitoraggio delle frodi, e non rispondono a quei necessari requisiti di specificità richiamati nelle Guidelines 1/2024 dell’EDPB e nel Considerando 45 del GDPR: in particolare, mancano di precisare le condizioni generali che presiedono alla liceità del trattamento dei dati personali (quali i principi di trasparenza, minimizzazione e limitazione della conservazione dei dati personali), e non individuano le modalità e le finalità del trattamento antifrode posto in essere nel caso di specie.
Pertanto, le disposizioni richiamate a sostegno della liceità dei trattamenti in questione non costituiscono, di per sé, una idonea base giuridica: pur introducendo in capo ai fornitori di servizi di pagamento alcuni obblighi volti ad assicurare il rispetto della normativa contro le frodi nei servizi di pagamento, non determinano come necessari gli specifici trattamenti di dati personali in concreto posti in essere dalle Società.
Il trattamento dei dati relativi alle app installate sui dispositivi degli utenti per finalità di monitoraggio antifrode avrebbe potuto essere lecitamente effettuato, sulla base di una delle altre condizioni indicate dall’art. 6, par. 1 del GDPR, ovvero del consenso dell’interessato (art. 6, par. 1, lett. a)), acquisito nel rispetto delle condizioni di cui all’art. 7, ovvero, in alternativa, il legittimo interesse di cui art. 6, par. 1, lett. f), purché i dati trattati non afferiscano alle particolari categorie di cui all’art. 9
Quanto al legittimo interesse il Garante ricorda tuttavia quanto previsto dal Considerando 47 del GDPR, per cui “Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi”: pertanto, il legittimo interesse quale condizione di liceità dei trattamenti di dati personali finalizzati alla prevenzione delle frodi nei servizi di pagamento non può essere applicato tout court, ma deve essere strettamente necessario a tale finalità.
Inoltre, presuppone che sia stato effettuato un attento bilanciamento con gli interessi o i diritti e le libertà fondamentali dell’interessato e l’effettuazione di tale bilanciamento deve risultare da un apposito documento di analisi, c.d. LIA (Legitimate Interest Assessment, già previsto dal Parere n. 6/2014 del WP 29 sulla nozione di legittimo interesse), che è emerso non fosse in realtà stato redatto dalle Società.
I trattamenti dei dati riferiti alle app in esecuzione o installate sugli smartphone degli utenti per finalità antifrode sono stati pertanto effettuati dalle Società in violazione del principio generale di liceità di cui all’art. 6, par. 1 del GDPR, in quanto, pur essendo riconducibili all’art. 6, par. 1, lett. f) del GDPR, (e non all’art. 6, par. 1, lett. c) sono stati effettuati in assenza di un adeguato bilanciamento con gli interessi e i diritti degli interessati.
Sulle informative fornite agli interessati sul trattamento dei dati personali per la prevenzione delle frodi nei servizi di pagamento
Dall’istruttoria è emerso che nessuna informazione specifica e di dettaglio (contenente gli elementi di cui agli artt.13 e 14 del GDPR) ha riguardato il complesso dei trattamenti di dati personali effettuati tramite l’applicazione, volti alla prevenzione delle frodi nei servizi di pagamento.
Secondo il GDPR, un trattamento di dati personali è illecito, se l’interessato non può ragionevolmente prevederlo, sulla base del contesto e delle informazioni ricevute: la condotta delle Società è risultata pertanto per il Garante posta in essere in violazione del principio generale di correttezza e trasparenza di cui all’art. 5, par. 1, lett. a) e dell’art. 13 del GDPR.
Sulla violazione dell’art. 25 del Regolamento (privacy by design e by default)
La Società ha sostenuto la conformità del sistema antifrode adottato, richiamando il principio di accountability; tuttavia, non hanno fornito elementi concreti e specifici idonei a dimostrare l’adeguatezza delle misure di minimizzazione e pseudonimizzazione rispetto ai rilievi del Garante.
I dati trattati – in particolare le informazioni sulle app installate o in esecuzione, associate a identificativi univoci (IP, ID dispositivo, account) – costituiscono dati personali, anche se cifrati o non immediatamente leggibili, in quanto riconducibili univocamente a un individuo.
Le tecniche crittografiche (hashing, cifratura) integrano una forma di pseudonimizzazione, ma non eliminano il collegamento con l’interessato, né escludono la possibilità di re-identificazione.
Sotto il profilo dell’art. 25, si rileva l’assenza di una valutazione sulla necessità e proporzionalità dei dati trattati, nonché la mancata considerazione di soluzioni alternative meno invasive.
Quanto all’art. 35, le Società non hanno svolto una DPIA specifica sui trattamenti in esame, limitandosi a una valutazione generale non pertinente, che non includeva i dati effettivamente trattati (es. dati che consentono di effettuare il fingerprinting, dati di cui alle app installate).
Ne deriva un approccio non conforme al risk-based approach, che impone una valutazione preventiva dei rischi già in fase progettuale, con conseguente accertamento della violazione delle disposizioni richiamate.
Sui tempi di conservazione dei dati personali raccolti e memorizzati
Il Garante ha rilevato la violazione del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del GDPR, con riferimento ai tempi di conservazione dei dati nei sistemi dell’applicazione installata.
La Società ha negato l’irregolarità, sostenendo che l’estensione da 24 a 28 mesi sarebbe giustificata da esigenze tecniche legate alla cancellazione sicura dei dati; tuttavia, tale argomentazione è ritenuta non convincente.
Dai documenti tecnici emerge infatti che i dati sono utilizzati per finalità di analisi e sviluppo funzionale, e non per operazioni di cancellazione, la quale risulta peraltro automatizzata e con tempi ordinari.
Inoltre, la motivazione relativa alla necessità di una “migliore rappresentazione dei fenomeni” appare generica e priva di un fondamento oggettivo, non individuando una finalità determinata, esplicita e legittima idonea a giustificare l’estensione temporale.
Il confronto con il sistema PIAF (Piattaforma Integrata Anti Frode, inserita nell’infrastruttura informatica di Poste Italiane, che conserva dati analoghi per un massimo di 24 mesi), rafforza l’assenza di coerenza e proporzionalità nella scelta operata: ne consegue che i quattro mesi aggiuntivi non possono essere qualificati come fase tecnica di cancellazione, ma costituiscono una ulteriore conservazione funzionale al trattamento.
Eventuali esigenze statistiche avrebbero dovuto essere valutate e formalizzate ex ante, con adeguata informazione agli interessati.
Pertanto, il trattamento risulta altresì in contrasto con il principio di proporzionalità e limitazione della conservazione previsto dal GDPR.
