'Vuoi usare l'app? Dammi i tuoi dati': scoppia il caso Poste Italiane

L'Autorità Garante della Concorrenza e del Mercato (AGCM) ha inflitto una sanzione amministrativa di 4 milioni di euro a Poste Italiane per una pratica commerciale ritenuta scorretta nella gestione delle app BancoPosta e PostePay. La decisione è stata formalizzata nel bollettino settimanale dell'Autorità.

Secondo l'AGCM, tra febbraio 2024 e febbraio 2025, Poste ha subordinato il funzionamento delle app sui dispositivi Android al consenso obbligatorio da parte degli utenti all'accesso a una pluralità di dati presenti sugli smartphone. In assenza di tale autorizzazione, le applicazioni risultavano inaccessibili. La motivazione addotta dalla società faceva riferimento a esigenze di sicurezza e prevenzione delle frodi, soprattutto per il sistema Android, ritenuto più vulnerabile rispetto a iOS per la sua struttura più aperta.

Tuttavia, l'Autorità ha giudicato tale pratica come "aggressiva" e in violazione degli articoli 24 e 25 del Codice del Consumo, in quanto lesiva della libertà di scelta dei consumatori. Inoltre, è stata ritenuta in contrasto con l'articolo 20 dello stesso Codice, che impone un dovere di diligenza professionale da parte degli operatori economici, soprattutto quando sussiste un'evidente asimmetria informativa tra azienda e clientela.

In particolare, agli utenti veniva chiesto di autorizzare l'accesso a informazioni quali l'utilizzo di altre app, operatore telefonico, lingua e altri dettagli del dispositivo, con messaggi poco chiari e senza un'adeguata informativa.

Particolarmente critico, secondo l'AGCM, è il fatto che la clientela coinvolta includesse anche utenti poco esperti o con competenze digitali limitate, che potevano non comprendere appieno le implicazioni della richiesta di autorizzazione all'accesso ai dati.

Nel corso dell'istruttoria, Poste Italiane ha precisato che i dati raccolti venivano trattati in forma anonimizzata e che la richiesta di autorizzazione non aveva alcuna finalità economica. Inoltre, la società ha ricordato come fossero sempre disponibili canali alternativi, sia fisici sia digitali, per accedere ai servizi.

Nonostante due proposte di modifica da parte di Poste Italiane, l'Autorità ha ritenuto le misure insufficienti a sanare la scorrettezza della pratica e ha proseguito con il procedimento. Solo a febbraio 2025 l'azienda ha rimosso il blocco forzato, consentendo l'uso delle app anche in assenza del consenso all'accesso ai dati.

Il caso ha visto il coinvolgimento anche del Garante Privacy, della Banca d'Italia e dell'AGCOM, le quali hanno espresso pareri critici sul comportamento di Poste. In particolare, è emersa la preoccupazione per la possibile raccolta di dati personali non necessari e il potenziale monitoraggio delle abitudini digitali degli utenti.

Secondo l'Antitrust, la condotta ha compromesso la possibilità per gli utenti di esercitare un consenso libero e informato, condizionando l'accesso a servizi essenziali al rilascio di dati sensibili. La decisione sottolinea la necessità di maggiore trasparenza e rispetto del diritto dei consumatori alla protezione dei propri dati, soprattutto in ambiti di uso quotidiano e diffuso come i servizi bancari digitali.