L’autorità italiana per la protezione dei dati ha multato due società postali di oltre 12,5 milioni di euro dopo aver stabilito che le loro applicazioni mobili raccoglievano dati degli utenti in modo da violare le normative sulla privacy.
Le sanzioni sono state imposte a Poste Italiane SpA, un fornitore di servizi postali e finanziari controllati dallo Stato, e alla sua controllata per i pagamenti digitali Postepay SpA. Poste Italiane è stata multata di 6,6 milioni di euro, mentre Postepay ha ricevuto una sanzione di 5,9 milioni di euro a seguito di un’indagine sulle sue pratiche di trattamento dei dati.
L’inchiesta è iniziata nell’aprile 2024 dopo che le autorità hanno ricevuto lamentele su come funzionavano le applicazioni mobili delle aziende. L’indagine si è concentrata sulle app utilizzate per i servizi finanziari, tra cui BancoPosta e Postepay, ampiamente utilizzate per pagamenti e gestione dei conti in Italia.
Secondo l’ente regolatore, le applicazioni richiedevano agli utenti di consentire il monitoraggio dei dati memorizzati sui loro dispositivi mobili come condizione per accedere ai servizi. Questo includeva informazioni sulle applicazioni installate e in esecuzione, oltre ad altri dati relativi ai dispositivi utilizzati per valutare potenziali rischi di sicurezza.
Le aziende hanno dichiarato che queste misure erano volte a rilevare software malevoli e prevenire frodi, citando la conformità alle normative sui servizi di pagamento. Tuttavia, l’autorità italiana per la protezione dei dati ha rilevato che il livello di monitoraggio superava quanto necessario per motivi di sicurezza.
I regolatori hanno descritto i metodi di raccolta dati come eccessivamente invasivi e hanno stabilito che non soddisfavano i requisiti di proporzionalità previsti dalle leggi sulla protezione dei dati. L’autorità ha inoltre affermato che agli utenti non venivano fornite informazioni sufficienti su come venivano elaborati i loro dati.
Ulteriori risultati includevano la mancata implementazione di adeguate garanzie di sicurezza e la conservazione dei dati raccolti più a lungo di quanto consentito dalle normative applicabili.
Un’analisi separata del sistema ha indicato che le app potevano raccogliere identificatori collegati alle applicazioni installate e al comportamento dei dispositivi, che potevano essere utilizzati per dedurre informazioni dettagliate sugli utenti. L’ente regolatore ha concluso che tale trattamento dei dati potrebbe coinvolgere informazioni personali sensibili e richiedeva controlli più severi.
L’azione di applicazione è tra le sanzioni più gravi inflitte dall’autorità italiana per la protezione dei dati negli ultimi anni. Le autorità non hanno indicato se ne seguiranno ulteriori sanzioni o misure correttive.