BancoPosta sanzionata: cosa raccoglieva dal tuo telefono
PRIVACY — 9 Maggio 2026
👉 Il Garante della Privacy ha sanzionato Poste Italiane e Postepay per 12,5 milioni di euro: le app BancoPosta e Postepay raccoglievano dati dal tuo smartphone in modo illecito. Ecco cosa è successo, cosa hanno fatto e cosa rischi tu come utente.
In breve: Il 20 aprile 2026 il Garante per la protezione dei dati personali ha inflitto una sanzione da 6.624.000 euro a Poste Italiane e da 5.877.000 euro a Postepay — totale 12.501.000 euro — per trattamento illecito dei dati personali di milioni di utenti. Le app BancoPosta e Postepay richiedevano obbligatoriamente agli utenti Android l'accesso alla lista completa delle app installate e in esecuzione sul dispositivo. Il Garante ha stabilito che questa raccolta era eccessivamente invasiva rispetto alla finalità dichiarata di prevenzione delle frodi. Poste Italiane ha già annunciato ricorso.
⚡ I fatti in sintesi — 20 aprile 2026:
💰 Sanzione totale: 12.501.000 euro (6,624 mln Poste + 5,877 mln Postepay)
📱 App coinvolte: BancoPosta e Postepay su Android
🔍 Violazione: raccolta obbligatoria lista app installate sul dispositivo
⚖️ Chi ha sanzionato: Garante per la protezione dei dati personali
📅 Istruttoria avviata: aprile 2024 — 140 segnalazioni e 12 reclami
🏛️ Risposta Poste: annunciato ricorso, contestano il provvedimento
- ✔️ Cosa raccoglievano esattamente BancoPosta e Postepay dal tuo telefono
- ✔️ Perché il Garante ha considerato la raccolta illecita
- ✔️ La posizione di Poste Italiane — e il precedente del TAR Lazio
- ✔️ Cosa rischi tu come utente — e se devi fare qualcosa
- ✔️ Come controllare cosa raccoglie BancoPosta adesso
Il punto che mi ha colpito di più leggendo il provvedimento: non è che Poste Italiane abbia rubato dati nel senso tradizionale del termine. È che per usare BancoPosta dovevi obbligatoriamente concedere l'accesso alla lista completa delle app sul tuo telefono. Non era opzionale. Era una condizione per accedere al conto.
✍️ Rocco Caiazza — Fondatore di ScelgoIo | 9 maggio 2026
Articolo basato sul provvedimento Garante del 20 aprile 2026 e fonti ANSA, Il Sole 24 Ore, Privacy.it
Poste Italiane sanzionata per 12,5 milioni: cosa raccoglieva BancoPosta dal tuo telefono
Il 20 aprile 2026 il Garante per la protezione dei dati personali ha inflitto una delle più importanti sanzioni privacy nel settore dei servizi finanziari italiani. Poste Italiane e la controllata Postepay hanno ricevuto una multa complessiva di 12.501.000 euro per aver trattato illecitamente i dati personali di milioni di utenti tramite le app BancoPosta e Postepay. La notizia ha circolato rapidamente, ma molti articoli si sono fermati ai numeri della sanzione senza spiegare cosa raccoglievano esattamente queste app, perché il Garante ha considerato quella raccolta illecita — e soprattutto cosa significa per chi usa BancoPosta ogni giorno.
→ 6.624.000 euro di sanzione a Poste Italiane S.p.A. — Fonte: ANSA, 20 aprile 2026
→ 5.877.000 euro di sanzione a Postepay S.p.A. — stessa fonte
→ Istruttoria avviata dopo 140 segnalazioni e 12 reclami a partire da aprile 2024 — Fonte: Privacy.it, 20 aprile 2026
→ Garante ha ordinato di cessare i trattamenti entro 10 giorni dalla notifica — Fonte: Garante per la protezione dei dati personali — provvedimento 20 aprile 2026
→ Violazioni rilevate: carenze nell'informativa, assenza di DPIA, mancata adozione di misure di sicurezza adeguate — Fonte: Il Sole 24 Ore
Ho letto il provvedimento del Garante nella sintesi pubblicata da ANSA, Privacy.it e Il Sole 24 Ore. Ho verificato la posizione di Poste Italiane dalla nota ufficiale citata dal Sole 24 Ore. Ho consultato il provvedimento del TAR Lazio del 2 febbraio 2026 che aveva annullato la precedente sanzione Antitrust sulla stessa vicenda. Ho controllato manualmente le impostazioni dell'app BancoPosta su Android 14 a maggio 2026.
→ Cosa raccoglievano BancoPosta e Postepay — nel dettaglio
→ Perché il Garante ha considerato la raccolta illecita
→ La posizione di Poste Italiane — e il precedente TAR Lazio
→ Le 5 violazioni specifiche contestate dal Garante
→ Cosa rischi tu come utente — la risposta onesta
→ Come controllare i permessi di BancoPosta adesso
→ Il contesto più ampio — non è un caso isolato
Cosa raccoglievano BancoPosta e Postepay — nel dettaglio
Questo è il punto che molti articoli hanno trattato in modo vago. Il provvedimento del Garante è preciso: le app BancoPosta e Postepay su Android richiedevano agli utenti, come condizione obbligatoria per l'utilizzo dei servizi, l'autorizzazione al monitoraggio di una serie di dati contenuti nel dispositivo mobile.
Cosa raccoglievano in concreto: la lista completa delle applicazioni installate sul dispositivo e delle applicazioni in esecuzione in quel momento. La finalità dichiarata da Poste Italiane era la prevenzione delle frodi e l'individuazione di eventuali software malevoli — usando un sistema chiamato ThreatMetrix.
Cosa significa in pratica
Ogni volta che aprivi BancoPosta, l'app aveva accesso e potenzialmente trasmetteva ai server di Poste Italiane l'elenco completo di tutte le app presenti sul tuo telefono — incluse quelle che non hanno nulla a che fare con i pagamenti o la sicurezza bancaria. App di messaggistica, app di salute, app di dating, app di notizie politiche — tutto quello che avevi installato era potenzialmente visibile.
Non era opzionale
Questo è il punto su cui il Garante ha insistito maggiormente: non si trattava di un'autorizzazione opzionale che potevi rifiutare mantenendo le funzioni base. Era una condizione per accedere al servizio. Se non concedevi l'autorizzazione, non potevi usare l'app. Come ha stabilito il Garante, questa modalità rappresentava una ingerenza eccessivamente invasiva nella sfera privata degli utenti.
Perché il Garante ha considerato la raccolta illecita
Il Garante non ha contestato l'obiettivo di Poste Italiane — prevenire le frodi è un'esigenza legittima e documentata. Ha contestato le modalità con cui questo obiettivo veniva perseguito.
Il principio di protezione dei dati che è stato violato è quello di minimizzazione: i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati. Raccogliere la lista completa di tutte le app installate su un dispositivo — incluse quelle che non hanno alcun rapporto con i pagamenti o la sicurezza bancaria — va oltre quello che è strettamente necessario per individuare software malevoli.
Il punto tecnico che cambia tutto
Esistono metodi per rilevare malware senza raccogliere l'intera lista delle app installate. Il Garante ha implicitamente rilevato che Poste Italiane avrebbe potuto adottare approcci meno invasivi — per esempio verificare la presenza di specifici indicatori di compromissione invece di raccogliere dati indiscriminatamente. La scelta di raccogliere tutto invece che il necessario è stata considerata sproporzionata.
Il problema dell'obbligatorietà
La normativa GDPR prevede che il consenso sia libero, specifico, informato e inequivocabile. Quando il consenso è una condizione obbligatoria per accedere a un servizio — non c'è alternativa — non può essere considerato libero nel senso tecnico del termine. Questo è un secondo profilo di illiceità contestato dal Garante, separato dalla questione della proporzionalità.
La posizione di Poste Italiane — e il precedente del TAR Lazio
Poste Italiane non ha accettato passivamente il provvedimento. In una nota ufficiale citata dal Sole 24 Ore, il gruppo ha dichiarato di accogliere il provvedimento con stupore e ha annunciato ricorso.
La posizione di Poste si articola su due argomenti principali.
Argomento 1 — La necessità tecnica
Poste sostiene che i trattamenti contestati erano necessari per conformarsi alla normativa sui servizi di pagamento — in particolare alla direttiva PSD2 che impone misure di sicurezza rafforzate per le transazioni digitali. In altre parole: la raccolta dei dati era imposta dalla legge europea sui pagamenti, non una scelta arbitraria.
Argomento 2 — Il precedente del TAR Lazio
Questo è il punto più interessante dal punto di vista legale. Il 2 febbraio 2026, il TAR Lazio aveva annullato una precedente multa da 4 milioni dell'Antitrust (AGCM) comminata nel giugno 2025 — sulla stessa vicenda, con gli stessi comportamenti delle app BancoPosta e Postepay. Il TAR aveva riconosciuto la piena legittimità dei trattamenti antifrode.
Poste sostiene che la sanzione del Garante Privacy sia in contraddizione con quanto già stabilito dal TAR — e che il provvedimento sia viziato anche sotto il profilo procedurale per ritardo nell'adozione rispetto ai termini previsti dalla legge.
Il TAR Lazio ha annullato la multa Antitrust sulla stessa vicenda (febbraio 2026). Il Garante Privacy ha inflitto la multa (aprile 2026). Poste ricorrerà anche contro quest'ultima. Il risultato finale dipenderà dai tribunali amministrativi — una vicenda che potrebbe durare anni. Nel frattempo, il Garante ha ordinato la cessazione dei trattamenti contestati.
Le 5 violazioni specifiche contestate dal Garante
Oltre alla questione principale della raccolta sproporzionata di dati, il provvedimento del Garante ha identificato cinque categorie di violazioni specifiche:
| Violazione | Cosa significa |
|---|---|
| Raccolta sproporzionata | Lista completa app installate — più del necessario per la finalità dichiarata |
| Carenze nell'informativa | Gli utenti non erano adeguatamente informati su cosa veniva raccolto e perché |
| Assenza di DPIA | Nessuna valutazione di impatto sulla protezione dei dati — obbligatoria per trattamenti ad alto rischio |
| Misure di sicurezza inadeguate | Protezione insufficiente dei dati raccolti |
| Irregolarità nella designazione del responsabile | Problemi formali nella catena di responsabilità del trattamento dati |
Fonte: Privacy.it, Il Sole 24 Ore, ANSA — 20 aprile 2026
Cosa rischi tu come utente — la risposta onesta
Questa è la domanda che più utenti si pongono — e merita una risposta diretta invece che allarmistica.
I tuoi dati sono stati usati illecitamente?
Tecnicamente sì, secondo il Garante — se usavi BancoPosta o Postepay su Android e hai concesso l'autorizzazione richiesta. Ma "illecitamente" in questo contesto non significa che i tuoi dati siano stati venduti a terze parti o usati per scopi criminali. Significa che sono stati raccolti con modalità che il Garante ha ritenuto sproporzionate rispetto alla finalità dichiarata.
Puoi chiedere un risarcimento?
Il provvedimento del Garante è una sanzione amministrativa — non apre automaticamente il diritto a un risarcimento individuale. Per un risarcimento danni dovresti avviare un'azione civile separata, dimostrando un danno concreto subito. Non è un percorso semplice né economico per il singolo utente. Associazioni di consumatori come ADICU stanno monitorando la vicenda — potrebbe aprirsi una class action collettiva.
I tuoi dati sono al sicuro adesso?
Il Garante ha ordinato di cessare i trattamenti contestati entro 10 giorni dalla notifica del provvedimento — quindi entro fine aprile 2026. Ha anche ordinato di definire entro 30 giorni tempistiche specifiche di conservazione dei dati già raccolti tramite ThreatMetrix. Se Poste ha rispettato l'ordine — i trattamenti contestati sono già cessati.
→ Non serve disinstallare BancoPosta — i trattamenti contestati sono stati ordinati di cessare
→ Puoi controllare i permessi dell'app e revocare quelli non necessari (sezione 06)
→ Se vuoi tutele legali — contatta un'associazione di consumatori come ADICU o Codacons
→ Tieni d'occhio eventuali comunicazioni da Poste Italiane sui tuoi dati
Come controllare i permessi di BancoPosta adesso — percorso esatto
Indipendentemente dall'esito del ricorso di Poste, è buona pratica verificare periodicamente quali permessi hanno le app bancarie sul tuo telefono. Ecco come farlo.
Su Android
Impostazioni → App → BancoPosta → Autorizzazioni
Trovi tutti i permessi concessi all'app divisi per categoria. Verifica in particolare: posizione, contatti, fotocamera, microfono, archiviazione. Per i permessi che non hanno una funzione ovvia nell'app bancaria — valuta di revocarli impostando "Nega" o "Chiedi ogni volta".
Impostazioni → App → BancoPosta → Autorizzazioni — Android 14, maggio 2026
Su iPhone
Impostazioni → Privacy e sicurezza → verifica ogni categoria → cerca BancoPosta
Oppure: Impostazioni → BancoPosta → verifica i permessi concessi
Cosa ho trovato controllando l'app a maggio 2026
Ho verificato manualmente i permessi di BancoPosta su Android 14 a maggio 2026. La cosa che mi ha sorpreso è che BancoPosta non mostrava alcun permesso esplicito collegato alla lettura delle app installate nell'elenco standard di Android. Non c'era una voce "App installate" o simile tra i permessi visibili all'utente. Questo perché ThreatMetrix operava a livello applicativo interno — non tramite i normali permessi Android visibili nelle impostazioni. È un dettaglio tecnico importante: il sistema raccoglieva dati attraverso codice eseguito all'interno dell'app stessa, senza richiedere permessi di sistema separati che l'utente avrebbe potuto revocare facilmente.
I permessi attivi visibili erano: posizione (solo durante utilizzo), fotocamera (per scansione documenti). Nessun permesso microfono. Il sistema di raccolta dati contestato dal Garante non era quindi visibile o revocabile dalle impostazioni standard di Android — il che spiega in parte perché così pochi utenti se ne fossero accorti prima delle 140 segnalazioni che hanno avviato l'istruttoria.
💡 Per un controllo completo di tutte le app con accesso ai dati del tuo telefono, leggi la guida su quali app accedono alla fotocamera Android 2026 — include il percorso per la Dashboard della privacy di Android 12+.
Il contesto più ampio — non è un caso isolato
La sanzione a Poste Italiane non è un caso isolato — fa parte di un trend europeo di applicazione più stringente del GDPR nei confronti di app bancarie e finanziarie che raccolgono dati comportamentali per finalità antifrode.
Il problema strutturale è reale: le banche e i servizi finanziari hanno un'esigenza legittima di prevenire le frodi digitali, che aumentano ogni anno. ThreatMetrix e sistemi analoghi sono strumenti usati in tutta l'industria finanziaria — non solo da Poste Italiane. La questione è dove si traccia il confine tra sicurezza legittima e raccolta eccessiva di dati.
Il precedente che conta
Se il ricorso di Poste Italiane venisse respinto dai tribunali amministrativi, questo provvedimento diventerebbe un precedente significativo per tutte le app bancarie italiane che usano sistemi simili. Potrebbe spingere l'intero settore a rivedere le modalità di raccolta dati per finalità antifrode — con ricadute su tutte le app di mobile banking italiane.
La posizione dell'ADICU
L'Associazione per la Difesa dei Consumatori e degli Utenti (ADICU) ha commentato il provvedimento riconoscendo l'esigenza di sicurezza antifrode ma sottolineando che tutela dei dati e sicurezza bancaria devono convivere senza compressione dei diritti. È la sintesi più equilibrata della questione — non si tratta di scegliere tra sicurezza e privacy, ma di trovare metodi proporzionati per garantire entrambe.
Controlla i permessi con il percorso della sezione 06 — richiede 2 minuti.
👉 Come vedere tutti i permessi delle app su Android →
👉 Privacy Android 2026: 10 impostazioni da cambiare →
👉 Tutte le guide Privacy su ScelgoIo →
Se stai cercando informazioni sulla sanzione Poste Italiane BancoPosta 2026: il Garante ha inflitto 12,5 milioni di euro per raccolta sproporzionata di dati dal dispositivo degli utenti. I trattamenti contestati sono stati ordinati di cessare. Poste ha annunciato ricorso. Per gli utenti: controlla i permessi dell'app e monitora eventuali sviluppi legali tramite associazioni consumatori.
Domande frequenti — Sanzione Poste Italiane 2026
Autore: Rocco Caiazza – Fondatore di ScelgoIo
