Intesa Sanpaolo Spa di nuovo nel mirino del Garante per aver, in modo illecito, trattato e traferito a Isybank i dati di circa 2,4 milioni di clienti
Il rapporto tra cittadini e banche si fonda su un presupposto semplice ma delicato: la fiducia. Ogni conto corrente custodisce informazioni che raccontano abitudini, capacità economiche, scelte di consumo, talvolta persino momenti cruciali della vita personale. Per questa ragione la gestione dei dati bancari rappresenta uno dei terreni più sensibili nel campo della protezione della privacy.
Negli ultimi anni la trasformazione digitale del sistema finanziario ha reso questo equilibrio ancora più complesso. Le banche operano sempre più attraverso piattaforme digitali, algoritmi di profilazione e strategie di segmentazione della clientela. L’innovazione accelera i servizi, amplia le possibilità operative e riduce costi strutturali, ma introduce anche interrogativi nuovi sul modo in cui le informazioni personali vengono raccolte, elaborate e utilizzate.
Dentro questo scenario si inserisce il provvedimento con cui il Garante ha inflitto una sanzione amministrativa di 17,628 milioni di euro alla banca Intesa Sanpaolo, che, a quanto pare, ha il difetto di essere molto carente quando si tratta di informare in maniera chiara e trasparente la sua clientela.
Il “vizietto” di Intesa Sanpaolo
Non è la prima volta che Intesa Sanpaolo finisce nel mirino dei Garanti per aver adottato pratiche scorrette nei confronti dei suoi correnti, di cui ci siamo occupati in un precedente articolo. Infatti, già nel mese di settembre del 2022, l’Autorità Garante della Concorrenza e del Mercato (AGCM) aveva avviato un procedimento istruttorio nei confronti di Intesa Sanpaolo S.p.A. per una presunta pratica commerciale scorretta adottata nell’attività di commercializzazione dei mutui immobiliari per i consumatori, a tasso fisso e a tasso variabile.
Secondo l’Autorità il gruppo bancario, nelle fasi di commercializzazione di mutui immobiliari, non forniva informazioni chiare in merito alla modalità di calcolo della durata del periodo di preammortamento tecnico, ovvero il tempo che intercorre tra l’erogazione del mutuo e la prima mensilità del piano di rimborso, che costituisce un elemento di costo, talvolta anche ingente.
Questa volta, è il Garante della protezione dei dati personali (GPDP) che, seguito a diverse segnalazioni, ha scoperto un illecito nel trattamento dei dati di circa 2,4 milioni di correntisti trasferiti verso la controllata digitale Isybank SpA.
La decisione chiude un’indagine lunga e articolata, nata da numerose segnalazioni di clienti che avevano contestato le modalità con cui la banca aveva disposto il passaggio dei rapporti alla nuova piattaforma bancaria.
La vicenda offre uno spaccato significativo sul modo in cui l’informazione bancaria e la protezione dei dati personali si intrecciano nella fase di transizione verso la banca digitale.
La banca nell’era di internet
La digitalizzazione dei servizi finanziari ha cambiato il modo in cui gli istituti di credito osservano e interpretano la propria clientela. Un tempo il rapporto con la banca si sviluppava allo sportello, attraverso incontri diretti con il direttore di filiale o con il consulente. Oggi il contatto avviene soprattutto attraverso app, piattaforme online e sistemi di pagamento elettronico. Ogni operazione lascia tracce informative che consentono alla banca di costruire modelli di comportamento molto precisi.
I dati bancari permettono di risalire alle preferenze personali di hobby, interessi, vacanze, abitudini di spesa, luoghi frequentati e scelte di investimento. Ogni correntista affida alla propria banca una parte significativa della propria identità economica. Il conto corrente registra entrate, pagamenti, prestiti, investimenti. Attraverso questi dati la banca conosce il profilo finanziario del cliente con un grado di dettaglio che pochi altri soggetti possono raggiungere.
In un sistema finanziario sempre più competitivo, queste informazioni rappresentano una risorsa strategica per orientare politiche commerciali e sviluppo di nuovi servizi.
Proprio per questo motivo la normativa europea sulla protezione dei dati personali – in particolare il Regolamento generale sulla protezione dei dati (GDPR) – richiede alle istituzioni finanziarie un livello di attenzione particolarmente elevato.
Ogni trattamento di dati deve poggiare su una base giuridica chiara e trasparente. Il cliente deve comprendere come vengono utilizzate le sue informazioni e quali effetti possono produrre le decisioni automatizzate.
Quando questi principi non trovano applicazione concreta, il rischio riguarda non soltanto la privacy individuale ma la stessa fiducia nel sistema bancario.
Di cosa è accusata Intesa Sanpaolo?
Nel caso di Intesa Sanpaolo che ha portato alla sanzione, il punto di partenza risiede nel progetto con cui l’Istituto ha avviato la propria banca interamente digitale, la Isybank, una piattaforma pensata per offrire servizi finanziari gestiti esclusivamente tramite applicazione mobile.
L’iniziativa risponde a una tendenza diffusa nel settore: ridurre progressivamente il peso della rete fisica di filiali e spostare gran parte dell’operatività su canali digitali, ma una strategia di questo tipo richiede però un passaggio fondamentale: individuare la platea di clienti più adatta a operare senza sportello, senza consulenza in presenza e con procedure completamente online.
Per raggiungere questo obiettivo, la banca ha avviato un processo di selezione all’interno della propria base di correntisti e. secondo quanto accertato dall’autorità di controllo, l’istituto ha effettuato una profilazione dei clienti senza disporre di una base giuridica adeguata.
In pratica, sono stati analizzati i dati dei correntisti per identificare quelli che presentavano caratteristiche ritenute compatibili con il modello della banca digitale, senza però consultare il cliente o informarlo sulla ricerca in atto.
Il sistema di selezione si basava su diversi criteri: età inferiore ai 65 anni, utilizzo abituale dei servizi digitali nell’ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie inferiori a una determinata soglia. L’insieme di questi parametri ha portato all’individuazione di circa 2,4 milioni di clienti destinati al trasferimento verso Isybank.
Il nodo della profilazione
La profilazione rappresenta uno degli strumenti più discussi nell’economia dei dati. Attraverso l’analisi automatizzata delle informazioni personali, aziende e organizzazioni costruiscono categorie di utenti con caratteristiche omogenee. Il metodo consente di offrire servizi mirati, modulare prezzi, indirizzare campagne commerciali o definire politiche di gestione del rischio.
Nel settore bancario questa pratica assume una dimensione particolarmente delicata perché le decisioni che derivano dalla profilazione, possono incidere su diritti economici rilevanti: accesso al credito, condizioni contrattuali, tipologia di servizi disponibili eccetera.
Nel caso Intesa Sanpaolo, la profilazione ha prodotto effetti concreti sulla posizione dei correntisti selezionati, poiché il trasferimento a Isybank non ha comportato soltanto un cambiamento di piattaforma tecnologica, ma ha determinato una modifica del titolare del trattamento dei dati e una trasformazione significativa delle modalità operative del conto corrente.
Per molti clienti ciò ha significato ricevere un nuovo codice IBAN con conseguenti disagi per chi riceve pagamenti regolari e ha comportato il fatto di dover comunicare la variazione a datori di lavoro, enti previdenziali, utenze o altri soggetti con cui avevano rapporti finanziari. Inoltre, e non è un particolare da poco, la nuova banca digitale è esclusivamente online e non prevede la presenza di sportelli fisici, rendendo l’accesso ai servizi possibile esclusivamente attraverso l’applicazione mobile.
Un cambiamento di questa portata incide direttamente sull’esperienza bancaria del cliente e deve essere assolutamente soggetta a una scelta consapevole e ponderata del cliente e non imposta. Per questa ragione la normativa sulla protezione dei dati richiede che operazioni simili vengano accompagnate da informazioni chiare e tempestive.
Comunicazioni poco visibili
Uno degli aspetti più critici individuati dall’autorità riguarda il modo in cui la banca ha informato i clienti coinvolti nel trasferimento. Le comunicazioni sono state inviate prevalentemente attraverso l’archivio digitale dell’applicazione bancaria, senza strumenti di notifica immediata.
In molti casi i messaggi sono stati inviati durante il periodo estivo, momento in cui una parte significativa della clientela è in vacanza e non passa il tempo a consultare le comunicazioni bancarie che arrivano sull’app o via mail. Inoltre, la banca non ha provveduto all’invio di notifiche push o di avvisi tramite SMS penalizzando ulteriormente l’informazione.
Secondo il Garante, una trasformazione così rilevante del rapporto contrattuale necessitava obbligatoriamente di una modalità di comunicazione più efficace. L’autorità ha sottolineato che il cliente non poteva prevedere ragionevolmente un simile trattamento dei dati sulla base delle informazioni ricevute e del contesto in cui si svolgeva il rapporto bancario.
Il principio della trasparenza costituisce uno dei cardini del diritto alla protezione dei dati. Le persone devono poter comprendere con facilità che cosa accade alle proprie informazioni personali e quali conseguenze derivano dalle scelte organizzative di un’azienda.
Un’indagine complessa
Il procedimento che ha portato alla sanzione arriva a seguito di numerose segnalazioni di correntisti che avevano manifestato perplessità sul trasferimento verso la banca digitale e sulle modalità delle comunicazioni tra banca e cliente.
L’autorità ha avviato quindi un’istruttoria approfondita per verificare la conformità delle procedure adottate dalla banca rispetto alla normativa sulla protezione dei dati personali. L’indagine ha esaminato documentazione tecnica, sistemi di profilazione e strategie di comunicazione utilizzate durante l’operazione di trasferimento.
Il quadro emerso ha portato il Garante a considerare illecito il trattamento dei dati effettuato per individuare i clienti da spostare verso Isybank e la mancanza di una base giuridica adeguata per la profilazione ha rappresentato l’elemento centrale della violazione.
Nella determinazione dell’importo della sanzione l’autorità ha tenuto conto di diversi fattori, primi fra tutti, il numero molto elevato di persone coinvolte e il carattere colposo delle violazioni unitamente alla collaborazione offerta dalla banca durante il procedimento.
Il risultato finale è dunque una sanzione di oltre 17 milioni di euro, una delle più rilevanti nel panorama recente delle decisioni dell’autorità italiana in materia di protezione dei dati.
Il significato per il sistema bancario
La vicenda assume un valore che va oltre il singolo caso. L’intero sistema bancario europeo attraversa una fase di trasformazione profonda. I servizi digitali crescono rapidamente, mentre la rete di filiali fisiche si riduce progressivamente.
In questo contesto le banche sperimentano nuovi modelli di business basati su piattaforme online, applicazioni mobili e processi automatizzati. La gestione dei dati personali diventa quindi una componente essenziale della strategia industriale.
La decisione del Garante segnala con chiarezza un principio fondamentale: l’innovazione tecnologica non può procedere a discapito dei diritti informativi dei clienti. Le istituzioni finanziarie possiedono enormi quantità di dati sensibili e devono dimostrare un livello di responsabilità proporzionato al valore di queste informazioni.
La trasparenza nel trattamento dei dati non rappresenta un ostacolo allo sviluppo digitale ma, al contrario, costituisce una condizione indispensabile per mantenere la fiducia della clientela in un sistema finanziario sempre più immateriale.
La centralità dell’informazione bancaria
La gestione di queste informazioni richiede un equilibrio delicato tra esigenze operative e tutela dei diritti individuali. Se, da un lato, la banca ha bisogno di analizzare i dati per prevenire frodi, valutare rischi creditizi, migliorare i servizi, dall’altro, il cliente deve poter contare su un uso corretto e proporzionato delle proprie informazioni.
Il caso Intesa Sanpaolo offre anche uno spunto di riflessione più ampio sulla trasformazione digitale delle istituzioni finanziarie. Le banche investono miliardi di euro in tecnologie avanzate, intelligenza artificiale, analisi predittiva dei dati. L’obiettivo consiste nel rendere i servizi più efficienti e competitivi rispetto alle nuove piattaforme fintech.
Il trasferimento di milioni di clienti verso una banca digitale segna uno dei passaggi più significativi nella trasformazione recente del sistema bancario italiano e l’intervento dell’autorità di protezione dei dati ha riportato l’attenzione su un principio che spesso rischia di passare in secondo piano nel dibattito tecnologico.
Ogni innovazione che coinvolge i dati personali richiede trasparenza, informazione chiara e rispetto delle regole. Nel settore bancario questo principio assume un valore ancora più forte, perché i dati finanziari rappresentano una delle dimensioni più sensibili della vita di una persona.
La vicenda Intesa Sanpaolo–Isybank resterà probabilmente come uno dei casi di riferimento nel confronto tra digitalizzazione bancaria e tutela della privacy e non soltanto per l’entità della sanzione, ma per la dimensione del fenomeno che ha coinvolto milioni di correntisti.
Nel mondo della finanza digitale, il futuro delle banche si giocherà sempre di più sul terreno della fiducia informativa. Chi saprà gestire i dati con responsabilità e trasparenza avrà un vantaggio competitivo destinato a crescere nel tempo. Chi sottovaluterà questo aspetto rischierà di scoprire che la tecnologia, da sola, non basta a costruire relazioni solide con i clienti.
Potrebbe interessarti anche:
Mutui a tasso fisso e variabili: Intesa San Paolo indagata
Ior, dagli scandali alle riforme: il passo indietro di Papa Leone XIV sulla banca del Vaticano
Estensioni per Chrome e Microsoft Edge rubano dati dalle chat di IA
Immagine di copertina: file distribuito con licenza Creative Commons Attribuzione-Condividi allo stesso modo 3.0 Italia – autore Pava.
