Poste multata dall’Antitrust: accesso forzato ai dati su app Postepay e Bancoposta
L’Antitrust ha sanzionato Poste Italiane con 4 milioni di euro per aver costretto gli utenti Android ad accettare l’accesso ai dati personali per usare le app Postepay e Bancoposta. Una pratica che Altroconsumo aveva già denunciato come sproporzionata e contraria alla normativa europea sulla privacy.
Lo scorso anno, milioni di utenti delle app BancoPosta e Postepay hanno ricevuto un messaggio che li obbligava ad autorizzare Poste Italiane ad accedere a una vasta quantità di dati contenuti nei propri smartphone Android, pena il blocco delle app dopo un numero limitato di accessi. Altroconsumo aveva da subito sollevato dubbi su questa pratica, ritenendola sproporzionata, poco trasparente e potenzialmente lesiva dei diritti degli utenti.
Una pratica aggressiva: arriva la sanzione dell’Antitrust
Ora l’Autorità Garante della Concorrenza e del Mercato (AGCM) ha confermato i nostri timori. Con un provvedimento pubblicato nel bollettino ufficiale, l’Antitrust ha multato Poste Italiane per 4 milioni di euro, ritenendo scorretta e aggressiva la pratica di subordinare l’utilizzo delle app all’autorizzazione all’accesso ai dati personali contenuti nei dispositivi Android.
Il procedimento ha evidenziato come la condotta (attuata a partire da aprile 2024) sia risultata in contrasto con la diligenza professionale, e abbia coinvolto milioni di consumatori, tra cui coloro che hanno ricevuto la comunicazione, chi ha accettato l’accesso e centinaia di migliaia che lo hanno rifiutato.
Secondo l’Autorità, imporre tale consenso come condizione per continuare a usare servizi essenziali come la gestione del conto corrente o della carta prepagata rappresenta una violazione della libertà di scelta e un comportamento aggressivo ai sensi del Codice del Consumo.
Che cosa era successo e perché avevamo già denunciato il problema
Ad aprile 2024, i clienti Poste italiane che usavano la app Postepay e la app Bancoposta sui loro telefoni Android, si erano visti recapitare un messaggio che li obbligava ad autorizzare l'accesso ai dati personali contenuti nel loro smartphone da parte di Poste. Lo scopo (secondo Poste) era rilevare la presenza di eventuali software dannosi nel cellulare che avrebbero potuto rendere meno sicuro l'utilizzo delle app Postepay e Bancoposta.
Come si leggeva nel messaggio, l’autorizzazione era di fatto obbligatoria, altrimenti si sarebbe subito il blocco della app dopo tre accessi. Anche cliccando sul tasto "Scopri di più" si veniva rinviati a una pagina generica del sito di Poste italiane dove si parlava genericamente di truffe e sicurezza online. Insomma non veniva argomentato il motivo della richiesta e soprattutto i dettagli tecnici del funzionamento di questa autorizzazione.
Le spiegazioni di Poste
Questa richiesta di autorizzazione, arrivata agli utenti senza troppe spiegazioni e con una sorta di ultimatum, da molti era stata scambiata per un tentativo di truffa. Avevamo subito contattato Poste per chiedere spiegazioni e ci era arrivata subito la conferma che il messaggio era davvero opera loro (nessun tentativo di truffa, quindi).
Secondo Poste "la normativa Europea, per aumentare il livello di sicurezza dei sistemi di pagamento ed al fine di contrastare le frodi realizzate sui canali on line, prevede che gli Intermediari (ndr Poste Italiane) si dotino di soluzioni anti-malware". Quindi, dando il consenso, i clienti avrebbero permesso alle app di Postepay e di Bancoposta di accedere ai dati contenuti nel proprio telefono per "intercettare eventuali software malevoli installati involontariamente dai titolari di carte di pagamento e conti correnti sui propri device". Insomma, secondo Poste, sarebbe stato una sorta di antivirus (come quelli che testiamo apposta per gli smartphone).
Quali dati sono stati dati a Poste
Ma che cosa ha autorizzato, di fatto, chi ha dato il consenso (obbligatorio)? Come si vede dall'immagine qui sotto, nel dare l’autorizzazione i dati che sono stati resi "visibili" a Poste sono davvero tanti: ad esempio, con il consenso, si autorizza la app Postepay e Bancoposta a monitorare l'attività di altre app installate sul telefono (comprese quindi quelle per l'home banking di altri istituti bancari o carte di credito) con quale frequenza le utilizziamo, e quale sia il nostro gestore telefonico (ovvero riveliamo a Poste, che gestisce l'operatore Poste Mobile, di quale suo concorrente siamo clienti).
Occorre comunque ricordare che questa pratica scorretta è terminata a febbraio 2025 e che Poste ha eliminato il blocco delle app e ha dato la possibilità di eliminare il consenso nei casi in cui era stato concesso a seguito della pratica scorretta.
La nostra richiesta ora ha una risposta
Le app di Poste (Postepay e Bancoposta) non sono normali applicazioni ludiche (delle quali si può decidere di fare a meno disinstallandole dallo smartphone), ma sono app legate a due servizi essenziali, ovvero la gestione del proprio conto corrente e della propria carta prepagata. Servizi ai quali è impossibile rinunciare nell'arco dei soli tre accessi concessi da Poste nel suo messaggio.
Per questo motivo avevamo chiesto un intervento urgente del Garante per la Privacy, ma intanto è intervenuta l’Antitrust, confermando la fondatezza delle nostre preoccupazioni. Continueremo a vigilare e chiediamo che le pratiche scorrette a danno dei consumatori vengano corrette tempestivamente, con un’informazione chiara, consapevole e rispettosa dei diritti digitali.