Episode Details
Back to Episodes
POSTE, multa da 12,5 milioni: antifrode o sorveglianza? #1553
Published 8 hours ago
Description
12,5 milioni di euro di sanzione a Poste Italiane e PostePay: il punto non è un data breach, ma l’uso di un sistema antifrode che, secondo il Garante per la protezione dei dati personali, ha trasformato l’app di home banking in un meccanismo di monitoraggio dello smartphone. L’accesso all’elenco delle app installate, a quelle in esecuzione e a vari dati tecnici non sarebbe stato una scelta: o si accetta, o l’app non funziona.
Poste richiama gli obblighi di sicurezza della PSD2 per giustificare il trattamento come “obbligo legale”, ma il Garante (provvedimento 17 aprile 2026, n. 237) ribatte che una finalità legittima non autorizza qualunque mezzo: la sicurezza dei pagamenti non rende automaticamente “necessaria” una raccolta così estesa. Qui entrano in gioco minimizzazione, proporzionalità e privacy by design, oltre al rischio di function creep: sistemi nati per proteggere dalle frodi che, per accumulo di controlli, finiscono per eccedere lo scopo e normalizzare una sorveglianza permanente.
La lezione vale oltre Poste: molte banche e fintech integrano moduli antifrode simili. Se questa linea regge anche dopo i ricorsi, “invocare la sicurezza” smette di essere un lasciapassare e costringe a riprogettare controlli e basi giuridiche con più rigore.
00:00 La multa e l’accusa
01:58 Provvedimento e numeri
02:23 Permessi obbligatori nell’app
02:55 ThreatMetrix: cosa monitora
04:12 PSD2 non basta
05:10 Minimizzazione e necessità
05:50 Function creep e panopticon
08:19 Impatto su banche e fintech
#GDPR #Privacy #Cybersecurity #PSD2 #Fintech
Poste richiama gli obblighi di sicurezza della PSD2 per giustificare il trattamento come “obbligo legale”, ma il Garante (provvedimento 17 aprile 2026, n. 237) ribatte che una finalità legittima non autorizza qualunque mezzo: la sicurezza dei pagamenti non rende automaticamente “necessaria” una raccolta così estesa. Qui entrano in gioco minimizzazione, proporzionalità e privacy by design, oltre al rischio di function creep: sistemi nati per proteggere dalle frodi che, per accumulo di controlli, finiscono per eccedere lo scopo e normalizzare una sorveglianza permanente.
La lezione vale oltre Poste: molte banche e fintech integrano moduli antifrode simili. Se questa linea regge anche dopo i ricorsi, “invocare la sicurezza” smette di essere un lasciapassare e costringe a riprogettare controlli e basi giuridiche con più rigore.
00:00 La multa e l’accusa
01:58 Provvedimento e numeri
02:23 Permessi obbligatori nell’app
02:55 ThreatMetrix: cosa monitora
04:12 PSD2 non basta
05:10 Minimizzazione e necessità
05:50 Function creep e panopticon
08:19 Impatto su banche e fintech
#GDPR #Privacy #Cybersecurity #PSD2 #Fintech