Il Garante privacy italiano ha ritenuto illecito il trattamento dei dati di circa 2,4 milioni di correntisti Intesa Sanpaolo, trasferiti senza adeguata base giuridica alla controllata digitale. L’istruttoria è partita dopo numerose segnalazioni da parte dei clienti, e ha evidenziato attività di profilazione dei correntisti finalizzate a selezionare chi sarebbe stato migrato a Isybank: età inferiore ai 65 anni, uso abituale dei canali digitali nell’ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie sotto una certa soglia sono stati i criteri utilizzati per identificare i soggetti da spostare.
Il trasferimento ha comportato cambiamenti significativi nei rapporti, come:
 | Attribuzione di nuovi IBAN; |
 | Modifica unilaterale delle condizioni contrattuali; |
 | Accesso esclusivo tramite app; |
 | Mancanza di sportelli fisici. |
Tali cambiamenti hanno inciso concretamente sulla fruizione del servizio da parte dei clienti e, secondo l’Autorità, non erano ragionevolmente prevedibili alla luce delle informazioni fornite dalla banca al momento dell’apertura del conto.
Criticata anche la gestione delle comunicazioni: le informazioni ai clienti sono state per lo più pubblicate nella sezione archivio dell’app durante il periodo estivo, senza misure di evidenza adeguate quali notifiche push o SMS. Questo, per il Garante, ha aggravato la situazione perché ha deliberatamento impedito una corretta e tempestiva informazione degli interessati.
Nella determinazione dell’importo della sanzione l’Autorità ha considerato la gravità delle violazioni, l’elevato numero di clienti interessati e il carattere volontario del comportamento, pur riconoscendo la collaborazione prestata dall’istituto durante l’istruttoria. Il Garante ha comunque ribadito l’obbligo di una base giuridica adeguata anche solo per le operazioni di profilazione, e specialmente per quelle di trasferimento, nonché l’obbligo di trasparenza e informazione del cliente quando si mutano condizioni contrattuali e modalità di servizio.
L’episodio è un richiamo netto: le migrazioni digitali e le strategie di ottimizzazione operativa non possono prescindere da un’accurata tutela dei diritti degli interessati e da comunicazioni chiare e tempestive, pena il rischio di sanzioni anche rilevanti.
Leggi anche: La multa a Verisure per marketing indesiderato
