L’Antitrust multa Poste Italiane per 4 milioni di euro per pratica scorretta e aggressiva. Lo scorso anno aveva recapitato un messaggio che obbligava gli utenti delle app PostePay e Bancoposta ad autorizzare l’accesso ai dati personali contenuti nello smartphone per poter usare le App

Lo scorso anno gli utenti che usano le app Postepay e Bancoposta sui loro telefoni Android si sono visti recapitare un messaggio che li obbligava ad autorizzare l’accesso ai dati personali contenuti nel loro smartphone per poter usare le App. In assenza di tale autorizzazione avevano a disposizione un numero limitato di accessi, dopo i quali non sarebbe stato più possibile operare in App. Una pratica scorretta e aggressiva, ha stabilito l’Antitrust, che al termine di un procedimento ha multato Poste Italiane con una sanzione amministrativa pecuniaria di 4 milioni di euro.

L’Antitrust ha accertato una pratica scorretta consistente nel blocco, o nella prospettazione di blocco, dell’utilizzo delle App Banco Posta e PostePay installate negli smartphone con sistema operativo Android. Il comportamento fra l’altro ha riguardato milioni di consumatori fra quanti hanno ricevuto la comunicazione, quanti hanno accettato di autorizzare l’accesso ai dati e diverse centinaia di migliaia che invece hanno negato l’accesso.

Il procedimento, spiega l’Antitrust nel bollettino pubblicato ieri online, riguarda il comportamento di Poste Italiane che ha subordinato l’utilizzo delle App BancoPosta e PostePay – installate sugli smartphone con sistema operativo Android – al rilascio dell’autorizzazione da parte dell’utente ad accedere ai dati del proprio smartphone, pena il blocco delle stesse App.

La condotta di Poste Italiane, attuata a partire da aprile 2024, risulta “contraria alla diligenza professionale e caratterizzata da profili di aggressività”.

BancoPosta e PostePay, l’autorizzazione sotto accusa

Cosa è accaduto? Dai primi giorni di aprile 2024, i titolari di rapporti BancoPosta e PostePay che utilizzano i servizi tramite le relative App sul proprio smartphone Android, aprendo le App hanno ricevuto un messaggio dal titolo “Proteggi il tuo dispositivo”. Questo invitava ad autorizzare l’App Poste Italiane ad accedere ai dati per rilevare la presenza di eventuali software dannosi e veniva presentata come “funzionalità obbligatoria”.

In assenza di tale autorizzazione, spiegava il messaggio, “hai a disposizione un numero massimo di 3 accessi dopo i quali non ti sarà più possibile accedere e operare in App”. In seguito gli accessi disponibili sono diventati 5.

Si tratta di un’autorizzazione dalla portata molto ampia perché, come spiegava il sistema operativo Android, ““l’accesso ai dati di utilizzo consente ad un’App di controllare quali altre App utilizzi e con quale frequenza, oltre a informazioni come operatore, lingua impostata e altri dettagli”.

L’utente che non concedeva l’autorizzazione e cliccava su “non ora” poteva operare sull’App soltanto per ulteriori tre volte (divenute cinque a partire dal 4 luglio 2024). Una volta superato il numero di accessi consentiti, senza aver concesso l’autorizzazione come richiesto nel messaggio, infatti, l’App si bloccava. Se l’utente provava un nuovo accesso, l’App non si attivava, impedendogli di usufruire dei relativi servizi; contestualmente il consumatore veniva invitato nuovamente a modificare le impostazioni del proprio cellulare autorizzando l’App ad accedere ai dati.

“In particolare – si legge nel provvedimento dell’Antitrust – i segnalanti hanno lamentato l’ampia portata dell’autorizzazione richiesta, che avrebbe consentito a Poste Italiane l’accesso a una pluralità di dati personali, oltre che il monitoraggio dell’eventuale utilizzo, da parte dell’utente, di App di operatori concorrenti, nonché la scarsità e vaghezza delle informazioni fornite dal Professionista per giustificare tale richiesta”.

Milioni di consumatori investiti. Centinaia di migliaia bloccati

Questo comportamento ha riguardato diversi milioni di consumatori. L’Antitrust riporta che fra il 1° maggio 2024 e il 30 giugno 2024 la richiesta di autorizzare l’accesso ai dati è stata inviata a un range di 5-10 milioni di App BancoPosta e PostePay; è stato bloccato un numero di App compreso fra 250 mila e 500 mila, corrispondente ai consumatori che non hanno fornito l’autorizzazione; fra 750 mila e 1 milione titolari di App hanno visto fortemente limitata la possibilità di utilizzo delle App dei propri conti correnti, in quanto è stato circoscritto a tre il numero di accessi consentiti; un numero molto elevato di consumatori, compreso fra 5 e 10 milioni, che avevano installato le App Banco Posta e PostePay ha fornito il proprio consenso all’accesso ai propri dati.

Nel marzo 2025 Poste ha comunicato di aver adottato “una serie di misure correttive e ripristinatorie, prevedendo interventi a tutela dei consumatori interessati dal blocco e consentendo di confermare/revocare la propria scelta anche a coloro che avevano già fornito il consenso. In tal modo, Poste Italiane ha rinunciato al blocco delle App degli utenti di Banco Posta e PostePay che non forniscono l’autorizzazione al monitoraggio del proprio dispositivo, avendo cura di precisare che avrebbe assicurato in ogni caso un sistema di protezione dalle frodi informatiche anche a tale categoria di consumatori”.

Antitrust: pratica aggressiva

Per l’Antitrust la pratica è aggressiva “in quanto la possibilità per i clienti di Poste di poter continuare ad avvalersi delle predette App è stata subordinata al rilascio obbligatorio del consenso all’accesso a una pluralità di dati presenti nel proprio smartphone, in base a una richiesta genericamente motivata dalla necessità di garantire la sicurezza da eventuali frodi agli utenti delle App Banco Posta e PostePay”.

La pratica è poi ritenuta in contrasto con il dovere di diligenza professionale considerata l’asimmetria informativa fra intermediari finanziari e clienti.

Altro dato sottolineato è il numero elevato di consumatori investito.

Al 30 settembre 2024, era stata richiesta l’autorizzazione da accedere ai dati a un numero compreso fra 10 e 15 milioni di App BancoPosta e PostePay.

Nel periodo immediatamente successivo all’introduzione del nuovo sistema antifrode, fra 200 mila e 400 mila titolari di App nel primo bimestre si sono visti bloccare l’accesso per non aver consesso l’autorizzazione; fra 1 e 2 milioni hanno subito uno stringente limite di utilizzo corrispondente al numero massimo di accessi consentito, prima tre e poi cinque; fra 5 e 19 milioni di utenti ha concesso l’accesso ai dati presenti sui propri smartphone. Questo, spiega l’Antitrust, “in un contesto di condizionamento determinato dall’obbligatorietà del rilascio del consenso, pena il blocco delle App”.

UNC: mai forzare la volontà degli utenti

«I dati che si chiedono agli utenti devono sempre essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono richiesti. Non devono mai essere eccedenti – ha commentato il presidente dell’Unione Nazionale Consumatori Massimiliano Dona – Men che meno si può condizionare indebitamente la volontà dell’utente, forzandola con il blocco di un’app. I consumatori non devono mai regalare i loro dati e devono sempre verificare se le richieste sono congrue e davvero necessarie».