L’operazione Isybank porta a Intesa Sanpaolo una multa dal Garante per la protezione dei dati personali. Una sanzione di 17.628.000 euro è stata irrogata dal Garante privacy a Intesa Sanpaolo per “aver trattato in modo illecito i dati di circa 2,4 milioni di clienti trasferiti unilateralmente alla controllata al 100% Isybank Spa, banca interamente digitale”.

L’accusa del Garante è quella di aver effettuato una profilazione della clientela senza idonea base giuridica. Con il provvedimento, spiega l’Autorità, “si chiude un’indagine complessa, avviata a seguito di numerose segnalazioni di correntisti”. Il Garante considera “gravi le violazioni emerse nel corso dell’istruttoria”.

Il caso Isybank

Il caso riguarda il trasferimento d’ufficio dei correntisti di Intesa Sanpaolo a Isybank, una banca dello stesso gruppo ma completamente online. Per individuare i propri clienti fra quelli da trasferire a Isybank, “Intesa Sanpaolo ha effettuato, senza un’idonea base giuridica, una profilazione della clientela”, spiega il Garante Privacy.

L’operazione riguardava circa 2,4 milioni di clienti che rientravano nel segmento commerciale denominato “Clienti prevalentemente digitali”.

In particolare, sono stati selezionati i clienti che presentavano una serie di caratteristiche, fra le quali età non superiore a 65 anni, utilizzo abituale dei canali digitali nell’ultimo anno, assenza di prodotti di investimento, giacenze finanziarie inferiori a 100.000 euro, assenza di particolari situazioni quali sequestro o pignoramento, minore età e interdizione.

Le contestazioni del Garante

Il Garante Privacy spiega che l’operazione ha inciso in modo significativo sulla posizione della clientela perché “ha comportato il trasferimento dei rapporti a un diverso titolare del trattamento, con conseguente modifica unilaterale delle condizioni contrattuali e delle modalità operative del conto corrente rispetto a quelle originariamente previste (ad es., attribuzione di un nuovo iban e conseguente necessità di doverlo comunicare a terzi; mancanza di sportelli fisici e accesso esclusivo tramite app)”.

Considera poi “carenti” le comunicazioni trasmesse ai clienti per informarli dell’operazione, inviate soprattutto nel periodo estivo, nella sezione archivio dell’app di Intesa Sanpaolo, senza dare loro la necessaria evidenza che la straordinarietà dell’operazione avrebbe richiesto – attraverso notifiche push o sms.

Il trattamento fatto dalla banca risulta dunque “illecito” per il Garante Privacy anche perché “il cliente non poteva ragionevolmente prevederlo sulla base del contesto e delle informazioni ricevute”. Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto della rilevanza delle violazioni, dell’elevato numero di clienti coinvolti ma anche del carattere colposo delle trasgressioni e della collaborazione prestata dalla banca.

L’operazione Isybank era finita anche nel mirino dell’Autorità Antitrust, che aveva aperto un’istruttoria. Questa si è poi conclusa (siamo nel 2024) con l’accettazione degli impegni presentati da Intesa Sanpaolo e Isybank perché ritenuti capaci di “rimuovere i profili di possibile scorrettezza individuati” nel trasferimento dei conti correnti.