Una sanzione da 17,6 milioni di euro è stata inflitta dal Garante per la protezione dei dati personali a Intesa Sanpaolo per il trattamento illecito dei dati di circa 2,4 milioni di clienti trasferiti alla controllata digitale Isybank. Il provvedimento chiude una complessa indagine avviata dall’Autorità dopo numerose segnalazioni da parte dei correntisti.
Profilazione dei clienti senza base giuridica
Secondo quanto emerso dall’istruttoria, Intesa Sanpaolo avrebbe effettuato una profilazione della propria clientela senza un’adeguata base giuridica per individuare i correntisti da trasferire alla nuova banca digitale del gruppo.
La selezione dei clienti sarebbe avvenuta sulla base di specifici criteri, tra cui età non superiore ai 65 anni, utilizzo abituale dei servizi digitali nell’ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie inferiori a una determinata soglia.
Questa operazione ha inciso in modo significativo sulla posizione dei clienti coinvolti, poiché ha comportato il trasferimento del rapporto bancario a un diverso titolare del trattamento dei dati.
Con Isybank: cambio di IBAN e conto solo digitale
Il passaggio a Isybank ha comportato anche una modifica unilaterale delle condizioni operative del conto corrente rispetto a quelle originarie. Tra gli effetti principali indicati dal Garante figurano l’assegnazione di un nuovo IBAN, con la necessità di comunicarlo a terzi, e il passaggio a un modello di servizio interamente digitale, senza accesso agli sportelli fisici e con gestione del conto esclusivamente tramite app.
Informative ai clienti giudicate insufficienti
Nel corso dell’indagine sono state rilevate criticità anche nelle modalità con cui i clienti sono stati informati del trasferimento. Le comunicazioni, secondo l’Autorità, sarebbero state in molti casi inserite nell’archivio dell’app di Intesa Sanpaolo, spesso durante il periodo estivo, senza adeguati avvisi come notifiche push o messaggi sms che evidenziassero la rilevanza dell’operazione.
Per il Garante, il trattamento dei dati effettuato con queste modalità è risultato illecito, anche perché i clienti non potevano ragionevolmente prevedere un’operazione di questo tipo sulla base delle informazioni ricevute.
Nel determinare l’importo della multa, pari a 17.628.000 euro, l’Autorità ha tenuto conto della gravità delle violazioni e dell’elevato numero di correntisti coinvolti. Allo stesso tempo sono stati considerati il carattere colposo delle violazioni e la collaborazione fornita dalla banca durante l’istruttoria.
