Il Garante Privacy ha inflitto a Intesa Sanpaolo una multa di 17,6 milioni di euro per aver trattato in modo illecito i dati di 2,4 milioni di clienti trasferiti in modo unilaterale alla banca digitale Isybank
Gravi violazioni alla privacy dei clienti costano a Intesa Sanpaolo una maxi multa di 17,6 milioni di euro, irrogata dal Garante privacy. Si chiude con una condanna chiara un’indagine lunga e complessa, avviata a seguito di numerose segnalazioni di correntisti: la banca ha trattato in modo illecito i dati di circa 2,4 milioni di clienti trasferiti, unilateralmente alla controllata al 100% Isybank Spa, banca interamente digitale.
Profilazione illecita dei clienti “digitali”
Per individuare tra i propri clienti quelli da trasferire nella neo-istituita Isybank, Intesa Sanpaolo ha effettuato, senza un’idonea base giuridica, una profilazione della clientela. In particolare, sono stati selezionati i clienti che presentavano determinate caratteristiche, tra cui: età non superiore a 65 anni, utilizzo abituale dei canali digitali nell’ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie inferiori a una certa soglia.
Un’operazione che ha inciso in modo significativo sulla loro posizione, poiché ha comportato il trasferimento dei rapporti a un diverso titolare del trattamento, con conseguente modifica unilaterale delle condizioni contrattuali e delle modalità operative del conto corrente rispetto a quelle originariamente previste (ad es., attribuzione di un nuovo iban e conseguente necessità di doverlo comunicare a terzi; mancanza di sportelli fisici e accesso esclusivo tramite App).
Sono risultate carenti anche le comunicazioni trasmesse ai clienti per informarli di questa operazione, inviate, per lo più, in coincidenza del periodo estivo, nella sezione archivio dell’App di Intesa Sanpaolo, senza dare loro la necessaria evidenza che la straordinarietà dell’operazione avrebbe richiesto (ad es., attraverso notifiche push o sms).
Secondo il Garante, il trattamento effettuato dalla banca con le modalità descritte nel provvedimento risulta illecito, anche perché il cliente non poteva ragionevolmente prevederlo sulla base del contesto e delle informazioni ricevute.
L’Autorità fa sapere che, nel determinare l’importo della sanzione, ha tenuto conto della rilevanza delle violazioni, dell’elevato numero di clienti coinvolti ma anche del carattere colposo delle trasgressioni e della collaborazione prestata dalla banca.
