Con provvedimento n. 31566, pubblicato sul Bollettino AGCM n. 22 del 9 giugno 2025, l’Autorità Garante della Concorrenza e del Mercato ha accertato l’illiceità della condotta di Poste Italiane S.p.A. ai sensi degli artt. 20, 24 e 25 del Codice del Consumo, qualificando come pratica commerciale aggressiva la modalità con cui l’azienda ha condizionato l’accesso e l’utilizzo delle App BancoPosta e PostePay alla concessione del consenso per il trattamento dei c.d. “dati di utilizzo” del dispositivo mobile.

Sommario

1.   La condotta sanzionata

2.   L’impianto motivazionale dell’AGCM

2.1.   Qualificazione giuridica della pratica.

2.2.   La pratica come condotta aggressiva ex art. 24 Cod. Consumo

2.3.   La violazione del principio di diligenza professionale ex art. 20 Cod. Consumo 

3.   Misure correttive adottate

4.   Assenza di controprestazione ma sussistenza del nesso economico

5.   Considerazioni conclusive e implicazioni generali

1. La condotta sanzionata

A partire dal mese di aprile 2024, gli utenti delle App BancoPosta e PostePay installate su dispositivi Android hanno ricevuto un messaggio in cui si chiedeva di autorizzare l’App all’accesso ai dati di utilizzo del device, con la motivazione di attivare un nuovo presidio antifrode. In caso di mancato consenso, l’utente poteva accedere all’App un numero limitato di volte (inizialmente tre, poi cinque) prima che l’App venisse completamente bloccata.

La richiesta includeva il permesso di monitorare:

• Le App installate e utilizzate sul dispositivo;
• La frequenza d’uso;
• L’operatore telefonico e altre informazioni di sistema.

Il consenso risultava dunque necessario per la fruizione di un servizio essenziale e riguardava dati eterogenei, non pienamente definiti, né limitati alle sole esigenze antifrode.

2. L’impianto motivazionale dell’AGCM

2.1.   Qualificazione giuridica della pratica

L’AGCM ha ritenuto che la condotta di Poste Italiane configurasse una pratica commerciale scorretta, ai sensi degli artt. 20, 24 e 25 del Codice del Consumo, per le seguenti ragioni:

• È stata posta in essere nell’ambito di un rapporto di consumo, trattandosi di modalità con cui un professionista (Poste Italiane) ha disciplinato l’accesso a servizi di pagamento digitali tramite App, offerti a consumatori persone fisiche.
• La pratica si è concretizzata nella subordinazione dell’accesso a tali servizi al conferimento di un consenso non necessario, richiesto in maniera imperativa e, nella sostanza, coattiva.

Tale condotta, secondo l’Autorità, lede la libertà di autodeterminazione del consumatore, interferendo con le sue scelte economiche e digitali, attraverso una pressione indebita.

2.2.   La pratica come condotta aggressiva ex art. 24 Cod. Consumo

L’aggressività della pratica è stata ravvisata nella coercizione esercitata attraverso la tecnica del blocco dell’App, che impediva l’accesso al servizio se non veniva rilasciata una specifica autorizzazione al trattamento dati. Questo comportamento:

• ha indotto il consumatore ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso, ossia il rilascio del consenso alla raccolta dei “dati di utilizzo” del proprio smartphone;
• si è rivelato non proporzionato rispetto alle finalità dichiarate, dal momento che il sistema antifrode poteva essere implementato anche con modalità meno invasive e rispettose della libertà contrattuale.

Poste Italiane, nelle proprie difese, ha invocato la Direttiva PSD2 (2015/2366/UE) e il Regolamento UE 2018/389 (RTS), sostenendo che l’adozione del presidio antifrode era conforme agli obblighi normativi, e che i dati acquisiti erano:

• Anonimizzati mediante hash (MD5);
• Raccolti esclusivamente per finalità di sicurezza;
• Segregati logicamente e fisicamente da quelli usati per finalità commerciali.

Tuttavia, l’Autorità ha ritenuto irrilevante l’asserita anonimizzazione, posto che l’obbligatorietà del consenso e la mancanza di alternative costituiscono comunque una coartazione della volontà dell’utente, indipendentemente dalla finalità dichiarata.

L’AGCM ha evidenziato che il blocco delle App in caso di mancato consenso non aveva basi sufficientemente giustificate né nella normativa PSD2, né in esigenze tecniche inderogabili, tanto più che gli stessi servizi erano fruibili tramite altri canali non soggetti alla medesima richiesta.

2.3.   La violazione del principio di diligenza professionale ex art. 20 Cod. Consumo

L’Autorità ha qualificato la condotta anche come contraria alla diligenza professionale, contestando a Poste Italiane di non aver agito secondo i canoni di correttezza e buona fede professionale, nella gestione del rapporto con la clientela.

La raccolta dei dati, pur motivata da finalità di sicurezza, è stata:

• Attuata in modo non trasparente: l’informativa era vaga, incompleta e tecnicamente poco accessibile all’utente medio;
• Mal comunicata: i messaggi di alert erano formulati con tono imperativo e privo di reali alternative (“attiva subito”);
• Limitativa della libertà negoziale: non esisteva una reale facoltà di rifiuto senza pregiudizio per l’utente.

Secondo l’AGCM, è proprio il deficit di trasparenza e proporzionalità che ha trasformato una potenziale misura lecita in una condotta distorsiva del comportamento del consumatore, in quanto incompatibile con il principio del consenso “libero, informato e specifico”.

3. Misure correttive adottate

Solo nel febbraio 2025 Poste Italiane ha modificato la propria policy, consentendo:

• La revoca del consenso senza perdita di funzionalità;
• La possibilità di ignorare definitivamente l’avviso (con “Non mostrare più”);
• La fruizione dell’App senza imposizioni.

L’Autorità prende atto delle modifiche introdotte da Poste Italiane nel febbraio 2025 (eliminazione del blocco, possibilità di revoca del consenso, adeguamento dell’informativa), ma le considera tardive, in quanto:

• Sono state adottate solo dopo l’apertura del procedimento e la contestazione degli addebiti;
• Non hanno avuto effetto ripristinatorio rispetto al periodo in cui la pratica era attiva e produceva effetti negativi per i consumatori;
• Non eliminano ex post la portata lesiva della condotta, che ha riguardato milioni di utenti (oltre 10 milioni le App coinvolte, di cui centinaia di migliaia bloccate).

4. Assenza di controprestazione ma sussistenza del nesso economico

Poste Italiane ha sostenuto che il trattamento dei dati non avesse finalità commerciali, essendo esclusivamente finalizzato alla sicurezza, e quindi che non vi fosse alcuna “controprestazione” tale da attivare la disciplina consumeristica.

L’AGCM respinge questa tesi, affermando che:

• Anche in assenza di uno scopo economico diretto, il trattamento dei dati personali può integrare una forma di valore per il professionista, in quanto consente di ottimizzare l’erogazione del servizio;
• Il semplice fatto che il consenso sia imposto come condizione per accedere a un servizio è sufficiente a integrare una pressione commerciale indebita, con effetto distorsivo della libertà contrattuale.

5. Considerazioni conclusive e implicazioni generali

Il provvedimento dell’AGCM ha un rilievo sistemico e segna un punto fermo: l’imposizione di autorizzazioni al trattamento dati come condizione di accesso a servizi digitali costituisce una pratica commerciale e, se attuata in modo coercitivo o poco trasparente, può risultare illecita anche in assenza di finalità economiche o promozionali dirette.

Chiunque operi nel settore dei servizi digitali, in particolare quelli bancari e fintech, dovrà:

• Garantire la libertà effettiva del consenso;
• Separare le finalità tecniche da quelle di profilazione o marketing;
• Evitare ogni forma di “ricatto digitale” (cd. privacy blackmail) in cui l’utente è costretto a cedere i propri dati per accedere a servizi essenziali.

Il messaggio dell’AGCM è chiaro: la sicurezza non può diventare una scusa per violare i diritti fondamentali dei consumatori. E nemmeno per aggirare i limiti imposti dalla normativa privacy, dal GDPR in giù.