Il caso esploso tra la fine del 2023 e l’inizio del 2024 che ha avuto come protagonista Isybank, la banca digitale del gruppo Intesa Sanpaolo, è riemerso recentemente. Dopo lunghi accertamenti e numerose segnalazioni, il Garante della privacy ha sanzionato la banca per 17,6 milioni di euro.

Perché il Garante ha sanzionato Intesa Sanpaolo?

L’autorità amministrativa responsabile anche della dignità delle persone fisiche nel trattamento dei dati personali ha preso in carico quanto accaduto con Isybank. Il Garante, infatti, ha stabilito che la banca ha trattato in modo illecito i dati di circa 2,4 milioni di clienti. Tra il 2023 e il 2024 il gruppo Intesa Sanpaolo ha attuato il trasferimento automatico dei loro conti alla banca digitale. Secondo le indagini svolte dal Garante, la banca ha delineato la clientela «senza un’idonea base giuridica». Infatti, per il passaggio erano stati individuati clienti con meno di 65 anni, abituali fruitori di strumenti digitali e con disponibilità finanziarie ridotte.

Uno dei motivi principali segnalati è che Intesa Sanpaolo non ha provveduto a informare adeguatamente i clienti coinvolti. Inoltre, il Garante ha poi evidenziato che il passaggio automatico dei conti è avvenuto attraverso una modifica unilaterale del contratto rispetto a quello previsto in origine. La sanzione di 17,6 milioni di euro stabilita dall’autorità è frutto di una valutazione che comprende non solo il numero di individui coinvolti, ma anche la gravità dei fatti contestati.

Per Intesa Sanpaolo non è la prima volta

I provvedimenti adottati dal Garante della privacy arrivano soltanto nel 2026, ma il caso è stato preso in carico già allo scoppio della polemica. Nel 2023, infatti, l’Autorità Garante della Concorrenza e del Mercato (AGCM) ha aperto un procedimento per analizzare le modalità poco chiare di Intesa Sanpaolo. A seguito di una valutazione iniziale nel giugno seguente ha ritenuto opportuno chiudere l’indagine senza prendere provvedimenti. La decisione dell’AGCM è stata motivata dall’adozione delle due banche di misure ritenute soddisfacenti per migliorare la comunicazione. Tuttavia, un riscontro positivo iniziale non è stato sufficiente per privare la banca di una sanzione consistente.

Stefania Cirillo