Poste Italiane Fined €6.6M, Postepay €5.9M for GDPR Violations
Summary
The Italian Data Protection Authority (Garante) issued fines of €6,624,000 to Poste Italiane S.p.A. and €5,877,000 to Postepay S.p.A. for unlawful processing of personal data of millions of users. The investigation, initiated following numerous complaints from April 2024, focused on the BancoPosta and Postepay apps, which required users to authorize monitoring of mobile device data and installed applications as a condition of service use. The Garante found the data collection excessively invasive and not strictly necessary for fraud prevention purposes.
“Il Garante ha tuttavia rilevato che le modalità adottate comportavano un'ingerenza eccessivamente invasiva nella sfera privata degli utenti, in quanto non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi.”
Financial services firms offering mobile applications in Italy should evaluate whether their data collection practices—particularly device-level monitoring, app scanning, and mandatory permission grants—can be justified as strictly necessary for their stated purposes. The Garante's findings on inadequate user disclosures, missing data protection impact assessments, and improper data retention policies represent common compliance gaps across the sector.
What changed
The Garante found that Poste Italiane and Postepay required users of their BancoPosta and Postepay mobile applications to grant authorization for monitoring device data and installed applications as a mandatory condition for accessing services. The stated purpose was detecting malicious software and ensuring payment operation security. The Authority determined the data collection practices were excessively invasive and not strictly necessary for fraud prevention, violating GDPR principles of data minimisation and proportionality.
Financial institutions and app developers operating in Italy should review whether their mobile applications' data collection practices—including device monitoring, app scanning, and required permissions—meet the necessity and proportionality standard under GDPR. The violations found (inadequate user disclosures, missing DPIA, inadequate security measures, improper data retention policies, and irregularities in processor designation) represent common compliance gaps that peer organizations should proactively audit.
What to do next
- Cessare i trattamenti oggetto di contestazione, ove non vi abbiano già provveduto
- Adeguarsi alle prescrizioni in materia di conservazione dei dati, dandone comunicazione al Garante
Penalties
€6,624,000 to Poste Italiane S.p.A.; €5,877,000 to Postepay S.p.A.
Archived snapshot
Apr 20, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
g-docweb-display Portlet
- Home
- Stampa e comunicazione
- Comunicato stampa
- COMUNICATO STAMPA - Il Garante privacy sanziona Poste Italiane e Postepay per oltre 12,5 milioni di euro
COMUNICATO STAMPA - Il Garante privacy sanziona Poste Italiane e Postepay per oltre 12,5 milioni di euro
Ascolta
-
Stampa Stampa
-
Trasforma contenuto in PDF
- e-mail
- facebook
- linkedin
- twitter
Ascolta
Stampa Stampa
Trasforma contenuto in PDF
Condividi
- e-mail
- facebook
- linkedin
- twitter
Il Garante privacy sanziona Poste Italiane e Postepay per oltre 12,5 milioni di euro
Il Garante per la protezione dei dati personali ha irrogato una sanzione di 6.624.000 euro a Poste Italiane S.p.A. e una di 5.877.000 euro a Postepay S.p.A., per aver trattato illecitamente i dati personali di milioni di utenti.
L’istruttoria dell’Autorità – avviata a seguito di numerose segnalazioni e reclami pervenuti a partire da aprile 2024 – ha riguardato, in particolare, le modalità di funzionamento delle app BancoPosta e Postepay. Tali applicazioni prevedevano, quale condizione obbligatoria per l’utilizzo dei servizi, il rilascio da parte degli utenti di un’autorizzazione al monitoraggio di una serie di dati contenuti nei dispositivi mobili, incluse le applicazioni installate e in esecuzione, al fine di individuare eventuali software malevoli. Secondo quanto dichiarato dalle società, tali trattamenti sarebbero stati necessari per garantire la sicurezza delle operazioni e conformarsi alla normativa in materia di servizi di pagamento.
Il Garante ha tuttavia rilevato che le modalità adottate comportavano un’ingerenza eccessivamente invasiva nella sfera privata degli utenti, in quanto non risultavano strettamente necessarie rispetto alle finalità di prevenzione delle frodi.
Nel corso dell’istruttoria sono inoltre emerse diverse violazioni della normativa in materia di protezione dei dati personali, tra cui carenze nell’informativa resa agli utenti, assenza di un’adeguata valutazione di impatto sulla protezione dei dati (DPIA), mancata adozione di misure di sicurezza adeguate e di idonee politiche di conservazione dei dati, nonché irregolarità nella designazione del responsabile del trattamento.
Oltre alle sanzioni, l’Autorità ha ingiunto alle società di cessare i trattamenti oggetto di contestazione, ove non vi abbiano già provveduto, e di adeguarsi alle prescrizioni in materia di conservazione dei dati, dandone comunicazione al Garante.
Roma, 20 aprile 2026
Scheda
Doc-Web
10241568
Data
20/04/26
Argomenti
Banche credito e finanza Contrasto finanziario al crimine App
Tipologie
Documenti citati
Vedi anche (1)
Related changes
Get daily alerts for Garante Privacy News
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from Garante.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when Garante Privacy News publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.