12 Giugno 2026
Garante Privacy, foto Carlo Dani
Sardegna

Intesa Sanpaolo, multa da 17,6 milioni: profilò 2,4 milioni di clienti per trasferirli a Isybank

Martina Cossu

Diciassette milioni e seicentoventottomila euro. È la sanzione che il Garante della Privacy ha inflitto a Intesa Sanpaolo per aver trattato illecitamente i dati di circa 2,4 milioni di clienti, trasferiti unilateralmente alla controllata digitale Isybank senza autorizzazione.

L’indagine era partita dalle segnalazioni di numerosi correntisti. Il provvedimento odierno la chiude, con un bilancio di violazioni che il Garante definisce gravi.

Come funzionava la selezione?

Per decidere quali clienti trasferire alla neonata Isybank, banca interamente digitale, senza sportelli fisici, accessibile solo tramite app, Intesa Sanpaolo ha costruito un sistema di profilazione. I criteri erano precisi: età non superiore a 65 anni, utilizzo abituale dei canali digitali nell’ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie al di sotto di una certa soglia. In altri termini: i clienti meno redditizi, più giovani e già abituati al digitale. Quelli che la banca riteneva più facilmente gestibili attraverso una piattaforma online e meno propensi a fare resistenza.

Il problema, secondo il Garante, è che questa operazione di selezione è stata condotta senza un’idonea base giuridica. I dati dei clienti sono stati usati per profilarli e poi spostarli su un diverso titolare del trattamento, con tutto ciò che ne consegue: nuovo IBAN da comunicare a terzi, addio agli sportelli fisici, condizioni contrattuali modificate unilateralmente rispetto a quelle originariamente sottoscritte.

Le notifiche dell’operazione, spiegano dal Garante, sono state inviate prevalentemente durante il periodo estivo, collocate nella sezione archivio dell’app di Intesa Sanpaolo, senza notifiche push, senza SMS, senza alcuno degli strumenti che la straordinarietà dell’operazione avrebbe richiesto.

Il Garante è stato quindi netto: il cliente “non poteva ragionevolmente prevedere” un’operazione di questa portata sulla base delle informazioni ricevute e del contesto in cui si trovava. Comunicare un trasferimento di rapporti bancari a una società diversa, con cambio di IBAN e modifica delle condizioni contrattuali, attraverso un messaggio sepolto nell’archivio di un’app durante Ferragosto non è informazione: è il contrario dell’informazione.

La multa e i suoi criteri.

Nel quantificare la sanzione, il Garante ha pesato diversi fattori: la rilevanza delle violazioni, il numero elevatissimo di clienti coinvolti, 2,4 milioni, ma anche il carattere colposo e non doloso delle trasgressioni, e la collaborazione offerta dalla banca nel corso dell’istruttoria. Elementi che hanno contribuito a definire una cifra significativa, ma non il massimo della scala sanzionatoria prevista dal GDPR.

foto Carlo Dani

Potrebbe anche interessarti

Banca Centrale Europea, foto mailgk1 da Pixabay

Diritto di accesso, il Garante privacy sanziona una banca per 100mila euro.

Redazione
Telefono, Foto di PublicDomainPictures da Pixabay

Telemarketing, l’Agcom infligge una sanzione da 240.000 a Wis Telecom.

Redazione
App digitale telefono, foto Marius Berthelsen da Pixabay.com

Telemarketing: il Garante Privacy interviene, stop ai consensi “omnibus”.

Francesca Serra