Quanti dati hai concesso alle sue app senza rendersene del tutto conto?
Quanti data concedi ogni giorno senza pensarci troppo? È questa la domanda che emerge con forza dal caso delle app di Poste Italiane, ancora in corso ma già denso di conseguenze per milioni di persone. L’attenzione è puntata su how vengono raccolti e usati i personal information attraverso applicazioni ormai essenziali, come BancoPosta e Postepay, che milioni di italiani usano per pagamenti, bonifici e gestione del denaro dallo smartphone. Dietro l’interfaccia semplice si nascondono meccanismi complessi, e non sempre trasparenti.
A sollevare il caso è stato il Garante per la protezione dei dati personali (GPDP), che ha giudicato excessive la quantità e il tipo di information raccolte rispetto agli scopi dichiarati. Il punto centrale non è se le app debbano monitorare gli utenti — anzi, per motivi di sicurezza questo è previsto e necessario — ma fino a che punto. Secondo il general regulation sulla protezione dei dati, ogni raccolta deve essere pertinente, necessaria e proporzionata. E qui le app di Poste sembrano aver superato il limite.
In particolare, oltre ai dati inseriti direttamente dagli utenti — come nome, indirizzo e credenziali — e ai usage patterns registrati durante le sessioni, le applicazioni raccoglievano anche informazioni tecniche dettagliate sul dispositivo: indirizzo IP, sistema operativo, identificativi univoci e configurazioni. Ancora più delicato è il rilevamento di digital environment , ovvero segnali che permettono di ricostruire il contesto operativo dello smartphone. Tecnologie di questo tipo possono aiutare a prevenire frodi, ma il Garante ha ritenuto che non tutte fossero giustificate da una reale necessità di sicurezza.
La mancanza di transparency ha aggravato la situazione: le informative risultavano poco chiare e le valutazioni preventive sui rischi inadeguate. Di conseguenza, il Garante ha inflitto una sanzione di 6.624.000 euro a Poste Italiane S.p.A. e 5.877.000 euro a PostePay S.p.A., per un totale di oltre 12,5 milioni. Una financial impact pesante, ma anche un segnale forte sul valore della privacy.
Poste Italiane e Postepay hanno replicato sostenendo di aver operato per garantire la sicurezza degli utenti e nel rispetto delle normative, annunciando ricorso. Il caso, però, va oltre l’azienda: solleva un dibattito più ampio su dove finisce la protezione e inizia l’invasion . L’uso quotidiano delle app ci porta ad accettare condizioni senza leggerle, spesso perché non ne comprendiamo appieno le implicazioni. E quando il confine tra necessità e abuso non è chiaro, la vera consapevolezza diventa la vera sfida per tutti.
Ogni volta che aggiorno un’app mi chiedo: ma perché devo dare accesso ai miei contacts contatti per un gioco di puzzle?
La sicurezza è importante, ma non può diventare una scusa per raccogliere tutto. Questo è eccesso di potere, non protezione.
Notizia importante, ma chissà se cambierà davvero qualcosa. Le aziende pagano la fine sanzione e poi continuano come prima?
Io ho disinstallato Postepay dopo aver letto dell’indagine. Non mi fido più di chi gestisce i miei financial data dati finanziari in modo così aggressivo.
Il problema è che la maggior parte della gente non legge nemmeno le permissions autorizzazioni. Firma e basta. Poi si stupisce.
Il Garante ha fatto bene. Questo tipo di data collection raccolta dati deve avere un freno, altrimenti diventa normale sorvegliare tutto.
Ma se la raccolta serve davvero a prevenire frodi, come si fa a bilanciare rischio e privacy? Non è un problema semplice.