Il panorama normativo europeo dei pagamenti digitali sta attraversando un’epoca di tensione, caratterizzata dalla transizione dalla Direttiva (UE) 2015/2366 (PSD2) verso PSD3 e il Payment Services Regulation (PSR). Questa evoluzione è motivata dalla necessità di affrontare le trasformazioni tecnologiche portate dalle BigTech, mantenendo un equilibrio con la privacy dei cittadini.
Un significativo provvedimento del Garante per la Protezione dei Dati Personali riguardante Poste Italiane, emesso il 17 aprile 2026, evidenzia tale frizione.
Cosa prevede il provvedimento del 17 aprile del Garante contro Poste Italiane
Tra aprile e maggio 2024, il Garante ha ricevuto oltre 140 segnalazioni da utenti riguardo l’obbligo di fornire autorizzazioni per “rilevare la presenza di eventuali software dannosi”. In caso contrario, dopo tre accessi, l’operatività dell’app sarebbe stata inibita. Questa autorizzazione permetteva l’accesso a un ampio insieme di “dati di utilizzo” del dispositivo attraverso una libreria di terze parti.
Poste Italiane ha sostenuto che tale monitoraggio fosse un obbligo legale previsto dalla direttiva PSD2. Tuttavia, il Garante ha rigettato tale giustificazione, identificando diverse violazioni, tra cui:
- Raccolta illecita di dati senza consenso (art. 122 del Codice Privacy).
- Mancanza di base giuridica valida (Art. 6 GDPR).
- Informativa inadeguata (Artt. 5 e 13 GDPR).
- Mancanza di Valutazione d’Impatto e assenza di Privacy by Design (Artt. 25 e 35 GDPR).
- Conservazione eccessiva dei dati (Art. 5 GDPR).
Il Garante ha inflitto sanzioni amministrative di circa 12,5 milioni di euro e ha imposto l’interruzione immediata della raccolta dei dati.
Un’altra lettura del provvedimento contro Poste: le possibili intenzioni del Garante
Il provvedimento rappresenta un equilibrio delicato tra la protezione della privacy e la necessità di prevenire frodi. Il Garante ha chiarito che misure di sicurezza non devono comportare una raccolta di dati più ampia del necessario.
Cosa dice la normativa bancaria e Banca d’Italia
Poste ha sostenuto che la normativa PSD2 impone di monitorare le transazioni, ma il Garante ha chiarito che tale normativa non autorizza trattamenti invasivi. Esiste quindi una divergenza tra il Garante della Privacy e Banca d’Italia riguardo la coerenza del sistema di Poste con le normative antipirateria.
Tecnologie RASP e sicurezza applicativa
Il RASP (Runtime Application Self-Protection) è una tecnologia di sicurezza che integra protezioni direttamente nel codice dell’applicazione. Essa consente di monitorare e bloccare minacce in tempo reale, senza necessità di raccogliere dati massivamente.
Quando la guerra tra privacy e sicurezza antifrode diventa opportunità
Il contrasto tra autorità di vigilanza bancaria e Garante rappresenta una necessità di coordinamento tra le normative. Il futuro della sicurezza nei pagamenti digitali dovrebbe integrare soluzioni tecnologiche avanzate, garantendo la protezione dei diritti individuali.
__________
Puoi leggere la fonte originale dell’articolo qui
