L’Autorità Garante per la protezione dei dati personali, più attiva che mai, comunica con la nota del 12 marzo 2026 di aver comminato una sanzione per violazioni privacy a banca Intesa Sanpaolo, con il provvedimento .n. 10230412.

La multa salata ammonta a 17,628 milioni di euro. La sanzione è per aver trattato illecitamente i dati di circa 2,4 milioni di clienti trasferiti a Isybank, banca interamente digitale, società controllata al 100%. Il trattamento illecito non era legittimato da un’idonea base giuridica.

Ecco cosa è avvenuto nel contesto dell’operazione finanziaria e perché la base giuridica è un problema.

Sanzione privacy milionaria a banca Intesa Sanpaolo: cosa è successo

Il provvedimento in parola spicca non solo per l’elevato importo inflitto, ma anche per le circostanze di fatto e il tenore delle argomentazioni assunte dall’Autorità.

Il caso trae origine da plurime istanze tra cui 5 reclami, 3 segnalazioni presentate direttamente dagli interessati, nonché una segnalazione da parte dell’Unione nazionale Consumatori (Unc), per conto di un centinaio di consumatori.
Tanti interessanti, una sola lamentela: trattamenti illegittimi, se non anche illeciti, dei propri dati personali, effettuati in relazione all’operazione di cessione a favore della controllata al 100%, in assenza del loro esplicito, libero e consapevole consenso, in quanto “unilateralmente deciso dalla banca”.

Ma non solo. Anche le informative non erano chiare specialmente rispetto alla rilevanza dell’operazione societaria posta in essere dalla banca in questione.

Profilazione senza base giuridica: ecco i motivi dell’illiceità del trattamento

Sono gravi le violazioni emerse nel corso dell’istruttoria del Garante.
La più rilevante risiede nella massiccia profilazione della clientela effettuata senza una valida base giuridica che giustificasse la stessa attività di trattamento.

La causa risiede nella necessità che la Banca aveva nell’individuare tra i propri clienti quelli da trasferire nella neo-istituita Isybank (100% controllata da Intesa Sanpaolo).
Come emerge dalla lettura del provvedimento in parola, l’attività di profilazione presuntivamente illecita è consistita nel selezionare i clienti con determinate caratteristiche, tra cui:

• età non superiore a 65 anni;
• utilizzo abituale dei canali digitali nell’ultimo anno;
• assenza di prodotti di investimento;
• disponibilità finanziarie inferiori a una certa soglia.

In pratica, un’attività trattamento non poco incisiva in relazione alla loro posizione di correntisti, comportando “il trasferimento dei rapporti a un diverso titolare del trattamento, con conseguente modifica unilaterale delle condizioni contrattuali e delle modalità operative del conto corrente rispetto a quelle originariamente previste. Per esempio:

• attribuzione di un nuovo Iban;
• e conseguente necessità di doverlo comunicare a terzi;
• mancanza di sportelli fisici e accesso esclusivo tramite app”.

Ma non è tutto, “sono risultate altresì carenti le comunicazioni trasmesse ai clienti per informarli di questa operazione, inviate, per lo più, in coincidenza del periodo estivo, nella sezione archivio dell’app di Intesa Sanpaolo, senza dare loro la necessaria evidenza che la straordinarietà dell’operazione avrebbe richiesto (per esempio, attraverso notifiche push o sms)”.
Da qui nasce l’illiceità del trattamento.

Gli altri elementi nella sanzione privacy a Intesa Sanpaolo

Non meno importanti, anche ai fini del provvedimento in questione, sono stati gli elementi che potremmo definire di contorno. Ci riferiamo all’operazione societaria, intorno a cui si è annidato il difettoso sistema privacy.

Dal provvedimento leggiamo ancora come la base giuridica applicabile allo specifico trattamento della comunicazione dei dati relativi alla clientela in occasione di operazioni societarie fa riferimento normativo all’art.58 del Testo Unico Bancario (TUB).

Esso prevede il trasferimento dalla Banca cedente alla Banca cessionaria “dell’intero compendio di beni, rapporti giuridici attivi e passivi, oltre che dei rapporti contrattuali esistenti costituenti un ramo di azienda”.

Tuttavia, sembra che nelle operazioni societarie di questa tipologia, “la Banca cedente (quale titolare del trattamento) non provveda, di regola, ad acquisire il consenso degli interessati”.

Operazione societaria e legittimo interesse: art. 58 TUB

Riguardo all’operazione societaria di cessione il cui trattamento illecito ha dato origine al provvedimento in commento, come scrive il Garante, evidenzia che “in ragione della peculiare disciplina posta dall’art. 58 TUB, la base giuridica della comunicazione dei dati da ISP a Isybank, è da individuarsi, nel vigente quadro normativo, nell’art. 6,
par. 1, lett. f) del RGPD (legittimo interesse), in linea con quanto già previsto
dall’Autorità nel citato provvedimento del 2007, nel quale il bilanciamento tra gli
interessi contrapposti è stato effettuato da quest’ultima ai sensi dell’art. 24 comma 1 lett.
f) del Codice previgente, ma, si ribadisce, unicamente in relazione alla
comunicazione dei dati dei clienti effettuata dalla banca cedente alla cessionaria”.
Ora, trattandosi di base giuridica ontologicamente debole, per sua natura, se invocata richiede, com’è noto, la predisposizione di una LIA che nel caso di specie non risulta essere stata predisposta.

L’importanza della LIA, strumento previsto dal GDPR

La Legitimate Interest Assessment (LIA) o Valutazione del legittimo interesse è uno strumento previsto dal GDPR che serve a valutare se il trattamento dei dati personali basato, appunto sul legittimo interesse, sia effettivamente lecito.

Essa consiste in un processo strutturato che include l’analisi dell’interesse perseguito dal titolare e la necessità del trattamento, volto al bilanciamento con i diritti e le libertà fondamentali degli interessati.
In altre parole, la LIA richiede che il titolare del trattamento dimostri, per ragioni di accountability, non solo la legittimità dell’interesse, ma anche che il trattamento coinvolto sia “proporzionato” e non comporti rischi eccessivi per gli interessati/utenti/clienti/correntisti, nel caso di specie.
Potremmo definirlo come una sorta di “test di ragionevolezza” che tutela gli individui, assicurando che i loro dati non vengano mai trattati illegittimamente e quindi in modo arbitrario, ma nei limiti in cui sussista un effettivo interesse giuridicamente fondato e rispettoso della data protection.

Nel caso in questione, al riguardo, scrive il Garante “La circostanza che non siano state tenute in debito conto le legittime aspettative degli interessati, trova inoltre evidente conferma anche nel risultato della campagna di contatto, per la cessione del II ramo d’azienda, effettuata, in ottemperanza al provvedimento dell’AGCM, dalla quale è risultato il passaggio da ISP a Isybank –previo esplicito consenso commerciale– di appena 76.000 clienti, a fronte degli originari 2,1 milioni di clienti, individuati da ISP
quali clienti prevalentemente digitali”. Tanto basta.

Sanzione privacy Intesa Sanpaolo: una lezione per tutti

Da questo provvedimento, tutte le Organizzazioni possono trarre, come lezione, che la trasparenza è un valore assoluto e non solo nella materia della protezione dei dati.
Essere conformi al “trasparenza” significa fornire all’interessato tutte le informazioni inerenti al trattamento dei dati personali che lo riguardano, in modo accessibile e comprensibile, nel rispetto di quanto previsto dagli artt. 13 e 14 del GDPR.
Redigere informative chiare e precise costituisce la base di partenza nonché “la principale misura in grado di garantire agli interessati di conoscere l’esistenza di un trattamento di profilazione finalizzato – come nel caso in esame – a individuare la clientela prevalentemente digitale oggetto dell’operazione societaria ed esserne consapevoli”, conclude il Garante.
Deve emergere con nettezza la logica utilizzata dal titolare del trattamento (art. 14, par. 2, lett. g) GDPR).
Né può esistere o ritenersi ragionevole una forma di “silenzio-assenso”, apparendo del tutto impropria e inadeguata, così da giustificare una multa così elevata.

Inoltre, il caso potrebbe comportare conseguenze di altra natura, nell’ambito della tutela del consumatore.