L´Autorità Garante per la protezione dei dati personali ha irrogato una sanzione di 17.628.000 euro nei confronti di Intesa Sanpaolo per il trattamento illecito dei dati personali di circa 2,4 milioni di clienti, trasferiti unilateralmente alla controllata Isybank, interamente partecipata dal gruppo bancario.

Per individuare i clienti da trasferire alla nuova banca digitale, Intesa Sanpaolo ha effettuato una profilazione della clientela priva di un´idonea base giuridica. In particolare, sono stati selezionati i correntisti che presentavano determinate caratteristiche, tra cui: età non superiore a 65 anni, utilizzo abituale dei canali digitali nell´ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie inferiori a una certa soglia.

Tale operazione ha inciso in modo rilevante sulla posizione dei clienti coinvolti, poiché ha comportato il trasferimento dei rapporti bancari a un diverso titolare del trattamento e una modifica unilaterale delle condizioni contrattuali e operative del conto corrente rispetto a quelle originariamente previste. Tra le conseguenze vi sono state, ad esempio, l´assegnazione di un nuovo IBAN, con la necessità di comunicarlo a terzi, e il passaggio a un modello di banca esclusivamente digitale, privo di sportelli fisici e accessibile soltanto tramite app.

Il Garante ha inoltre rilevato carenze nelle modalità di informazione ai clienti. Le comunicazioni relative al trasferimento sono state infatti inviate prevalentemente durante il periodo estivo e inserite nella sezione archivio dell´app di Intesa Sanpaolo, senza essere accompagnate da strumenti di notifica più evidenti, come notifiche push o SMS, che avrebbero reso adeguatamente percepibile la straordinarietà dell´operazione.

Secondo l´Autorità, il trattamento dei dati effettuato dalla banca risulta illecito, anche perché i clienti non potevano ragionevolmente prevedere tale operazione sulla base del contesto e delle informazioni ricevute.

Nel determinare l´entità della sanzione, il Garante ha considerato la gravità delle violazioni e l´elevato numero di persone coinvolte, ma anche il carattere colposo delle condotte e la collaborazione fornita dalla banca nel corso dell´istruttoria.

Il provvedimento conclude un´indagine complessa, avviata a seguito delle numerose segnalazioni presentate dai correntisti.