La sanzione del Garante privacy italiano a Intesa Sanpaolo censura un modello di potere fondato su profilazione, scarsa trasparenza e compressione delle aspettative degli interessati.
Con il provvedimento del 12 marzo 2026 l’Autorità ha sanzionato Intesa Sanpaolo con una multa di 17,628 milioni di euro. L’Autorità ha infatti ritenuto illecito il trattamento effettuato dalla banca nell’ambito del trasferimento di circa 2,4 milioni di clienti verso Isybank (banca digitale del Gruppo Intesa) nell’ambito di una più ampia riorganizzazione del modello di servizio bancario.
Indice degli argomenti
Cos’è successo
Nel corso dell’istruttoria, avviata a seguito di numerosi reclami di clienti e segnalazioni di associazioni dei consumatori, l’Autorità ha accertato che la banca aveva preliminarmente individuato i clienti da trasferire attraverso un’attività di analisi e selezione basata su diversi criteri, tra cui età, modalità di utilizzo dei servizi bancari, familiarità con i canali digitali, tipologia di prodotti detenuti e livello delle giacenze.
Secondo il Garante, tale attività integra una profilazione ai sensi del GDPR e costituisce un trattamento autonomo rispetto alla successiva comunicazione dei dati nell’ambito dell’operazione societaria.
L’Autorità, considerando l’assenza di un’idonea base giuridica per le operazioni di profilazione (per la selezione dei clienti “prevalentemente digitali” destinati al trasferimento) e di un’informativa chiara e trasparente nei confronti degli interessati, ha dichiarato illecito il trattamento per violazione degli articoli 5, 6 e 14 del GDPR (dunque liceità, trasparenza, base giuridica e obblighi informativi) e irrogato l’ingente sanzione.
Si tratta di un provvedimento che segna un passaggio rilevante nel rapporto tra protezione dei dati, servizi bancari e trasformazione digitale.
La sanzione del Garante a Intesa Sanpaolo oltre il dato economico
Ridurre questa decisione al dato monetario sarebbe un errore. La cifra è alta e certamente rilevante, ma il punto vero è un altro: il Garante costruisce una censura ordinata, analitica, punto per punto, di un modo di concepire il rapporto con la clientela bancaria in cui l’innovazione organizzativa viene assunta come fatto interno all’impresa, quasi autosufficiente, e i diritti degli interessati vengono trattati come variabile di adattamento.
Il provvedimento dice invece con chiarezza che la riorganizzazione societaria non sterilizza il GDPR, e che l’efficienza industriale non consente di aggirare i principi di prevedibilità, correttezza e autodeterminazione informativa.
La decisione del Garante si inserisce inoltre in una vicenda già attenzionata dall’AGCM, che nel 2023 aveva imposto misure cautelari e che nel 2024 aveva chiuso il procedimento consumer accettando impegni idonei a rimuovere i profili di scorrettezza commerciale. Proprio questo doppio binario rende ancora più interessante la lettura: il piano consumer e quello data protection pur non coincidendo, qui si rafforzano a vicenda.
Che cosa contesta il Garante privacy a Intesa Sanpaolo
Nel ricostruire i fatti, l’Autorità distingue con precisione tra due operazioni che Intesa ha invece cercato di tenere “fuse” tra loro e cioè la comunicazione dei dati nel quadro del conferimento del ramo d’azienda e l’attività di individuazione dei clienti da trasferire, sulla base di una serie di criteri relativi a età, comportamento digitale, giacenze, prodotti detenuti e altre caratteristiche personali.
È proprio su questo secondo segmento che il Garante concentra il suo rilievo più netto, ridefinendo l’individuazione della clientela coinvolta dall’operazione in una vera e propria valutazione e selezione di persone fisiche (e non generica organizzazione della clientela, come sostenuto da Intesa), effettuata tramite estrazioni dai sistemi gestionali su parametri predeterminati, finalizzata a incidere concretamente sulla loro posizione contrattuale.
In altri termini: prima ancora del trasferimento, vi è stato un trattamento che ha analizzato e classificato i clienti in base al loro profilo, cioè alle loro caratteristiche personali. E questo trattamento è profilazione, anche ai sensi delle Guidelines 1/2024 EDPB sul processo decisionale automatizzato e sulla profilazione.
L’errore di fondo tra profilazione e marketing
Qui emerge la prima e più vistosa carenza giuridica della difesa di Intesa Sanpaolo.
La banca ha sostenuto, in sostanza, che non vi fosse profilazione perché mancava una finalità di marketing o di promozione commerciale. Una tesi fragile che il provvedimento smonta in modo lineare.
Il GDPR, all’articolo 4, paragrafo 4, non definisce infatti la profilazione in funzione del marketing, bensì in funzione della valutazione automatizzata di aspetti personali di una persona fisica. Il marketing è una delle applicazioni più note, non certo l’unica né quella necessaria. Del resto, anche le già citate Linee guida europee chiariscono che la nozione non si esaurisce nelle campagne commerciali e che, invero, copre qualsiasi uso automatizzato dei dati per analizzare o prevedere elementi concernenti comportamento, preferenze, situazione economica, affidabilità e simili.
È questo il punto che le argomentazioni di Intesa, riportate nel provvedimento, sembrano non voler vedere: la banca non stava semplicemente spostando un portafoglio indistinto di rapporti, come può avvenire in una cessione “in blocco” tradizionale. Stava invece selezionando i clienti sulla base di indicatori soggettivi e comportamentali, tra cui la familiarità con i canali digitali e la consistenza patrimoniale.
La qualificazione giuridica non cambia se l’obiettivo finale non è quello di vendere un prodotto ma di trasferire il cliente a un diverso modello di banca, poiché la profilazione resta profilazione anche quando serve a decidere chi debba essere instradato verso un assetto contrattuale diverso.
Il trattamento automatizzato nella sanzione Garante Intesa Sanpaolo
La seconda debolezza delle argomentazioni di Intesa è altrettanto seria.
Intesa, nelle sue argomentazioni, ha insistito sul fatto che l’intervento umano nella definizione dei criteri e nei gruppi di lavoro escludesse la natura automatizzata del trattamento, o comunque impedisse di parlare di profilazione o di processo decisionale automatizzato, lasciando trasparire una certa confusione tra piani in realtà ben distinti tra loro.
L’intervento umano nella progettazione dei criteri non elimina il fatto che, una volta stabiliti quei criteri, la selezione dei clienti sia stata effettuata mediante estrazioni dai sistemi su larga scala.
In un trattamento che coinvolge circa 2,4 milioni di persone, non è credibile sostenere che l’automazione venga meno perché monte e governance del processo sono stati presidiati da gruppi di lavoro. E il Garante coglie bene questo punto: non è sufficiente asserire “c’erano esseri umani nel processo” per svuotare la dimensione automatizzata della fase applicativa. I dati personali sono stati infatti, senza dubbio, utilizzati con strumenti automatizzati per valutare aspetti personali e selezionare i clienti.
Anche qui, Intesa sembra sovrapporre in modo improprio l’articolo 22 GDPR e la nozione generale di profilazione. L’articolo 22 riguarda la decisione basata unicamente su trattamento automatizzato che produca effetti giuridici o analogamente significativi. Tuttavia, la profilazione, come categoria più ampia, non coincide né si esaurisce con il solo art. 22. Sostenere che, poiché non vi sarebbe stato un processo decisionale automatizzato “puro”, allora non vi sarebbe nemmeno profilazione, significa appiattire due concetti diversi. Questo tipo di difesa rivela una comprensione quantomeno “incompleta” dell’architettura del GDPR.
Perché l’art. 58 TUB non copriva la profilazione
Un altro passaggio importante del provvedimento è la distinzione tra ciò che l’articolo 58 TUB può giustificare e ciò che invece non può coprire.
Il Garante, in continuità con l’impostazione già tracciata nelle linee guida bancarie del 2007, conferma che la comunicazione dei dati nel contesto di una cessione o conferimento di ramo d’azienda possa poggiare, in linea di principio, sul legittimo interesse. Si premura però di chiarire che quella base giuridica riguarda la comunicazione dei dati tra cedente e cessionario e non la profilazione preventiva della clientela.
Intesa ha provato infatti a presentare l’intera sequenza come un trattamento unitario, inscindibile, in cui la perimetrazione dei clienti sarebbe stata soltanto una fase interna e necessaria del trasferimento; il Garante, al contrario, separa logicamente e giuridicamente i due passaggi chiarendo che prima si colloca la scelta su chi debba essere trasferito (fondata su dati personali e criteri valutativi) e, solo successivamente, si procede alla comunicazione dei dati nel quadro della cessione.
Una distinzione decisiva (e corretta sul piano logico, oltre che giuridico) poiché impedisce di “assorbire” nel regime dell’operazione societaria un trattamento ulteriore, più invasivo e qualitativamente diverso.
Il legittimo interesse evocato ma non provato
Il provvedimento è poi particolarmente severo sul punto del legittimo interesse, ed è difficile dargli torto. Le Linee Guida 1/2024 dell’EDPB ribadiscono che l’articolo 6, paragrafo 1, lettera f), non deve intendersi come un contenitore residuale da attivare per comodità: richiede tre condizioni cumulative, cioè esistenza di un interesse legittimo, necessità del trattamento e bilanciamento favorevole rispetto a diritti, libertà e ragionevoli aspettative degli interessati.
Secondo il Garante, Intesa non ha dimostrato né la necessità del trattamento nei termini richiesti, né una ponderazione reale degli interessi in gioco. Il Legitimate Interest Assessment (LIA) prodotto dalla banca viene letto dall’Autorità per quello che appare, e cioè una formula “tautologica”, assertiva e priva di reale sostanza argomentativa.
Il richiamo alla sentenza della Corte di giustizia nel caso Meta/Bundeskartellamt è particolarmente pertinente, dal momento che la Corte ha ribadito che il bilanciamento non può essere astratto o stereotipato, ma deve tener conto delle circostanze concrete, della portata del trattamento e delle ragionevoli aspettative dell’interessato.
Ed è proprio sul terreno delle aspettative ragionevoli che la posizione di Intesa appare quasi smentita dai fatti.
Se migliaia di reclami arrivano alle Autorità, se l’AGCM interviene in cautelare, se il dissenso dei clienti emerge in modo tanto marcato, allora sostenere che il trattamento potesse rientrare naturalmente e ragionevolmente nelle loro aspettative è davvero difficilmente sostenibile.
Ancora più eloquente il dato richiamato dal Garante, il quale constata che dopo gli interventi dell’AGCM e la richiesta di consenso espresso, il numero dei clienti effettivamente transitati è stato drasticamente inferiore rispetto alla platea originaria individuata come “prevalentemente digitale”. Questo è il segno più chiaro del fatto che l’aspettativa del cliente non coincideva affatto con quella costruita ex ante dalla banca.
Quando il LIA avrebbe dovuto fermare il trattamento
Inoltre, proprio applicando correttamente i tre passaggi richiesti dall’art. 6, par. 1, lett. f) GDPR (legittimità dell’interesse perseguito, necessità del trattamento e bilanciamento con i diritti e le libertà degli interessati) il risultato difficilmente avrebbe potuto essere favorevole alla banca.
Anche volendo ammettere l’esistenza di un interesse imprenditoriale alla riorganizzazione e alla migrazione verso un modello digitale, restava infatti del tutto controversa la necessità di profilare i clienti sulla base di età, abitudini d’uso, consistenza patrimoniale e caratteristiche soggettive per realizzare l’operazione.
Decisivo era poi il terzo passaggio: l’impatto del trattamento era elevato, gli effetti erano concreti e incisivi sulla posizione contrattuale degli interessati, le loro ragionevoli aspettative risultavano palesemente smentite dai fatti, e la trasparenza adottata era insufficiente proprio rispetto alla rilevanza della decisione assunta.
In altre parole, un LIA condotto correttamente avrebbe dovuto andare oltre il solo interesse della banca e rendere il bilanciamento insostenibile, riconoscendo che, in quel contesto, i diritti degli utenti prevalevano. Dunque, non avrebbe dovuto portare alla convalida del trattamento, bensì alla conclusione opposta, e cioè che il legittimo interesse non era una base giuridica adeguata per quella profilazione.
La sanzione Garante Intesa Sanpaolo e la trasparenza mancata
L’altro pilastro della decisione riguarda la trasparenza. Anche qui il provvedimento è convincente perché va oltre la censura del testo dell’informativa, per valutare il complessivo contesto comunicativo.
L’informativa certamente non spiegava in modo adeguato l’esistenza della profilazione connessa all’operazione societaria, né la logica utilizzata, né le conseguenze previste per gli interessati. Ma ciò che il Garante stigmatizza è che il messaggio è stato veicolato con modalità inadeguate rispetto alla rilevanza della decisione, ovverosia mediante messa a disposizione nell’archivio dell’home banking o dell’app, senza adeguata evidenza, in periodo estivo, con un meccanismo sostanzialmente vicino al silenzio-assenso.
Queste criticità erano peraltro già emerse anche nel procedimento AGCM, che aveva parlato di comunicazioni ambigue e diffuse con modalità non coerenti con l’importanza della questione trattata.
In termini giuridici, il passaggio è molto importante, perché si ribadisce che la trasparenza, lungi dall’essere un adempimento “cosmetico” o il mero deposito di un testo in un cassetto digitale, è condizione di effettività dei diritti.
Se una comunicazione decisiva per il destino del rapporto bancario viene mimetizzata tra le notifiche ordinarie, l’interessato non è realmente messo in grado di capire, reagire, opporsi. Inoltre, quando il destinatario è il cliente bancario, cioè la parte strutturalmente più debole del rapporto, la superficialità informativa diventa un fattore di lesione, non solo di disordine procedurale.
Un impianto giuridico solido e difficile da aggirare
Un provvedimento tecnicamente solido e difficilmente aggirabile
Per questa ragione il provvedimento può essere definito, senza enfasi, giuridicamente molto solido. Pur non essendo intoccabile in astratto, sviluppa comunque una motivazione metodica, distingue i piani, isola i trattamenti, individua la base giuridica corretta per ciascuno, verifica la tenuta del legittimo interesse alla luce delle linee guida europee e della giurisprudenza della Corte, e collega infine la carenza di informativa alle concrete modalità con cui la banca ha operato.
È, in altre parole, una decisione costruita con ordine e con una notevole tenuta logico-giuridica.
Ed è proprio questo ordine a renderla importante perché è una presa di posizione istituzionale (e non una reazione simbolica) che mette un limite a una tendenza assai diffusa, cioè quella di leggere i dati dei clienti come patrimonio organizzativo sempre pienamente disponibile, da riarticolare secondo esigenze industriali, salvo poi “informare” l’interessato a posteriori e in modo lateralizzato.
Una decisione che riguarda tutto il settore bancario
Una decisione che parla a tutto il settore bancario
Per questo, il provvedimento nei confronti di Intesa-Isybank riguarda tutto il comparto bancario e, più in generale, ogni organizzazione che pretenda di usare segmentazione, scoring, classificazioni comportamentali e migrazioni di clientela come semplici strumenti di business senza misurarsi davvero con il GDPR.
Il messaggio del Garante è netto: quando il trattamento seleziona persone sulla base di caratteristiche personali e produce conseguenze concrete sul rapporto, non basta invocare la razionalizzazione aziendale. Serve una base giuridica corretta, serve una valutazione seria dell’impatto sui diritti, serve una trasparenza che sia effettiva e non apparente.
La lezione giuridica e democratica del caso Isybank
C’è, infine, un ultimo profilo.
Questo provvedimento può essere letto come esemplare, ma non nel senso consolatorio del precedente da manuale. È piuttosto esemplare perché censura l’atteggiamento di chi, forte della propria posizione contrattuale e infrastrutturale, presume di poter decidere unilateralmente il perimetro dei diritti concretamente esercitabili dal cliente e, in questo senso, la decisione parla anche del disequilibrio di potere nei contratti bancari. Da una parte c’è un intermediario enorme, organizzato, tecnicamente sofisticato; dall’altra milioni di utenti che spesso scoprono il cambiamento quando è già stato confezionato, classificato e comunicato (male).
Per questo, il merito di questo provvedimento va sì all’Autorità, ma anche agli interessati e alle associazioni che hanno portato il caso davanti al Garante e all’AGCM. Senza quelle segnalazioni, senza quei reclami, la sproporzione di potere sarebbe rimasta tale anche in questo frangente.
Il provvedimento del 12 marzo 2026, in definitiva, ci ricorda che la digitalizzazione non sospende i diritti, e che una banca non può trasformare il cliente in una categoria comportamentale da riallocare senza dirglielo davvero, senza chiedergli ciò che va chiesto, senza misurare fino in fondo l’impatto delle proprie scelte.
In tempi di trasformazioni accelerate e relazioni contrattuali sempre più asimmetriche, tutto ciò non era affatto scontato.
