Clienti profilati e trasferiti a Isybank: ecco perché il Garante ha multato Intesa Sanpaolo per 17,6 milioni

Che cosa succede quando l’innovazione corre più della trasparenza? Per Intesa Sanpaolo il conto è salato: 17.628.000 euro di sanzione inflitti dal Garante privacy per il trattamento illecito dei dati di circa 2,4 milioni di clienti, trasferiti unilateralmente alla controllata al 100% Isybank Spa, banca interamente digitale. Una vicenda che accende un faro su come si coniugano trasformazione tecnologica, diritti degli utenti e correttezza informativa.

Che cosa è successo
Il Garante per la protezione dei dati personali - spiega una nota diffusa dalla stessa Authority - ha chiuso "un’indagine complessa avviata dopo numerose segnalazioni di correntisti". Nel mirino, l’operazione con cui mesi fa Intesa Sanpaolo ha selezionato e spostato una vasta platea di clienti verso Isybank, modificando unilateralmente alcune condizioni e modalità operative dei conti correnti.

La profilazione
Secondo l’Autorità, la banca ha effettuato una profilazione della clientela “senza un’idonea base giuridica” per individuare chi trasferire nella neo-istituita Isybank. I criteri applicati includevano una età non superiore a 65 anni; l'utilizzo abituale dei canali digitali nell’ultimo anno; assenza di prodotti di investimento; disponibilità finanziarie inferiori a una determinata soglia.

Una selezione, viene spiegato, che incideva in modo significativo sulla posizione dei clienti, perché comportava il passaggio a un diverso titolare del trattamento e una modifica unilaterale del rapporto.

Che cosa cambiava per i correntisti
Il trasferimento ha prodotto effetti concreti: attribuzione di un nuovo iban, con la necessità di comunicarlo a terzi; assenza di sportelli fisici e accesso al conto esclusivamente tramite app; nuove modalità operative rispetto a quelle originariamente previste. Domanda retorica: può davvero dirsi “neutrale” un passaggio che cambia operatività quotidiana e interlocutore contrattuale?

Comunicazioni carenti (in piena estate)
Il Garante rileva comunicazioni inadeguate: molte sono state inviate in coincidenza con il periodo estivo, collocate nella sezione archivio dell’app di Intesa Sanpaolo, senza dare la necessaria evidenza a un’operazione straordinaria. Mancavano, ad esempio, notifiche push o sms. In questo contesto, afferma l’Autorità, il cliente non poteva ragionevolmente prevedere un trattamento di questo tipo sulla base delle informazioni ricevute.

Perché il trattamento è illecito secondo il Garante
Il cuore della contestazione riguarda: - l’assenza di una base giuridica adeguata per la profilazione finalizzata al trasferimento - l’impatto sostanziale sulle condizioni contrattuali e operative - la carenza di un’informativa chiara, tempestiva ed evidenziata in modo congruo.

Come è stato determinato l'importo della sanzione
Nel fissare i 17.628.000 euro, Il Garante ha considerato: - la rilevanza delle violazioni accertate - l’elevato numero di clienti coinvolti (circa 2,4 milioni) - il carattere colposo delle trasgressioni - la collaborazione prestata dalla banca durante l’istruttoria Un equilibrio, quello tra gravità dei fatti e condotta successiva dell’istituto, che emerge dal ragionamento sanzionatorio.

Il segnale al mercato
La vicenda parla al settore bancario e, più in generale, a chi spinge su modelli “digital only”. Trasformare significa riscrivere processi, ma anche raddoppiare l’attenzione su consenso, basi giuridiche e qualità delle comunicazioni. Perché un iban che cambia non è solo un codice: è una relazione che si sposta, con aspettative da rispettare e diritti da garantire.