Il Garante per la protezione dei dati personali ha inflitto una sanzione da 17,6 milioni di euro a Intesa Sanpaolo per il trattamento illecito dei dati di circa 2,4 milioni di clienti trasferiti alla banca digitale Isybank.
Secondo l’Autorità, il passaggio sarebbe avvenuto senza un consenso adeguato e informato, violando le norme sulla privacy previste dal GDPR. Il provvedimento arriva al termine di un’indagine complessa avviata dopo numerose segnalazioni da parte dei correntisti.
La banca dovrà ora adottare misure correttive e nuove comunicazioni ai clienti coinvolti nel trasferimento.
Perché Intesa Sanpaolo è stata sanzionata
L’istruttoria del Garante – come recita una nota ufficiale – ha evidenziato gravi violazioni nel modo in cui sono stati selezionati e trasferiti i correntisti verso Isybank, la banca digitale del gruppo.
Per individuare i clienti da trasferire, Intesa Sanpaolo avrebbe effettuato una profilazione della clientela senza un’idonea base giuridica.
In particolare, sarebbero stati selezionati correntisti con alcune caratteristiche specifiche:
- età inferiore ai 65 anni
- utilizzo frequente dei canali digitali nell’ultimo anno
- assenza di prodotti di investimento
- disponibilità finanziarie inferiori a una determinata soglia.
Secondo il Garante, questa operazione ha inciso in modo significativo sulla posizione dei clienti perché ha comportato il trasferimento dei rapporti bancari a un diverso titolare del trattamento dei dati.
Il trasferimento a Isybank e la modifica dei contratti
Il passaggio dei clienti a Isybank non ha rappresentato solo un cambio tecnico, ma ha comportato una modifica unilaterale delle condizioni contrattuali e operative del conto corrente.
Tra le principali conseguenze per i correntisti:
- assegnazione di un nuovo IBAN
- necessità di comunicare il nuovo conto a terzi
- assenza di filiali fisiche
- accesso ai servizi solo tramite app.
Secondo l’Autorità, il cliente non poteva ragionevolmente prevedere questo cambiamento sulla base delle informazioni ricevute.
Comunicazioni ai clienti giudicate insufficienti
Un altro punto critico riguarda le modalità di comunicazione adottate dalla banca.
Molti clienti sarebbero stati informati del trasferimento:
- tramite messaggi archiviati nell’app Intesa Sanpaolo
- senza notifiche push o SMS
- in gran parte durante il periodo estivo.
Per il Garante si tratta di modalità non adeguate alla straordinarietà dell’operazione, che avrebbe richiesto un livello di evidenza molto maggiore.
Il passaggio è stato quindi considerato basato su un meccanismo di “silenzio–assenso” poco trasparente, in contrasto con i principi del GDPR.
Cosa succede ora ai clienti trasferiti a Isybank
La sanzione impone a Intesa Sanpaolo anche obblighi specifici nei confronti dei correntisti coinvolti.
La banca dovrà infatti:
- inviare una comunicazione individuale ai clienti trasferiti
- spiegare i diritti e le opzioni disponibili
- fornire informazioni più chiare sul passaggio alla banca digitale
I clienti già trasferiti a Isybank e non soddisfatti del servizio potrebbero ottenere nuove soluzioni o il ripristino delle condizioni precedenti, anche grazie agli interventi delle autorità di vigilanza.
Il consiglio per i correntisti è controllare con attenzione l’app o l’area riservata per non perdere eventuali moduli o comunicazioni ufficiali.
Cosa succede se il conto va in negativo
La multa non modifica le regole ordinarie sui conti correnti.
Se un conto Intesa Sanpaolo o Isybank va in rosso vengono applicati interessi passivi e commissioni previste dal contratto.
Tuttavia, se il saldo negativo deriva da errori legati al trasferimento o da costi non dovuti, il cliente ha il diritto di presentare un reclamo formale alla banca.
La posizione del Garante Privacy
Nel provvedimento ufficiale, l’Autorità ha sottolineato la gravità della vicenda:
“Il trasferimento dei dati dei correntisti è avvenuto senza che agli interessati venisse data la possibilità di esprimere un consenso consapevole. La protezione dei dati non può essere sacrificata sull’altare della digitalizzazione a tutti i costi.”
| Voce | Dettaglio |
|---|---|
| Importo multa | 17,6 milioni di euro |
| Clienti coinvolti | circa 2,4 milioni |
| Banca digitale | Isybank |
| Violazione principale | Mancanza di consenso informato |
| Misure richieste | Nuove comunicazioni ai clienti |
Il commento delle associazioni dei consumatori
Le associazioni dei consumatori hanno accolto con favore la decisione del Garante.
Il presidente dell’Unione Nazionale Consumatori, Massimiliano Dona, ha commentato:
“Questa multa è una vittoria per chi si è visto scippare il conto corrente da un giorno all’altro. È fondamentale che la banca ora ripristini i diritti dei clienti che non volevano Isybank.”
I numeri e le prospettive di Isybank
Nonostante le polemiche, Isybank continua a crescere.
La banca digitale del gruppo Intesa Sanpaolo ha chiuso il 2025 con oltre un milione di conti attivi, di cui:
- circa 900.000 nuovi clienti
- circa 350.000 trasferiti da Intesa Sanpaolo.
Secondo il piano strategico del gruppo, Isybank punta a:
- superare 2 milioni di clienti entro il 2029
- raggiungere 8 miliardi di euro di attività finanziarie
- arrivare a 100 milioni di utile netto nel 2029.