Il Garante per la protezione dei dati personali ha sanzionato Intesa Sanpaolo SPA per 17.628.00 euro per il trattamento illecito dei dati di circa 2,4 milioni di clienti trasferiti alla controllata Isybank Spa, banca interamente digitale.

Dopo numerose segnalazioni di correntisti, è stata avviata un’indagine complessiva da cui sono emerse gravi violazioni. Infatti, Intesa Sanpaolo ha effettuato, senza un’idonea base giuridica, una profilazione della clientela per individuare quali clienti trasferire a Isybank.

In particolare, sono stati selezionati i clienti che presentavano determinate caratteristiche, quali l’età non superiore a 65 anni, l’utilizzo abituale dei canali digitali, l’assenza di prodotti di investimento e le disponibilità finanziarie inferiori a una certa soglia. L’operazione ha comportato il trasferimento dei rapporti a un diverso titolare del trattamento, con una modifica unilaterale delle condizioni contrattuali e delle modalità operative del conto corrente rispetto a quelle originariamente previste.

Inoltre, le comunicazioni trasmesse ai clienti sono risultate carenti, o inviate in coincidenza del periodo estivo e nella sezione archivio dell’app, senza dare loro l’evidenza della straordinarietà dell’operazione.

Leggi il comunicato stampa

Aggiornamento finanziato dal MIMIT. D.D. 12 maggio 2025