Perché il Garante ha sanzionato Intesa Sanpaolo per Isybank?
L’istruttoria è partita dalle segnalazioni di correntisti e associazioni dei consumatori dopo il trasferimento d’ufficio di circa 2,4 milioni di clienti verso Isybank, la controllata al 100% di Intesa Sanpaolo interamente digitale. Per individuare chi trasferire, la banca aveva estratto dai propri sistemi i clienti con età non superiore a 65 anni, uso abituale dei canali digitali, assenza di prodotti di investimento e disponibilità finanziarie sotto una certa soglia.
Per il Garante questa selezione è a tutti gli effetti profilazione ai sensi dell’art. 4 del GDPR, indipendentemente dal fatto che non ci fosse una finalità di marketing: la norma definisce la profilazione in base alla valutazione automatizzata di aspetti personali, non in base allo scopo commerciale. Il trasferimento ha inoltre modificato in modo unilaterale le condizioni del rapporto (nuovo IBAN, assenza di sportelli fisici, accesso solo via app), un impatto che il Garante ha giudicato rilevante ai fini della sanzione. Il provvedimento contesta la violazione degli articoli 5, 6 e 14 del GDPR, cioè liceità, base giuridica e obblighi informativi.
Per un inquadramento generale su come si acquisisce un trattamento a norma: Consensi GDPR: tutto quello che devi sapere per essere conforme.
Perché il legittimo interesse non bastava per profilare i clienti?
Intesa Sanpaolo ha sostenuto che il trasferimento potesse fondarsi sul legittimo interesse (art. 6, par. 1, lett. f, GDPR), la stessa base che normalmente copre la comunicazione dei dati tra cedente e cessionario in un’operazione societaria. Il Garante ha separato però nettamente i due trattamenti: una cosa è comunicare i dati nell’ambito della cessione, un’altra è la profilazione preventiva usata per decidere chi trasferire. Quest’ultima, per essere lecita, deve superare tre condizioni cumulative richieste dalle Linee guida EDPB 1/2024:
- Esistenza di un interesse legittimo reale e attuale del titolare.
- Necessità del trattamento per raggiungere quell’interesse, senza alternative meno invasive.
- Bilanciamento favorevole rispetto ai diritti, alle libertà e alle ragionevoli aspettative degli interessati.
Secondo il Garante, la valutazione (LIA) prodotta dalla banca non dimostrava né la reale necessità della profilazione né un bilanciamento concreto: restava una formula generica, più assertiva che argomentata. Un LIA che avrebbe retto a un controllo dovrebbe invece documentare, punto per punto, elementi come questi:
- l’interesse specifico perseguito e perché non è perseguibile con mezzi meno invasivi;
- l’impatto concreto sugli interessati (qui: modifica del rapporto contrattuale, perdita degli sportelli fisici, nuovo IBAN);
- le aspettative ragionevoli dell’interessato al momento della raccolta dei dati;
- eventuali misure di mitigazione, come un’opposizione semplice o un preavviso rafforzato.
Il numero di clienti effettivamente migrati, drasticamente inferiore alla platea individuata come “prevalentemente digitale” dopo che è stato richiesto un consenso espresso, è secondo il Garante la prova più chiara che l’aspettativa dei clienti non coincideva affatto con quella costruita a monte dalla banca.
Cosa deve garantire un’informativa e un consenso davvero granulare?
Il secondo pilastro della sanzione riguarda la trasparenza. Le comunicazioni di Intesa Sanpaolo non spiegavano in modo adeguato l’esistenza della profilazione né le sue conseguenze, ed erano state veicolate tramite l’archivio dell’app, in un periodo di bassa attenzione, senza notifiche push o SMS a rafforzarne la rilevanza. Per il Garante non basta che un’informativa esista: deve essere comunicata con un rilievo proporzionato all’impatto della decisione che descrive.
Accanto alla trasparenza, il caso mette in luce altri due requisiti che un trattamento di profilazione deve rispettare per essere conforme al GDPR:
- Un’opposizione realmente accessibile: l’interessato deve poter rifiutare il trattamento o mantenere le condizioni precedenti senza percorsi a ostacoli.
- Un consenso granulare: l’utente deve poter scegliere quali specifici trattamenti di profilazione attivare, non ricevere un pacchetto “prendere o lasciare”.
Su come costruire un’informativa che regga a un controllo: Privacy Policy: che cos’è e perché è importante.
Scarica la checklist per validare un legittimo interesse (LIA)
Una guida pratica con i punti che un Legitimate Interest Assessment deve documentare per reggere a un controllo del Garante, sul modello dei tre requisiti richiesti dalle Linee guida EDPB 1/2024.
Quali rischi corre chi non adegua la profilazione al GDPR?
Il caso Intesa Sanpaolo mostra che il Garante non si limita più ad ammonimenti su cookie banner e informative carenti: interviene sul pilastro stesso delle strategie di profilazione, con conseguenze che vanno oltre la multa.
- Sanzioni economiche fino al 4% del fatturato globale, come previsto dall’art. 83 GDPR: la cifra di 17,6 milioni di euro dimostra che l’Autorità è disposta ad applicarle senza sconti anche a grandi gruppi.
- Danno reputazionale: la fiducia dei clienti è la risorsa più difficile da ricostruire dopo una sanzione resa pubblica.
- Blocco dei trattamenti: il Garante può imporre l’interruzione immediata dell’uso dei dati raccolti in modo illecito, paralizzando campagne o migrazioni in corso.
- Impatto sulla competitività: una gestione conforme del consenso diventa un vantaggio nella relazione con partner e investitori.
Quali basi giuridiche puoi usare per profilare in modo conforme?
Il caso Isybank chiarisce quando ciascuna base giuridica è effettivamente utilizzabile per la profilazione. Questa tabella riassume le differenze principali.
| Base giuridica | Quando è valida | Rischio se usata in modo improprio |
|---|---|---|
| Consenso esplicito | Profilazione facoltativa e invasiva, non necessaria per erogare il servizio (es. offerte personalizzate). | Basso, se raccolto in modo libero, specifico, informato e revocabile. |
| Legittimo interesse | Solo dopo un LIA documentato che dimostri necessità del trattamento e bilanciamento favorevole con i diritti degli interessati. | Alto: un LIA generico o assertivo, come nel caso Intesa Sanpaolo, non regge a un controllo del Garante. |
| Esecuzione del contratto | Solo se la profilazione è indispensabile per erogare il servizio richiesto dal cliente, non per riorganizzare l’offerta. | Alto se usata per finalità che vanno oltre l’esecuzione del contratto in essere. |
Nel provvedimento del 12 marzo 2026 il Garante ha ribadito che la riorganizzazione societaria non sospende gli obblighi del GDPR: la profilazione preventiva della clientela resta un trattamento distinto, che va valutato con la propria base giuridica indipendentemente dall’operazione che la segue. Fonte: Il Post, 13 marzo 2026.

Come adeguare la profilazione della tua azienda al GDPR?
Il caso Isybank offre una traccia operativa piuttosto chiara per chi tratta dati di profilazione, in banca come altrove:
- Verifica la base giuridica prima di ogni trattamento invasivo: se ricorri al legittimo interesse, documenta un LIA specifico, non un modello generico.
- Rendi le comunicazioni proporzionate all’impatto: un cambiamento sostanziale delle condizioni contrattuali richiede più di una notifica in archivio.
- Costruisci un consenso granulare: lascia all’utente la scelta su quali trattamenti di profilazione attivare.
- Conserva la prova di ogni consenso e di ogni LIA, per poterli esibire in caso di controllo.
Approfondimento sul consenso al trattamento per i siti web: Consenso al trattamento dei dati personali per siti web.
Mettere in pratica questi punti manualmente, specialmente su volumi di clienti come quelli del caso Isybank, è un lavoro complesso da mantenere nel tempo. È qui che una Consent Management Platform come Avacy automatizza la parte più a rischio della conformità:
- Consensi coerenti con l’uso reale dei dati: Avacy costruisce raccolte del consenso allineate a ciò che l’azienda fa realmente con i dati, senza dichiarazioni ambigue.
- Gestione granulare per categoria di trattamento: gli utenti possono accettare o rifiutare singolarmente profilazione, marketing e altre finalità.
- Monitoraggio degli aggiornamenti normativi: Avacy segue l’evoluzione del GDPR e delle Linee guida EDPB e adatta le impostazioni di conseguenza.
- Registro consensi e reportistica: ogni consenso resta documentato e dimostrabile in caso di verifica da parte del Garante.