Prezzi bloccati fino a Settembre 2026: assicurati fino al 90% di risparmio sui piani Avacy

Profilazione GDPR: cosa insegna la multa a Intesa Sanpaolo

Immagine autore: Ilenia Brunelli

Ilenia Brunelli

Social Media Manager

Aggiornato il 6 luglio 2026

Lettura 6 min

Utente al computer che consulta una pagina web sulla protezione dei dati personali

Il 12 marzo 2026 il Garante per la protezione dei dati personali ha sanzionato Intesa Sanpaolo con una multa di 17.628.000 euro per la profilazione illecita di circa 2,4 milioni di clienti trasferiti alla controllata digitale Isybank. È la sanzione più pesante mai comminata dall’Autorità italiana per un caso di profilazione in ambito bancario.

Il punto centrale del provvedimento è che la profilazione della clientela è un trattamento autonomo rispetto al trasferimento dei dati per l’operazione societaria, e richiede quindi una base giuridica propria. Intesa Sanpaolo aveva selezionato i clienti da spostare su Isybank basandosi su criteri come età, uso dei canali digitali e giacenze, invocando il legittimo interesse: per il Garante quella valutazione (il cosiddetto LIA, Legitimate Interest Assessment) era generica e priva di un reale bilanciamento tra gli interessi della banca e i diritti dei clienti, quindi inadeguata a giustificare un trattamento così invasivo.

In breve

Il Garante ha sanzionato Intesa Sanpaolo con una multa di 17,6 milioni di euro per aver profilato 2,4 milioni di clienti senza una base giuridica adeguata durante il trasferimento alla banca digitale Isybank: il legittimo interesse invocato dalla banca non reggeva perché privo di un vero bilanciamento tra gli interessi in gioco. Il caso ridefinisce gli obblighi di trasparenza, consenso granulare e valutazione del legittimo interesse per qualsiasi azienda che tratti dati per finalità di profilazione, e mostra quanto costa un LIA documentato in modo generico.

Indice

Perché il Garante ha sanzionato Intesa Sanpaolo per Isybank?

L’istruttoria è partita dalle segnalazioni di correntisti e associazioni dei consumatori dopo il trasferimento d’ufficio di circa 2,4 milioni di clienti verso Isybank, la controllata al 100% di Intesa Sanpaolo interamente digitale. Per individuare chi trasferire, la banca aveva estratto dai propri sistemi i clienti con età non superiore a 65 anni, uso abituale dei canali digitali, assenza di prodotti di investimento e disponibilità finanziarie sotto una certa soglia.

Per il Garante questa selezione è a tutti gli effetti profilazione ai sensi dell’art. 4 del GDPR, indipendentemente dal fatto che non ci fosse una finalità di marketing: la norma definisce la profilazione in base alla valutazione automatizzata di aspetti personali, non in base allo scopo commerciale. Il trasferimento ha inoltre modificato in modo unilaterale le condizioni del rapporto (nuovo IBAN, assenza di sportelli fisici, accesso solo via app), un impatto che il Garante ha giudicato rilevante ai fini della sanzione. Il provvedimento contesta la violazione degli articoli 5, 6 e 14 del GDPR, cioè liceità, base giuridica e obblighi informativi.

Per un inquadramento generale su come si acquisisce un trattamento a norma: Consensi GDPR: tutto quello che devi sapere per essere conforme.

Perché il legittimo interesse non bastava per profilare i clienti?

Intesa Sanpaolo ha sostenuto che il trasferimento potesse fondarsi sul legittimo interesse (art. 6, par. 1, lett. f, GDPR), la stessa base che normalmente copre la comunicazione dei dati tra cedente e cessionario in un’operazione societaria. Il Garante ha separato però nettamente i due trattamenti: una cosa è comunicare i dati nell’ambito della cessione, un’altra è la profilazione preventiva usata per decidere chi trasferire. Quest’ultima, per essere lecita, deve superare tre condizioni cumulative richieste dalle Linee guida EDPB 1/2024:

  1. Esistenza di un interesse legittimo reale e attuale del titolare.
  2. Necessità del trattamento per raggiungere quell’interesse, senza alternative meno invasive.
  3. Bilanciamento favorevole rispetto ai diritti, alle libertà e alle ragionevoli aspettative degli interessati.

Secondo il Garante, la valutazione (LIA) prodotta dalla banca non dimostrava né la reale necessità della profilazione né un bilanciamento concreto: restava una formula generica, più assertiva che argomentata. Un LIA che avrebbe retto a un controllo dovrebbe invece documentare, punto per punto, elementi come questi:

  • l’interesse specifico perseguito e perché non è perseguibile con mezzi meno invasivi;
  • l’impatto concreto sugli interessati (qui: modifica del rapporto contrattuale, perdita degli sportelli fisici, nuovo IBAN);
  • le aspettative ragionevoli dell’interessato al momento della raccolta dei dati;
  • eventuali misure di mitigazione, come un’opposizione semplice o un preavviso rafforzato.

Il numero di clienti effettivamente migrati, drasticamente inferiore alla platea individuata come “prevalentemente digitale” dopo che è stato richiesto un consenso espresso, è secondo il Garante la prova più chiara che l’aspettativa dei clienti non coincideva affatto con quella costruita a monte dalla banca.

Cosa deve garantire un’informativa e un consenso davvero granulare?

Il secondo pilastro della sanzione riguarda la trasparenza. Le comunicazioni di Intesa Sanpaolo non spiegavano in modo adeguato l’esistenza della profilazione né le sue conseguenze, ed erano state veicolate tramite l’archivio dell’app, in un periodo di bassa attenzione, senza notifiche push o SMS a rafforzarne la rilevanza. Per il Garante non basta che un’informativa esista: deve essere comunicata con un rilievo proporzionato all’impatto della decisione che descrive.

Accanto alla trasparenza, il caso mette in luce altri due requisiti che un trattamento di profilazione deve rispettare per essere conforme al GDPR:

  • Un’opposizione realmente accessibile: l’interessato deve poter rifiutare il trattamento o mantenere le condizioni precedenti senza percorsi a ostacoli.
  • Un consenso granulare: l’utente deve poter scegliere quali specifici trattamenti di profilazione attivare, non ricevere un pacchetto “prendere o lasciare”.

Su come costruire un’informativa che regga a un controllo: Privacy Policy: che cos’è e perché è importante.

Scarica la checklist per validare un legittimo interesse (LIA)

Una guida pratica con i punti che un Legitimate Interest Assessment deve documentare per reggere a un controllo del Garante, sul modello dei tre requisiti richiesti dalle Linee guida EDPB 1/2024.

Quali rischi corre chi non adegua la profilazione al GDPR?

Il caso Intesa Sanpaolo mostra che il Garante non si limita più ad ammonimenti su cookie banner e informative carenti: interviene sul pilastro stesso delle strategie di profilazione, con conseguenze che vanno oltre la multa.

  • Sanzioni economiche fino al 4% del fatturato globale, come previsto dall’art. 83 GDPR: la cifra di 17,6 milioni di euro dimostra che l’Autorità è disposta ad applicarle senza sconti anche a grandi gruppi.
  • Danno reputazionale: la fiducia dei clienti è la risorsa più difficile da ricostruire dopo una sanzione resa pubblica.
  • Blocco dei trattamenti: il Garante può imporre l’interruzione immediata dell’uso dei dati raccolti in modo illecito, paralizzando campagne o migrazioni in corso.
  • Impatto sulla competitività: una gestione conforme del consenso diventa un vantaggio nella relazione con partner e investitori.

Quali basi giuridiche puoi usare per profilare in modo conforme?

Il caso Isybank chiarisce quando ciascuna base giuridica è effettivamente utilizzabile per la profilazione. Questa tabella riassume le differenze principali.

Base giuridicaQuando è validaRischio se usata in modo improprio
Consenso esplicitoProfilazione facoltativa e invasiva, non necessaria per erogare il servizio (es. offerte personalizzate).Basso, se raccolto in modo libero, specifico, informato e revocabile.
Legittimo interesseSolo dopo un LIA documentato che dimostri necessità del trattamento e bilanciamento favorevole con i diritti degli interessati.Alto: un LIA generico o assertivo, come nel caso Intesa Sanpaolo, non regge a un controllo del Garante.
Esecuzione del contrattoSolo se la profilazione è indispensabile per erogare il servizio richiesto dal cliente, non per riorganizzare l’offerta.Alto se usata per finalità che vanno oltre l’esecuzione del contratto in essere.

Nel provvedimento del 12 marzo 2026 il Garante ha ribadito che la riorganizzazione societaria non sospende gli obblighi del GDPR: la profilazione preventiva della clientela resta un trattamento distinto, che va valutato con la propria base giuridica indipendentemente dall’operazione che la segue. Fonte: Il Post, 13 marzo 2026.

Registro consensi di Avacy CMP

Come adeguare la profilazione della tua azienda al GDPR?

Il caso Isybank offre una traccia operativa piuttosto chiara per chi tratta dati di profilazione, in banca come altrove:

  • Verifica la base giuridica prima di ogni trattamento invasivo: se ricorri al legittimo interesse, documenta un LIA specifico, non un modello generico.
  • Rendi le comunicazioni proporzionate all’impatto: un cambiamento sostanziale delle condizioni contrattuali richiede più di una notifica in archivio.
  • Costruisci un consenso granulare: lascia all’utente la scelta su quali trattamenti di profilazione attivare.
  • Conserva la prova di ogni consenso e di ogni LIA, per poterli esibire in caso di controllo.

Approfondimento sul consenso al trattamento per i siti web: Consenso al trattamento dei dati personali per siti web.

Mettere in pratica questi punti manualmente, specialmente su volumi di clienti come quelli del caso Isybank, è un lavoro complesso da mantenere nel tempo. È qui che una Consent Management Platform come Avacy automatizza la parte più a rischio della conformità:

  1. Consensi coerenti con l’uso reale dei dati: Avacy costruisce raccolte del consenso allineate a ciò che l’azienda fa realmente con i dati, senza dichiarazioni ambigue.
  2. Gestione granulare per categoria di trattamento: gli utenti possono accettare o rifiutare singolarmente profilazione, marketing e altre finalità.
  3. Monitoraggio degli aggiornamenti normativi: Avacy segue l’evoluzione del GDPR e delle Linee guida EDPB e adatta le impostazioni di conseguenza.
  4. Registro consensi e reportistica: ogni consenso resta documentato e dimostrabile in caso di verifica da parte del Garante.

In sintesi

  • Il Garante ha multato Intesa Sanpaolo per 17,6 milioni di euro per profilazione illecita di 2,4 milioni di clienti nel trasferimento a Isybank.

  • La profilazione è un trattamento autonomo, che richiede una base giuridica propria anche quando non ha finalità di marketing.

  • Il legittimo interesse regge solo con un LIA documentato: interesse reale, necessità del trattamento e bilanciamento favorevole con i diritti degli interessati.

  • Informativa, diritto di opposizione e consenso granulare sono condizioni, non optional, per una profilazione conforme.

  • Le sanzioni possono arrivare al 4% del fatturato globale, oltre al danno reputazionale e al blocco dei trattamenti.

Domande frequenti

Cos'è la profilazione secondo il GDPR?

È qualsiasi trattamento automatizzato di dati personali usato per valutare aspetti di una persona, come comportamento, preferenze o affidabilità economica. L’art. 4 GDPR non la lega a una finalità di marketing: vale anche quando serve, come nel caso Isybank, a decidere chi trasferire a un altro servizio.

Il legittimo interesse può giustificare la profilazione dei clienti?

Sì, ma solo se supportato da un LIA che dimostri un interesse reale, la necessità del trattamento e un bilanciamento favorevole con i diritti degli interessati. Un LIA generico, come quello contestato a Intesa Sanpaolo, non è sufficiente.

Quali sanzioni rischia un'azienda per profilazione illecita?

Fino al 4% del fatturato annuo globale, secondo l’art. 83 GDPR. Il Garante può inoltre imporre il blocco immediato dei trattamenti contestati, indipendentemente dall’importo della multa.

Come deve essere comunicata la profilazione ai clienti?

Con un rilievo proporzionato all’impatto della decisione: un cambiamento sostanziale delle condizioni contrattuali richiede una comunicazione ben visibile, non una notifica in archivio nell’app.

Cosa cambia, per le altre aziende, dopo la sanzione a Intesa Sanpaolo?

Il provvedimento chiarisce che nessuna riorganizzazione aziendale sospende gli obblighi del GDPR: chi usa segmentazione o scoring per spostare clienti tra servizi deve trattare quella selezione come profilazione a tutti gli effetti, con una base giuridica autonoma.

Come si raccoglie un consenso granulare per la profilazione?

Offrendo scelte separate per ciascuna finalità di trattamento, senza pacchetti “tutto o niente”: una Consent Management Platform come Avacy gestisce queste scelte in modo automatico e ne conserva la prova.

Raccogli e conserva i consensi senza pensieri

Google Consent Mode v2
IAB TCF 2.3
Immagine autore: Ilenia Brunelli
L'autore di questo post

Ilenia Brunelli

Social Media Manager
Ilenia, laureata nel 2020 all’Università di Bologna, è una Social Media Manager e SEO Copywriter per Avacy. Esperta di strategie digitali, unisce creatività e analisi per creare contenuti che fanno la differenza. Sempre aggiornata sulle ultime novità del settore, trasforma le tendenze in opportunità, con un occhio attento all’innovazione e all’engagement.

Potrebbe interessarti anche

Sei ancora interessato a passare ad Avacy?

Il nostro team è pronto a supportarti nella configurazione della tua compliance e a mostrarti come ottimizzarne la gestione.