Multa salata per un istituto di credito e per una società di fornitura di energia elettrica e gas

Due multe salate emesse dal ‘Garante per la privacy’: la prima – da 2milioni di euro – nei confronti di ‘Acea Energia’ (provvedimento del 12 febbraio 2026), colpevole per i contratti attivati da agenti ‘porta a porta’ all’insaputa dei clienti; la seconda – da 17milioni e 600mila euro – nei confronti di ‘Intesa Sanpaolo’, colpevole di avere profilato due milioni e quattrocentomila clienti nell’ambito di una operazione societaria.
Per quanto concerne ‘Acea Energia spa’, sono state riscontrate gravi violazioni nel trattamento dei dati personali di oltre mille e duecento clienti nell’ambito della fornitura di energia elettrica e gas.
Il ‘Garante’ è intervenuto a seguito di molteplici istanze riguardanti l’utilizzo di dati inesatti e non aggiornati di clienti della società per la conclusione di contratti non richiesti. In particolare, alcuni consumatori hanno appreso dell’instaurazione del rapporto di somministrazione solo dopo aver ricevuto comunicazioni di ‘Acea’ dell’avvenuta attivazione della fornitura o di solleciti di pagamento, senza però aver mai avuto alcun contatto, né personale né a distanza, con la società. Alcuni reclami hanno riguardato inoltre il tardivo o il mancato riscontro di ‘Acea’ alle richieste di esercizio dei diritti riconosciuti dalla normativa sulla privacy.
Da specifiche ispezioni è emerso che i trattamenti oggetto delle istanze avvenivano mediante società incaricate da ‘Acea Energia’ di procacciare potenziali clienti, sul cui operato non veniva effettuata adeguata vigilanza. Si è accertato poi che ‘Acea’ non aveva adottato misure tecniche e organizzative idonee a prevenire eventuali utilizzi fraudolenti dei documenti acquisiti dagli agenti ‘porta a porta’ o dai partner della società. Così, gli agenti potevano entrare in possesso delle generalità dei soggetti mediante dispositivi mobili, scattando ad esempio foto dei documenti, per poi procedere a loro insaputa all’attivazione delle forniture, anche mediante firma apocrifa.
Inadeguato, infine, il sistema di monitoraggio attraverso ‘recall’, volto a verificare l’effettiva volontà del cliente di sottoscrivere un contratto.

Multa a parte, il ‘Garante’ ha ingiunto ad ‘Acea’ l’adozione di diverse misure correttive, tra cui l’utilizzo di ‘alert’ per monitorare l’osservanza delle procedure contrattuali da parte degli agenti, il controllo periodico dell’esattezza delle informazioni acquisite, l’individuazione di specifici tempi di conservazione dei dati dei clienti.
Per quanto concerne, invece, ‘Intesa Sanpaolo spa’, si è rivelato non corretto il trattamento dei dati dei clienti trasferiti unilateralmente alla controllata – al 100 per cento – ‘Isybank spa’, banca interamente digitale.
Gravi le violazioni accertate (provvedimento del 12 marzo 2026) a chiusura di un’indagine complessa, avviata a seguito di numerose segnalazioni di correntisti.
In sostanza, per individuare tra i propri clienti quelli da trasferire nella neo-istituita ‘Isybank’, ‘Intesa Sanpaolo’ ha effettuato, senza un’idonea base giuridica, una profilazione della clientela. In particolare, sono stati selezionati i clienti che presentavano determinate caratteristiche, tra cui: età non superiore a 65 anni, utilizzo abituale dei canali digitali nell’ultimo anno, assenza di prodotti di investimento e disponibilità finanziarie inferiori a una certa soglia. Un’operazione che ha inciso in modo significativo sulla loro posizione, poiché ha comportato il trasferimento dei rapporti a un diverso titolare del trattamento, con conseguente modifica unilaterale delle condizioni contrattuali e delle modalità operative del conto corrente rispetto a quelle originariamente previste (ad esempio, attribuzione di un nuovo ‘Iban’ e conseguente necessità di doverlo comunicare a terzi; mancanza di sportelli fisici e accesso esclusivo tramite ‘app’).
Sono risultate altresì carenti le comunicazioni trasmesse ai clienti per informarli di questa operazione, inviate, per lo più, in coincidenza del periodo estivo, nella sezione archivio della ‘app’ di ‘Intesa Sanpaolo’, senza dare loro la necessaria evidenza che la straordinarietà dell’operazione avrebbe richiesto (ad esempio, attraverso notifiche ‘push’ o ‘sms’).
Secondo il ‘Garante’, il trattamento effettuato dalla banca con le modalità descritte risulta illecito, anche perché il cliente non poteva ragionevolmente prevederlo sulla base del contesto e delle informazioni ricevute.