NEWS

Gli algoritmi stanno rubando i vostri dati bancari, ma non come pensate

Di recente, la scure del Garante della privacy si è abbattuta su Intesa Sanpaolo con una multa da 17,6 milioni di euro, fino a quel giorno la più pesante mai inflitta in Italia per violazioni della privacy nel settore bancario, alla quale poco dopo ne ha fatto seguito un'altra di addirittura 31,8 milioni di euro, per un totale di quasi 50 milioni di euro di sanzioni inflitte al noto istituto bancario italiano nel giro di pochi giorni.

(Nella foto: Mario Mosca, speaker al Privacy Symposium 2026 nel panel di Federprivacy)

Se nel secondo caso il provvedimento riguardava gravi carenze nella sicurezza dei dati personali dovute all’inadeguatezza delle misure tecniche e organizzative adottate, invece relativamente alla prima multa le cause non erano riconducibili ad hacker o furti notturni, ma ad un'operazione interna effettuata dallo stesso gruppo bancario, che ha spostato arbitrariamente 2,4 milioni di clienti verso la propria banca digitale “Isybank”.

Come è potuto accadere? attraverso l’uso di algoritmi che hanno scandagliato dati personali – età, abitudini online, portafoglio investimenti – per decidere chi doveva essere migrato alla banca digitale e chi no. Non sulla base di un vero consenso dato dal cliente, bensì con un silenzio-assenso camuffato da comunicazioni vaghe, inviate tramite app durante l'estate, quando notoriamente si è meno attenti.

Per questo, il Garante ha parlato di “profilazione illecita”, ovvero trattamenti di dati automatizzati che valutano aspetti personali con effetti concreti, come il cambio dell’iban o la perdita all'accesso alle filiali fisiche.

Anche se la banca aveva sostenuto di essersi basata su criteri definiti da esseri umani, negando di aver agito sulla base di decisioni puramente automatiche, pare però chiaro che a fare il grosso di un lavoro su così vasta scala siano stati proprio gli algoritmi. E non è un caso isolato nel mondo bancario italiano, dove questi sistemi, spesso potenziati dall’AI, non rubano soldi dal vostro conto, ma interagiscono sul loro controllo.

Immaginate di entrare in un’applicazione bancaria e vi viene proposto un mutuo prima ancora di chiederlo. Non è telepatia: è machine learning che fruga tra estratti conto, pattern di spesa, e persino acquisti che indicano cambiamenti del vostro tenore di vita.

Alcune banche, per esempio, usano modelli predittivi per valutare i rischi di credito: sa se state cambiando lavoro o se siete in una fase di stress economico, o magari se affrontate improvvise spese mediche o per viaggi. Funziona? certamente: riduce le perdite e aumenta le vendite per la banca. Ma il prezzo è la privacy stessa, erosa a suon di click.

Il punto è che non avete firmato nulla di nuovo. Il consenso è sepolto in contratti vecchi di anni, una check-box che avete spuntato distrattamente anni addietro, quando invece il GDPR dovrebbe tutelarvi e assicurarvi che i vostri dati vengano trattati in modo lecito e trasparente.

Nel caso Intesa, il Garante ha respinto l'interesse legittimo invocato dalla banca, reputandolo una valutazione superficiale che non bilanciava realmente i diritti dei clienti. Mancavano informative chiare: niente notifiche push, ma solo messaggi archiviati che il 56% degli utenti ignora, come dimostrano recenti statistiche. E la profilazione? qualificata come automatizzata, anche se non da AI avanzata, perché estrapola e classifica dati su larga scala, con impatti reali. Se dite no, rischiate di essere penalizzati con limiti ridotti o offerte peggiori. È "personalizzazione", dicono. È sorveglianza, pensano in molti.

Nel 2025, Intesa ha chiuso con un utile netto di 9,3 miliardi di euro, in crescita del 7,6%. Quindi una multa da 17,6 milioni è un graffio, e non una ferita. Ma il danno vero è sulla fiducia.

Se a vostra insaputa un algoritmo vi classifica ad "alto rischio" – magari per pattern invisibili come acquisti online notturni – e vi alza il tasso, non potrete contestarlo. Questi modelli sono black box opache, protette come segreti industriali. Il cliente ignora quale sia la logica adottata e come vengano veramente usati i suoi dati. E in caso di errore? nella vicenda di Isybank ci sono stati migliaia di reclami di clienti over 65 spostati per sbaglio, e famiglie che hanno perso servizi per loro essenziali.

E non si tratta certo di un vizietto italiano: in Europa i colossi bancari usano l’AI per ottimizzare le proprie campagne di marketing predittivo, analizzando i dati in tempo reale per anticipare i bisogni dei clienti e prevederne i comportamenti di spesa. Proprio per questi motivi, già nel 2025 una banca spagnola era stata sanzionata per 18 milioni di euro.

Ora però anche il Garante italiano ha alzato l'asticella, e i CEO bancari sono a un bivio: continuare senza farsi troppi scrupoli a spingere una tecnologia che anticipa il cliente - rischiando però sanzioni e l’erosione della sua fiducia - oppure investire in compliance vera, con la messa disposizione di dashboard dove il cliente vede cosa la banca sa di lui, nonché opt-out facili e algoritmi verificabili.

di Mario Mosca (Economy, aprile 2026)

Sei già socio Federprivacy? effettua il login e leggi online il numero integrale del mensile Economy di aprile 2026

Note sull'Autore

Mario Mosca Mario Mosca

Coordinatore Gruppo di Lavoro Federprivacy per la Privacy nel settore Bancario e Finanziario

Prev L’intelligenza artificiale non è una questione tecnologica, ma di governance
Next Dalla compliance alla governance: il Dlgs 47/2026 e la trasformazione di cybersecurity, AI e protezione dei dati negli assetti societari

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy