Sanzione Isybank: profilazione clienti GDPR, cosa insegna alle PMI

La profilazione clienti GDPR non è un problema solo per le banche. Il provvedimento del Garante Privacy contro Intesa Sanpaolo nel caso Isybank (n. 163 del 12 marzo 2026, sanzione di 17,6 milioni di euro) ha stabilito principi che si applicano a qualunque impresa — anche una PMI con 10 dipendenti — che seleziona, classifica o segmenta i propri clienti in base a caratteristiche personali. Se usi un CRM (un software di gestione clienti, come HubSpot, Salesforce o anche un semplice foglio Excel strutturato), fai email marketing con liste segmentate, o applichi scoring per decidere chi riceve un’offerta e chi no, questo provvedimento ti riguarda.

Il caso Isybank non è una questione bancaria. È un caso di profilazione clienti GDPR in piena regola: il Garante ha censurato il meccanismo con cui un’azienda ha analizzato i propri clienti, li ha classificati in base al loro comportamento e ha preso decisioni che hanno cambiato il loro rapporto contrattuale — il tutto senza chiederglielo e senza spiegarglielo adeguatamente.

Cosa ha fatto Intesa Sanpaolo (e perché il Garante l’ha sanzionata)

Intesa Sanpaolo ha creato Isybank, una banca digitale senza sportelli fisici, e ha deciso di trasferirvi circa 2,4 milioni di clienti. Per decidere quali clienti trasferire, ha estratto dai propri sistemi gestionali i correntisti che presentavano determinate caratteristiche: età sotto i 65 anni, uso abituale dei canali digitali, assenza di prodotti di investimento e giacenze inferiori a una certa soglia.

Questa selezione, secondo il Garante, costituisce profilazione ai sensi dell’art. 4, paragrafo 4, del GDPR: un trattamento automatizzato che valuta aspetti personali di una persona fisica per classificarla. Non serve che l’obiettivo sia il marketing. Anche una riorganizzazione interna diventa profilazione quando il criterio di selezione si basa su caratteristiche comportamentali individuali.

Le conseguenze per i clienti erano concrete: nuovo IBAN (da comunicare a tutti i soggetti che effettuavano addebiti o accrediti), sparizione degli sportelli fisici, gestione esclusiva via app. I clienti sono stati informati con un messaggio nella sezione archivio dell’app Intesa Sanpaolo, in periodo estivo, senza notifica push e senza SMS. Chi non ha risposto è stato considerato consenziente.

Le tre violazioni che il Garante ha contestato

Il provvedimento identifica tre violazioni distinte, tutte rilevanti anche per le PMI.

1. Profilazione senza base giuridica adeguata (art. 6 GDPR)

Intesa Sanpaolo ha invocato il legittimo interesse come base giuridica per selezionare i clienti. Il Garante ha respinto questa tesi: il legittimo interesse richiede che l’interessato possa ragionevolmente prevedere il trattamento nel contesto in cui i dati sono stati raccolti. Nessun cliente, aprendo un conto in Intesa Sanpaolo, poteva ragionevolmente aspettarsi di essere trasferito in una banca completamente diversa in base al proprio profilo comportamentale.

In pratica: se la segmentazione produce effetti significativi sui clienti (cambio di condizioni, esclusione da servizi, variazione di prezzo), il legittimo interesse potrebbe non bastare. Serve una valutazione seria e documentata del bilanciamento tra il tuo interesse aziendale e i diritti dell’interessato.

2. Informativa non trasparente (art. 14 GDPR)

L’informativa fornita ai clienti non descriveva in modo chiaro l’esistenza di un trattamento di profilazione né le sue conseguenze. Il messaggio era nascosto nella sezione “archivio” dell’app, inviato durante l’estate, senza segnalazione evidente della sua importanza. Il Garante ha stabilito che questo meccanismo viola il principio di trasparenza.

Per una PMI, il parallelo è diretto: se segmenti i clienti nel CRM per decidere chi riceve un’offerta, chi viene declassato o chi subisce condizioni diverse, l’informativa deve descrivere questa attività in modo comprensibile. Non basta la generica formula “trattiamo i dati per finalità di marketing”.

3. Silenzio-assenso come base del consenso

Il meccanismo “chi non risponde accetta” è stato giudicato incompatibile con il GDPR. Solo 76.000 clienti su 2,1 milioni hanno dato un consenso esplicito quando è stata offerta l’opzione di scelta reale — il 3,6%. Questo dato dimostra quanto le aspettative dei clienti fossero distanti dalla decisione della banca.

Per le PMI: qualsiasi meccanismo basato sull’inazione del cliente (caselle pre-selezionate, opt-out nascosti in fondo a email, iscrizioni automatiche a nuovi servizi) è ad alto rischio.

Tre scenari concreti per PMI italiane

Il principio stabilito dal Garante non si applica solo alle banche. Ecco tre situazioni in cui una PMI potrebbe trovarsi nella stessa posizione di Intesa Sanpaolo — in scala ridotta, ma con gli stessi rischi giuridici.

Scenario 1: E-commerce con pricing differenziato

Un negozio online segmenta i clienti in base alla frequenza di acquisto, al valore medio del carrello e alla geolocalizzazione. Ai clienti classificati come “alto valore” mostra prezzi diversi o accesso anticipato a promozioni. Questa è profilazione con effetti economici diretti. Serve una base giuridica chiara (tipicamente il consenso, perché il legittimo interesse è difficile da sostenere quando il cliente non se lo aspetta) e un’informativa che descriva esattamente cosa succede.

Scenario 2: Agenzia di marketing con lead scoring

Un’agenzia assegna un punteggio automatico ai lead raccolti tramite form, basandosi su settore, dimensione aziendale, comportamento sul sito e interazioni email. Il punteggio determina chi viene contattato dal commerciale e chi viene ignorato. Anche qui siamo nel perimetro della profilazione: un trattamento automatizzato che classifica persone e produce decisioni concrete (essere contattati o meno). L’informativa al momento della raccolta del lead deve menzionare questa attività.

Scenario 3: Studio professionale con segmentazione clienti

Uno studio di consulenza usa il CRM per classificare i clienti in fasce (A, B, C) in base alla redditività e alla puntualità nei pagamenti. I clienti “C” ricevono tempi di risposta più lunghi e non vengono invitati agli eventi. Se questa classificazione è automatizzata e produce effetti percepibili dal cliente, rientra nella profilazione. Il rischio è basso se le conseguenze sono marginali, ma aumenta significativamente se la classificazione porta a rifiutare servizi, modificare tariffe o interrompere rapporti.

Profilazione clienti GDPR: cosa fare in pratica

Non serve smettere di segmentare i clienti. La profilazione clienti GDPR diventa un problema solo quando mancano le basi: la segmentazione è un’attività normale e lecita, a condizione che venga fatta rispettando il Regolamento. Il provvedimento Isybank chiarisce dove si trova il confine. Ecco le azioni concrete.

Verifica se fai profilazione. Chiediti: sto classificando persone fisiche in base a caratteristiche personali (comportamento, preferenze, abitudini, dati demografici) attraverso un processo anche parzialmente automatizzato? Se la risposta è sì, stai facendo profilazione ai sensi dell’art. 4(4) GDPR. Questo include CRM con segmentazione automatica, piattaforme di email marketing con scoring, tool di analytics che classificano gli utenti in coorti comportamentali.

Valuta la base giuridica. Il legittimo interesse può funzionare per segmentazioni leggere e prevedibili (es. raggruppare i clienti per area geografica per inviare comunicazioni localizzate). Ma quando la profilazione produce effetti significativi — variazione di prezzo, esclusione da servizi, modifica delle condizioni contrattuali — il legittimo interesse è difficile da difendere. In questi casi, il consenso esplicito e granulare è la strada più sicura.

Aggiorna l’informativa. Descrivi la profilazione in modo specifico: quali dati usi, con quale logica, quali conseguenze produce. La formula “trattiamo i dati per migliorare il servizio” non è sufficiente. L’art. 14 GDPR richiede che il linguaggio sia chiaro, specifico e accessibile.

Valuta se serve una DPIA. L’art. 35 del GDPR prevede l’obbligo di valutazione d’impatto (DPIA) quando il trattamento include una valutazione sistematica di aspetti personali basata su trattamento automatizzato, inclusa la profilazione, da cui derivano decisioni con effetti giuridici o significativi. Se rientri in questo scenario, la DPIA non è facoltativa. Per approfondire quando serve davvero, vedi la guida DPIA per strumenti AI.

Documenta tutto. Il registro dei trattamenti (art. 30 GDPR) deve includere le attività di profilazione, con finalità, base giuridica, categorie di dati e tempi di conservazione. In caso di ispezione, la documentazione è la prima cosa che viene richiesta.

Un numero che dice tutto

Quando Intesa Sanpaolo ha ripetuto l’operazione con un meccanismo di consenso esplicito — su richiesta dell’AGCM — solo 76.000 clienti su 2,1 milioni hanno accettato il trasferimento. Il 3,6%. Questo dato demolisce l’argomento che i clienti fossero d’accordo ma non avessero risposto. In realtà, il 96,4% non voleva essere trasferito.

Per una PMI, il parallelo è immediato: se devi ricorrere al silenzio-assenso per ottenere ciò che chiedi ai clienti, probabilmente stai facendo qualcosa che non si aspettano. E il GDPR protegge proprio le aspettative ragionevoli degli interessati.

Approfondisci

Questo articolo non costituisce consulenza legale.