urn:nir:tar.lazio;sezione.1:sentenza:00000-0000220IN20250913420260131120929984.xml20250913420260131120929984.docm202509134\202509134.xmlU:\DocumentiGA\Roma\Sezione 1\2025\202509134\SentenzaRoberto Politi31/01/2026 15:42:03Roberto Politi31/01/2026 15:42:0302/02/2026NNFalsoIl Tribunale Amministrativo Regionale per il Lazio(Sezione Prima)ha pronunciato la presenteSENTENZARoberto Politi, Presidente, EstensoreFilippo Maria Tropiano, ConsigliereMatthias Viggiano, Primo Referendario per l’annullamento- del provvedimento dell’AGCM prot. n. 0041052 del 20 maggio 2025, notificato a Poste in data 26 maggio 2025 e pubblicato nel Bollettino dell’AGCM n. 22/2025 del 9 giugno 2025;- del provvedimento dell’AGCM prot. n. 0110911 del 17 dicembre 2024, notificato a Poste in data 18 dicembre 2024, di rigetto degli impegni proposti dalla Società;- di tutti gli atti presupposti, connessi e consequenziali, ancorché non conosciuti, incluse le comunicazioni di AGCM prot. n. 0001283 del 10 gennaio 2025, n. 0016400 del 5 marzo 2025 e n. 0028703 del 15 aprile 2025 sul ricorso numero di registro generale 9134 del 2025, proposto da Poste Italiane S.p.A., in persona del legale rappresentante pro tempore, rappresentata e difesa dagli avvocati Vito Auricchio, Silvia Massaro, Giovanni Diana e Irene Stigliano, elettivamente domiciliata presso lo studio Legance - Avvocati Associati, in Roma, alla Via di San Nicola da Tolentino n. 67, con domicilio digitale come da PEC da Registri di Giustizia Autorità Garante della Concorrenza e del Mercato, in persona del legale rappresentante, rappresentata e difesa ex lege dall’Avvocatura Generale dello Stato, presso la quale è domiciliata in Roma, alla Via dei Portoghesi, n. 12 Autorità per le Garanzie nelle Comunicazioni, in persona del legale rappresentante, rappresentata e difesa ex lege dall’Avvocatura Generale dello Stato, presso la quale è domiciliata in Roma, alla Via dei Portoghesi, n. 12Antonio Maria D’Arienzo, non costituito in giudizioVisti il ricorso e i relativi allegati;Visti gli atti di costituzione in giudizio dell’Autorità Garante della Concorrenza e del Mercato e dell’Autorità per le Garanzie nelle Comunicazioni;Visti tutti gli atti della causa;Relatore nell'udienza pubblica del giorno 28 gennaio 2026 il dott. Roberto Politi e uditi per le parti i difensori come specificato nel verbale;Ritenuto e considerato in fatto e diritto quanto segue. FATTO e DIRITTO1. Espone parte ricorrente, in qualità di intermediario finanziario soggetto ad obblighi normativi in materia di presidi antifrode, di aver avviato dal 2019 un processo di rafforzamento e internalizzazione dei controlli antifrode, dotandosi di una Piattaforma Integrata Antifrode (“PIAF”) per la verifica del rischio connesso a tutte le transazioni digitali (operazioni di e-commerce, digital banking ed operazioni assicurative).Soggiunge di aver introdotto, ad aprile 2024, un presidio antifrode gratuito, specificatamente volto a ridurre il rischio di frodi poste in essere attraverso l’impiego di malware cui sono maggiormente esposti i dispositivi mobile su cui è installato il sistema operativo Android (potenzialmente più vulnerabili al rischio di frodi rispetto ai sistemi IOS e che per tale ragione necessitano dell’impiego di un feed anti-malware), per mettere maggiormente in sicurezza le operazioni effettuate dalla clientela tramite le App di Poste.Al fine di offrire anche alla clientela Android un livello di tutela antifrode in linea con i più alti standard tecnici disponibili sul mercato, Poste ha integrato nella PIAF la componente antimalware dell’applicativo antifrode ThreatMetrix (oggi LexisNexis ThreatMetrix).ThreatMetrix – applicativo standard ampiamente diffuso sul mercato e adoperato da svariati operatori del settore bancario, finanziario e dei servizi di pagamento – necessita di accedere esclusivamente alle informazioni strettamente necessarie a effettuare l’analisi e la catalogazione delle applicazioni in esecuzione per classi di rischio di esposizione a eventuali malware presenti sul dispositivo del cliente nel momento in cui questi effettua una transazione mediante le App di Poste (cd. “dati di utilizzo”).Si tratta, in particolare, di “informazioni tecniche”, raccolte da ThreatMetrix al solo fine di svolgere i predetti controlli antifrode, in assenza, pertanto, di qualsivoglia utilizzazione (anche meramente potenziale e/o secondaria) a fini commerciali.Tali informazioni tecniche, raccolte dalla componente antimalware del contestato sistema antifrode, sono anonimizzate irreversibilmente dal fornitore di servizi di cybersecurity che rende, poi, disponibile alla PIAF di Poste un punteggio (uno score) che indica il livello di rischio della singola transazione.Con provvedimento prot. n. 0041643 del 22 aprile 2024, AGCM ha avviato il procedimento istruttorio PS12768, contestando a Poste una asserita pratica commerciale scorretta in violazione degli artt. 20, 24 e 25 del D.Lgs. n. 206/2005 (Codice del Consumo), consistente nell’aver asseritamente subordinato, a partire da aprile 2024, l’utilizzo delle App di Poste – installate sugli smartphone con sistema operativo Android – al rilascio dell’autorizzazione da parte dell’utente ad accedere a determinate informazioni (strettamente necessarie all’analisi del rischio frode) del proprio smartphone, pena il blocco delle medesime App.In esito allo svolgimento di un’articolata istruttoria, in data 26 maggio 2025, l’Autorità ha notificato a Poste il provvedimento, oggetto del presente gravame, con il quale ha ritenuto la condotta contestata integrare una violazione degli artt. 20, 24 e 25 del Codice del Consumo; ed ha irrogato una sanzione pari a 4 milioni di Euro.2. A sostegno della proposta impugnativa, Poste ha dedotto i seguenti argomenti di censura:2.1) SULLA ERRATA SUSSUNZIONE DELLA CONDOTTA CONTESTATA NELL’AMBITO DI APPLICAZIONE DEL CODICE DEL CONSUMO: violazione e falsa applicazione degli artt. 18, 20, 24 e 25 del Codice del Consumo e del Considerando 7 della Direttiva 2005/29/CE. Eccesso di potere in tutte le figure sintomatiche e, in particolare, per manifesta irragionevolezza, illogicità, contraddittorietà e travisamento dei fatti. Difetto di motivazione e carenza di istruttoria.Ad avviso della ricorrente, la condotta contestata esula dall’ambito di applicazione del Codice del Consumo, stante l’insussistenza degli elementi costituivi un illecito consumeristico.La condotta non sarebbe sussumibile nel novero delle “decisioni commerciali”, fondandosi, piuttosto, sulla sola necessità (rectius: obbligo) di assicurare la sicurezza delle transazioni finanziarie (bene giuridico tutelato) effettuate da un preciso segmento di clientela (utenti in possesso di dispositivo mobile con sistema operativo Android) tramite le App di Poste.Né l’esistenza di una relazione contrattuale integra, ex se, elemento dirimente affinché una specifica condotta possa essere ritenuta una pratica commerciale, come chiarito:- dalla Direttiva 2005/29/CE (cfr. Considerando 13);- e dall’art. 18, comma 1, lett. d) del Codice del Consumo, per il quale una pratica commerciale è tale in presenza di un quid pluris, consistendo in una “azione, omissione, condotta o dichiarazione […] posta in essere da un professionista in relazione alla promozione, vendita o fornitura di un prodotto ai consumatori” ed è vietata se scorretta, ossia “contraria alla diligenza professionale, ed è falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio” (art. 20, commi 2 e 3 del Codice del Consumo).La connotazione di una condotta quale pratica commerciale non può prescindere da una attenta disamina dello “scopo” che caratterizza la genesi della pratica e del contesto fattuale in cui si inserisce; soggiungendosi come il Considerando n. 7 della Direttiva 2005/29/CE chiarisca come quest’ultima riguardi solo le pratiche commerciali, il cui intento diretto sia quello di influenzare le decisioni di natura commerciale dei consumatori relative a prodotti, non riguardando invece condotte poste in essere principalmente per realizzare altri scopi.Conseguentemente, la finalità di tutela degli utenti Android che sottende la condotta contestata, l’assenza di qualsivoglia patrimonializzazione e monetizzazione dei dati raccolti e l’assenza di un sinallagma che i dati dei clienti dovrebbero in qualche modo remunerare, consentono di dimostrare come lo scopo che caratterizza la genesi della condotta contestata esuli dall’ambito applicativo del Codice del Consumo: precisandosi, al riguardo, come Poste non abbia previsto alcun “costo aggiuntivo” per l’attivazione del dispositivo ThreatMetrix, né tratto alcun vantaggio, men che meno economico, dall’implementazione della condotta contestata, la quale risponde alle necessità di compliance normativa rispetto agli obblighi gravanti sull’intermediario finanziario e tutela del cliente.Nell’osservare come l’Autorità abbia ritenuto applicabile il Codice del Consumo, in quanto la richiesta di accesso ai dati tecnici oggetto della condotta contestata avrebbe inciso sulla possibilità per i clienti Android di “poter continuare a usufruire di una funzionalità ricompresa nel servizio”, che costituirebbe “parte integrante dell’offerta di Poste Italiane […], segnatamente la possibilità di disporre del proprio conto corrente o della propria carta di credito attraverso il canale App”, evidenzia la ricorrente l’esigenza di accedere ai dati necessari per consentire l’efficacia dei dispositivi antifrode allo scopo di tutelare la sicurezza dei propri clienti, nonché di sospendere, se del caso, l’utilizzo di uno degli alternativi canali di accesso ai propri servizi (senza, naturalmente, sospendere la fornitura dei servizi medesimi) laddove non vi siano, per ragioni alla stessa non imputabili, i presupposti per garantire l’attivazione dei più alti presidi antifrode.2.2) SUL RISPETTO DEL CANONE DI DILIGENZA PROFESSIONALE: violazione e falsa applicazione degli artt. 20, 24 e 25 del Codice del Consumo. Eccesso di potere in tutte le figure sintomatiche e, in particolare, per manifesta irragionevolezza, illogicità, non proporzionalità, travisamento dei fatti. Difetto di motivazione e carenza di istruttoria.L’Autorità, pur riconoscendo che “la disciplina di cui dalla Direttiva PSD2 e i relativi standard tecnici RTS richiedono ai prestatori di servizi di pagamento l’adozione di processi di monitoraggio delle operazioni effettuate tramite i loro sistemi volti a intercettare i fattori di rischio – tra cui i segnali della presenza di malware”, avrebbe erroneamente ritenuto che “tali atti non giungono a indicare come deve funzionare la componente anti malware del sistema antifrode di cui [i prestatori di servizi di pagamento] devono dotarsi”.AGCM non avrebbe adeguatamente esaminato e/o pienamente valutato la posizione formalizzata da Banca d’Italia in sede istruttoria (nell’ambito della quale è stato da quest’ultima espresso un giudizio positivo sui processi di prevenzione e monitoraggio antifrode, tra cui l’attivazione del sistema ThreatMetrix), pervenendo all’adozione di una determinazione viziata da:- carenza di istruttoria e di motivazione, con non trascurabili “ricadute di sistema” sul piano dell’affievolimento della lotta ai fenomeni fraudolenti e delle responsabilità degli intermediari finanziari e da contraddittorietà;- e da illogicità, considerato che Poste è stata sanzionata per essere stata efficace e proattiva nel mettere in campo tutte le azioni a tutela della propria clientela finanziaria, peraltro adeguatamente e tempestivamente informata.Diversamente, stante la consapevolezza di Poste circa il maggiore rischio gravante sui clienti Android, la mancata adozione di sistemi antifrode in linea con i più elevati standard tecnici disponibili sul mercato avrebbe costituito essa stessa una violazione del dovere di diligenza professionale gravante sulla Società, esponendola peraltro al rischio di azioni risarcitorie.In ragione della rappresentata esigenza di preliminare definizione del rapporto tra la disciplina sui servizi di pagamento (Direttiva PSD2) e le discipline di tutela del consumatore (Direttiva 2005/29/CE) e dei dati personali (Regolamento (UE) 2016/679), parte ricorrente ha, altresì, chiesto la rimessione alla Corte di Giustizia dell’Unione Europea, ai sensi dell’art. 267 TFUE, della seguente questione pregiudiziale:“Se gli artt. 20, 24 e 25 della Direttiva 2005/29/Ce del Parlamento europeo e del Consiglio dell’11 maggio 2005, debbano essere interpretati nel senso che, in presenza di condotte dell’intermediario finanziario, relative all’accesso e previa autorizzazione degli interessati, ai soli dati utili a garantire la piena operatività di dispositivi antifrode e senza alcuno scambio con terzi o patrimonializzazione degli stessi, assorbano o prevalgano sugli obblighi imposti dalla Direttiva UE 2015/2366, e, in particolare, dall’art. 2 degli Standard Tecnici di Regolamentazione elaborati dall’Autorità Bancaria Europea e adottati con il Regolamento Delegato (UE) 2018/389, che impongono ai prestatori di servizi di pagamento l’adozione di presidi antifrode idonei a rilevare segnali della presenza di malware, a tutela delle operazioni effettuate tramite i loro sistemi”.2.3) SULL’INSUSSISTENZA DI ALCUNA PRESUNTA AGGRESSIVITÀ DELLA CONDOTTA: violazione e falsa applicazione degli artt. 20, 24 e 25 del Codice del Consumo. Eccesso di potere in tutte le figure sintomatiche e, in particolare, per manifesta irragionevolezza, illogicità, non proporzionalità, travisamento dei fatti. Difetto di motivazione e carenza di istruttoria.Se, ai sensi dell’art. 20, comma 4, del Codice del Consumo, le pratiche commerciali aggressive costituiscono species del genus delle pratiche commerciali scorrette di cui all’art. 20, comma 2, del Codice del Consumo (per cui non è possibile ritenere aggressiva una condotta che non violi i parametri di buona fede, correttezza e diligenza professionale e non sia pertanto suscettibile di essere ritenuta scorretta in ossequio alla menzionata clausola generale), il provvedimento gravato sembra contestare a Poste due distinte e autonome violazioni:- degli articoli 24 e 25 del Codice del Consumo, da un lato,- e dell’art. 20 del medesimo codice, dall’altro.Qualora dovesse ritenersi che una medesima condotta possa integrare autonome e distinte violazioni della regola generale di cui all’art. 20 del Codice del Consumo da un lato, e degli articoli 24 e 25 dall’altro, esclude parte ricorrente che le modalità con le quali è stata implementata la condotta contestata possano dirsi aggressive.L’eventuale blocco delle App di Poste non ha, infatti, privato gli utenti Android della possibilità di accedere tout court ai servizi offerti, né ha limitato i canali di accesso o la tipologia di dispositivi attraverso i quali accedere ai servizi della Società.Come espressamente riconosciuto nel parere di Banca d’Italia, è stata infatti sempre e comunque garantita ai consumatori la possibilità di effettuare le medesime operazioni online, accedendo ai servizi della Società tramite browser – da tutti i dispositivi, quindi sia da smartphone che PC o tablet – nonché presso gli uffici postali.Nell’osservare come l’Autorità si sia riferita al fatto che le app utilizzerebbero “interfacce più intuitive e ottimizzate”, che consentirebbero “un accesso più rapido ai dati e alle funzionalità offerte” ed una “comunicazione istantanea con il consumatore”, esclude Poste che la prima abbia dimostrato l’infungibilità dell’utilizzo di queste ultime, rispetto agli altri canali di accesso ai servizi dalla medesima forniti alla clientela.Né l’Autorità ha dimostrato l’esistenza di una decisione di natura commerciale, che sarebbe stata sviata con la condotta contestata, nonostante tale analisi sia richiesta dall’art. 24 del Codice del Consumo per qualificare una condotta come aggressiva: in proposito, osservandosi che, quanto alla “natura dei dati” in questione, vengono in considerazione meri “dati di utilizzo”, impiegati esclusivamente ai fini della classificazione del rischio frode, suscettibili di consentire il conseguimento di un maggior livello di sicurezza a vantaggio del cliente.Poste, nel corso del procedimento, ha dimostrato che i dati raccolti in forma anonima nell’ambito della condotta contestata:- non sono utilizzati per profilare gli utenti a fini commerciali e/o di marketing da parte di Poste o di terzi;- non sono ceduti a terzi da parte di Poste;- non fuoriescono dalla PIAF e non sono resi accessibili alle funzioni commerciali/marketing di Poste;- non sono utilizzati per accrescere in termini commerciali le performance delle App di Poste.E sostiene che la necessarietà della condotta contestata discende dal dovere di protezione della propria clientela, in ossequio al quale ha ritenuto che la scelta di bloccare l’accesso alle App di Poste laddove la stessa non fosse in condizione di assicurare il più alto livello di tutela – pur essendo conscia dell’esistenza di un rischio di frodi realizzate attraverso malware e pur avendo nella propria disponibilità sistemi idonei a contrastare efficacemente tale rischio – rappresentasse la soluzione più idonea affinché Poste potesse garantire alla totalità della propria clientela Android il medesimo livello (il più alto) di sicurezza delle proprie operazioni.Il provvedimento si rivelerebbe, inoltre, manifestamente contraddittorio nella parte in cui l’Autorità, da una parte, ha sostenuto che la valutazione dell’efficacia del sistema adottato da Poste non sarebbe “oggetto della contestazione”, salvo tuttavia suffragare la propria contestazione di non necessarietà sulla base del numero asseritamente esiguo di alert rilevato dalla componente antimalware di Poste.2.4) SULL’ILLEGITTIMITÀ DEL RIGETTO DEGLI IMPEGNI PRESENTATI DA POSTE: violazione e falsa applicazione dell’art. 27 del Codice del Consumo. Eccesso di potere in tutte le figure sintomatiche e, in particolare, per manifesta irragionevolezza, illogicità, non proporzionalità, travisamento dei fatti. Difetto di motivazione e carenza di istruttoria.Nell’evidenziare di aver presentato due proposte di impegni, preordinate al superamento delle asserite criticità rilevate da AGCM, Poste – nel sostenere che gli stessi, per come integrati, prospettassero la tempestiva ed integrale cessazione della condotta contestata – confuta che essi non potevano non ritenersi idonei ad “eliminare i profili di illegittimità” della asserita pratica, di talché la valutazione dell’Autorità (e la motivazione del rigetto) si sarebbe dovuta attestare sulla eventuale sussistenza di profili di “manifesta scorrettezza e gravità della pratica” ai sensi dell’art. 27, comma 7 del Codice del Consumo.2.5) SULLA VIOLAZIONE DEL TERMINE PERENTORIO DI CONCLUSIONE DEL PROCEDIMENTO: violazione e falsa applicazione dell’art. 27 del Codice del Consumo e dell’art. 7 del Regolamento Procedure nonché dell’art. 8 del Nuovo Regolamento Procedure. Violazione dell’art. 2 della L. n. 241/1990. Violazione dei principi di imparzialità, buon andamento, buona amministrazione e leale cooperazione di cui all’art. 97 della Costituzione e all’art. 1 della L. n. 241/1990. Violazione del diritto ad una buona amministrazione di cui all’art. 41 della Carta dei Diritti Fondamentali Unione Europea. Violazione dei principi di legalità e di certezza del diritto. Violazione degli artt. 6 e 7 della Convenzione Europea dei Diritti dell’Uomo.Il termine di conclusione del procedimento è stato oggetto delle seguenti proroghe:- una prima proroga, di sessanta giorni rispetto all’originario termine di centocinquanta giorni – nel quale era stato pertanto già computato l’ulteriore periodo di trenta giorni per l’acquisizione dei pareri delle Autorità di regolazione competenti (dovendosi, in assenza di tali pareri, applicare il termine ordinario di centoventi giorni ai sensi dell’art. 7 del Regolamento Procedure), fino al 18 novembre 2024 per “particolari esigenze istruttorie, in considerazione della necessità di esaminare le risultanze in atti ai fini della valutazione della fattispecie oggetto del procedimento in questione e di completare gli adempimenti istruttori” (cfr. comunicazione del 10 settembre 2024); - una seconda proroga, di ulteriori sessanta giorni, fino al 17 gennaio 2025, “in considerazione della necessità di esaminare le risultanze in atti ai fini della valutazione della fattispecie oggetto del procedimento e di completare gli adempimenti istruttori” (cfr. comunicazione del 15 novembre 2024);- una terza proroga, di ulteriori sessanta giorni, fino al 18 marzo 2025, “in considerazione della necessità di esaminare le risultanze in atti ai fini della valutazione della fattispecie oggetto del procedimento e di completare gli adempimenti istruttori” (cfr. comunicazione del 10 gennaio 2025);- una quarta proroga, di ulteriori quarantacinque giorni, fino al 2 maggio 2025, ancora “in considerazione della necessità di completare gli adempimenti istruttori” (cfr. comunicazione del 5 marzo 2025);- una quinta proroga, di ulteriori sessanta giorni, fino al 1° luglio 2025, “per esaminare le risultanze in atti, ai fini della valutazione della fattispecie oggetto del procedimento e dare seguito agli adempimenti necessari per la conclusione dello stesso” (cfr. comunicazione del 15 aprile 2025).Conseguentemente, a fronte di una prorogabilità per un massimo di 120 giorni del procedimento e di una durata complessiva dello stesso pari a 270 giorni (come stabilito dall’art. 7 del Regolamento Procedure), nel caso di specie l’Autorità ha disposto cinque proroghe del termine in questione (per un totale di 285 giorni di proroghe complessive), concludendo il procedimento 398 giorni dopo il suo avvio.In ogni caso, la violazione del termine perentorio di conclusione viene in considerazione, anche ove si ritenga applicabile al procedimento in esame la disciplina di cui al Nuovo Regolamento Procedure, in quanto sono state comunque disposte 5 proroghe a fronte delle 2 previste dalla disciplina regolamentare ed il procedimento stesso si è concluso 398 giorni dopo il suo avvio, a fronte di una durata massima di 330 giorni: assumendosi, peraltro, che le proroghe – mai richieste o sollecitate da Poste – sono state disposte dall’Autorità in assenza di qualsivoglia effettiva esigenza istruttoria: e, pertanto, in maniera del tutto immotivata.2.6) SULL’IRREGOLARE SVOLGIMENTO DELL’ISTRUTTORIA E LA COMPRESSIONE DEL DIRITTO DI DIFESA CHE NE È DERIVATA: violazione e falsa applicazione dell’art. 27 Codice del Consumo e dell’art. 13 del Nuovo Regolamento Procedure. Violazione dei principi di imparzialità, buon andamento, buona amministrazione, proporzionalità e leale cooperazione di cui all’art. 97 della Costituzione e all’art. 1 della L. n. 241/1990. Violazione dei principi del contraddittorio, di difesa e parità delle armi. Eccesso di potere in tutte le figure sintomatiche e, in particolare, per manifesta irragionevolezza, difetto di motivazione e carenza di istruttoria.Nell’osservare come l’art. 27, comma 11, del Codice del Consumo preveda che l’Autorità è tenuta a “garantire il contraddittorio, la piena cognizione degli atti e la verbalizzazione”, si osserva che, laddove la parte ne faccia richiesta (come nel caso di specie ha fatto Poste), l’Autorità non possa negare la possibilità di una audizione dinanzi all’organo decidente, ossia il Collegio, stante la natura eminentemente afflittiva dei procedimenti in oggetto.2.7) SULLA QUANTIFICAZIONE DELLA SANZIONE: violazione e falsa applicazione dell’art. 27 del Codice del Consumo e dell’art. 11 Legge n. 689/1981. Violazione dell’art. 3 della L. n. 241/1990. Violazione dei principi di proporzionalità e ragionevolezza. Eccesso di potere in tutte le figure sintomatiche e, in particolare, irragionevolezza, ingiustizia manifesta, difetto di istruttoria e difetto di motivazione.Con il provvedimento impugnato, l’Autorità ha comminato a Poste una sanzione pari a € 6.000.000,00, ridotta a € 4.000.000,00 in ragione del “ravvedimento operoso” della Società, che ha interrotto la condotta contestata con la spontanea implementazione dell’Impegno a rimuovere il blocco delle App di Poste.Tale sanzione viola l’art. 27, comma 9-ter, lett. d) del Codice del Consumo, il quale impone all’Autorità di tenere in considerazione i “benefici finanziari conseguiti o le perdite evitate dal professionista in conseguenza della violazione”, atteso che è incontestato che Poste non abbia tratto alcun beneficio finanziario dalla condotta contestata, dal momento che l’istruttoria svolta non ha evidenziato alcuna finalità commerciale, né alcuna forma di patrimonializzazione dei dati degli utenti e conseguente vantaggio economico a favore della Società.L’Autorità, inoltre, avrebbe omesso di considerare, quali fattori attenuanti ex 27, comma 9-ter, lett. f) del Codice del Consumo, la buona fede di Poste e la rilevanza del contesto normativo settoriale di riferimento: che, per quanto secondo l’Autorità non giustifichi le modalità con le quali è stata implementata la condotta contestata, non può non essere tenuto in considerazione in sede di quantificazione della sanzione, non essendo contestato che Poste abbia adottato la condotta al solo fine di ottemperare in maniera efficace agli obblighi normativi in materia di prevenzione delle frodi.Da ultimo, l’Autorità avrebbe erroneamente applicato i criteri della “gravità” e della “diffusione della condotta”.3. Conclude la parte per l’accoglimento del gravame, con conseguente annullamento degli atti con esso avversati.4. In data 11 agosto 2025, l’Autorità intimata si è costituita in giudizio; ed ha depositato, in data 21 agosto 2025 ed il 12 gennaio 2026, articolate memorie di controdeduzioni, insistendo per la reiezione del gravame.5. Il ricorso viene trattenuto per la decisione alla pubblica udienza del 28 gennaio 2026.6. Nel rilevare come la pratica commerciale scorretta dall’Autorità ascritta a Poste Italiane consista nel blocco dell’utilizzo delle App Banco Posta e PostePay installate negli smartphone con sistema operativo Android in caso di mancato rilascio, da parte degli utenti, dell’autorizzazione ad accedere ai dati del proprio smartphone, osserva il Collegio come tale pratica sia stata ritenuta dall’AGCM:- aggressiva, in violazione degli articoli 24 e 25 del Codice del consumo, in quanto la possibilità per i clienti di Poste di poter continuare ad avvalersi delle predette App è stata subordinata al rilascio obbligatorio del consenso all’accesso a una pluralità di dati presenti nel proprio smartphone, in base a una richiesta genericamente motivata dalla necessità di garantire la sicurezza da eventuali frodi agli utenti delle App Banco Posta e PostePay;- in contrasto con il dovere di diligenza professionale prescritto all’articolo 20 del Codice del consumo, in considerazione dell’asimmetria informativa che caratterizza i rapporti tra intermediari finanziari con i propri clienti, che, nel caso di specie, deve ritenersi particolarmente elevata in considerazione dell’importanza del Professionista e delle caratteristiche della sua clientela che, ricomprende soggetti non particolarmente esperti e informati.A fronte della pratica, come sopra accertata, l’Autorità ha inflitto a Poste Italiane una sanzione amministrativa pecuniaria di € 4.000.000,00.7. Quanto al primo dei sopra sintetizzati profili di censura, sostiene la difesa erariale che:- se per «pratiche commerciali» – assoggettate al titolo III della parte II del Codice del consumo – devono intendersi tutti i comportamenti tenuti da professionisti che siano oggettivamente «correlati» alla «promozione, vendita o fornitura» di beni o servizi a consumatori, e posti in essere anteriormente, contestualmente o anche posteriormente all’instaurazione dei rapporti contrattuali,- allora anche la condotta oggetto di contestazione, consistente nella possibilità di blocco dell’App in assenza del rilascio dell’autorizzazione dell’utente al trattamento dei dati, rientrerebbe in tale nozione.Nel caso di specie, infatti, il rapporto di consumo andrebbe ravvisato nella relazione contrattuale intercorrente tra il consumatore e Poste Italiane S.p.A., avente a oggetto la fornitura di servizi di pagamento fruibili anche mediante le App Banco Posta e PostePay.Il professionista ha richiesto ai propri clienti di autorizzare l’accesso ai dati dello smartphone al fine di poter continuare a usufruire di una funzionalità ricompresa nel servizio da esso fornito, che costituisce parte integrante dell’offerta di Poste Italiane ai clienti (segnatamente, la possibilità di disporre del proprio conto corrente o della propria carta di credito attraverso il canale App): la condotta in esame dimostrando dirette ricadute sul rapporto di fornitura del servizio erogato da Poste, rappresentando il blocco della App, per quanto concerne il rapporto con il singolo consumatore, una mancata erogazione della prestazione tale da poter assumere i connotati dell’inadempimento ingiustificato, ove non sorretto da adeguate ragioni.8. Tale tesi non si presta a condivisione.8.1 Nel provvedimento gravato si dà atto della prospettazione di Poste Italiane, relativamente alla questione che ne occupa, rilevandosi che “secondo il Professionista, i dati oggetto di monitoraggio ai fini antifrode, non sarebbero configurabili come “patrimoniali” sia in ragione delle modalità di raccolta degli stessi (che avverrebbe in forma anonima mediante l’attribuzione di un codice hash), sia per la segregazione che, a dire del Professionista li sottrarrebbe a finalità commerciali e/o di marketing. Secondo Poste, pertanto, l’insussistenza di un rapporto di consumo deriverebbe dalla mancata commercializzazione dei dati dei clienti di Poste Italiane, oggetto della richiesta di autorizzazione”.A tale tesi, l’Autorità (§§ 78-79 del provvedimento) ha opposto il convincimento che, “anche volendo prescindere da ogni valutazione sull’effettiva irreversibilità della natura anonima dei dati interessati e sull’assenza di qualsivoglia utilizzo, anche potenziale, degli stessi per finalità commerciali, nel caso di specie il rapporto di consumo va ravvisato nella relazione contrattuale intercorrente tra il consumatore e Poste Italiane S.p.A., avente a oggetto la fornitura di servizi di pagamento anche mediante le App Banco Posta e PostePay. Il Professionista ha, infatti, richiesto ai propri clienti di autorizzare l’accesso ai dati del proprio smartphone al fine di poter continuare a usufruire di una funzionalità ricompresa nel servizio da esso fornito, che costituisce parte integrante dell’offerta di Poste Italiane ai propri clienti, segnatamente la possibilità di disporre del proprio conto corrente o della propria carta di credito attraverso il canale App”.Sostanzialmente, il carattere (indiscutibilmente “commerciale”) del rapporto negoziale instauratosi fra Poste ed i consumatori, riguardante la fornitura, da parte della prima, di servizi fruibili (anche) mediante utilizzo delle App Banco Posta e Postepay, caratterizzerebbe (derivativamente; ed in senso omogeneamente “commerciale”) la condotta, che ha determinato l’irrogazione della contestata sanzione, riguardante il “blocco” delle stesse App (si precisa, operanti su apparecchi dotati di sistema operativo Android) nel caso di mancato accesso ai dati, funzionale all’attivazione della componente antimalware dell’applicativo antifrode ThreatMetrix.8.2 L’analisi della giurisprudenza formatasi sulla nozione di “pratica commerciale scorretta” non consente di convenire con la prospettazione di AGCM.Viene, in primo luogo, in considerazione Cons. Stato, Sez. VI, 12 gennaio 2022, n. 203; con la quale:- dato atto che “per “pratiche commerciali” … si intendono tutti i comportamenti tenuti da professionisti che siano oggettivamente “correlati” alla “promozione, vendita o fornitura” di beni o di servizi a consumatori, posti in essere anteriormente, contestualmente o anche posteriormente all'instaurazione dei rapporti contrattuali”- e precisato che “la condotta tenuta dal professionista può consistere in dichiarazioni, atti materiali, o anche semplici omissioni (nelle ipotesi in cui le regole di diligenza impongano una condotta commissiva)”,si evidenzia che la nozione di “pratica commerciale scorretta” integra la presenza di “un comportamento che ha valenza generale che si inserisce, in quanto tale, nell’ambito di una strategia di impresa o professionale finalizzata a trarre illeciti vantaggi economici con pregiudizio delle parti contrattuali deboli (Consiglio di Stato, sez. VI, 27 febbraio 2020, n. 1428; Id.; 11 novembre 2019, n. 7699)”.Se, alla stregua di quanto dalla pronunzia in rassegna soggiunto, “tale pratica commerciale, per potere essere considerata scorretta, deve, in primo luogo, essere contraria alle norme di diligenza professionale, locuzione da intendere come richiamo (non alla colpa ma) alla buona fede quale regola di condotta oggettiva alla quale la parte professionale deve conformare la propria attività concreta”, allora “la disposizione di cui al citato art. 20, comma 2, Cod. cons. non va intesa come una mera clausola “ricognitiva” delle pratiche commerciali ingannevoli ed aggressive ‒ rilevante soltanto a fini interpretativi ‒ bensì delinea una “fattispecie” (generale) di illecito, dotata di autonoma portata disciplinare, applicabile in caso di mancata integrazione delle fattispecie speciali delineate dagli artt. 21 e ss. del medesimo Codice. Le “pratiche commerciali scorrette”, in altre parole, costituiscono un genus unitario di illecito, i cui elementi costitutivi sono definiti dall’art. 20, comma 2, Cod. cons.”.I principi, come sopra riportati, si trovano enunciati anche in Cons. Stato, Sez. VI, 7 ottobre 2022, n. 8614 e 14 aprile 2020, n. 2414, nelle quali trovasi affermato che “le “pratiche commerciali scorrette” costituiscono un genus unitario di illecito, i cui elementi costitutivi sono definiti dall’art. 20, comma 2. All’interno della fattispecie generale, il legislatore ha “ritagliato” ‒ per finalità di semplificazione probatoria ‒ due sottotipi (e all’interno di ciascuno di essi, due ulteriori fattispecie presuntive) che si pongono in rapporto di specialità (per specificazione) rispetto alla prima.A questi fini, in ordine di successione ermeneutica:- occorre prima stabilire se la condotta contestata possa essere inquadrata all’interno delle “liste nere” (di cui agli articoli 23 e 26): in caso di risposta positiva, la pratica dovrà qualificarsi scorretta senza che si renda necessario accertare la sua contrarietà alla «diligenza professionale» e la sua concreta attitudine «a falsare il comportamento economico del consumatore»;- qualora la pratica non sia ricompresa in nessuna delle due fattispecie presuntive, va accertato se ricorrono gli estremi della pratica commerciale ingannevole (artt. 21 e 22) oppure aggressiva (artt. 24 e 25): in tal caso, la verifica di ingannevolezza ed aggressività integra di per sé la contrarietà alla «diligenza professionale»;- ove i precedenti tentativi di sussunzione non risultino percorribili, non resta che ricorrere alla norma di chiusura sussidiaria di cui all’art. 20, comma 2: la mancata caratterizzazione dell’illecito in termini di ingannevolezza e aggressività, impone di accertare in concreto il grado della «specifica competenza e attenzione» che «ragionevolmente i consumatori attendono da un professionista nei loro confronti», tenuto conto delle peculiarità del caso di specie”.8.3 È del tutto incontroverso che l’acquisizione, da parte di Poste, di dati relativi all’utenza interessata all’utilizzazione delle app per la fruizione dei servizi prestati dalla ricorrente e dotata di apparecchio mobile con sistema operativo Android, non rechi con sé alcuna finalità di carattere commerciale, dimostrandosi esclusivamente funzionale, rispetto all’operatività del sistema anti-frode.Se l’Autorità, sul punto, esplicita considerazioni non approfonditamente articolate (limitandosi ad osservare che, “anche volendo prescindere da ogni valutazione sull’effettiva irreversibilità della natura anonima dei dati interessati e sull’assenza di qualsivoglia utilizzo, anche potenziale, degli stessi per finalità commerciali, nel caso di specie il rapporto di consumo va ravvisato nella relazione contrattuale intercorrente tra il consumatore e Poste Italiane S.p.A., avente a oggetto la fornitura di servizi di pagamento anche mediante le App Banco Posta e PostePay”), non è invece dato prescindere dalla puntuale individuazione delle finalità di una raccolta dati, quale quella in esame, onde appurare l’eventuale presenza di una preordinazione funzionale “commercialmente” connotata – in quanto tale, funzionale al conseguimento, da parte dell’operatore, di un indebito vantaggio economico – veicolata dalla posizione di supremazia che lo stesso ha acquisito all’interno del rapporto negoziale.Va rilevato che Poste, in qualità di intermediario finanziario soggetto ad obblighi normativi in materia di presidi antifrode, ha avviato dal 2019 un processo di rafforzamento e internalizzazione dei controlli antifrode, dotandosi di una Piattaforma Integrata Antifrode (“PIAF”) per la verifica del rischio connesso a tutte le transazioni digitali (operazioni di e-commerce, digital banking ed operazioni assicurative).Nell’aprile 2024, Poste ha introdotto un presidio antifrode gratuito, volto a ridurre ulteriormente il rischio di frodi poste in essere attraverso l’impiego di malware cui sono maggiormente esposti i dispositivi mobile su cui è installato il sistema operativo Android (potenzialmente più vulnerabili al rischio di frodi rispetto ai sistemi IOS; e che per tale ragione necessitano dell’impiego di un feed anti-malware), onde mettere maggiormente in sicurezza le operazioni effettuate dalla clientela tramite le App di Poste.Al fine di offrire alla clientela Android un livello di tutela antifrode in linea con i più elevati standard tecnici disponibili sul mercato, Poste ha integrato nella PIAF la componente antimalware dell’applicativo antifrode ThreatMetrix (oggi LexisNexis ThreatMetrix).Quest’ultimo è un applicativo standard, che necessita di accedere esclusivamente alle informazioni strettamente necessarie a effettuare l’analisi e la catalogazione delle applicazioni in esecuzione per classi di rischio di esposizione a eventuali malware presenti sul dispositivo del cliente nel momento in cui questi effettua una transazione mediante le App di Poste.Come indicato nello stesso provvedimento oggetto di gravame, viene in considerazione la presenza di “dati di utilizzo” (“usage data o usage stats”), per i quali si intendono “le informazioni tecniche raccolte da un’App o da un sistema operativo su come viene usato il dispositivo o le applicazioni installate” (cfr. nota 41 al provvedimento impugnato), raccolti da ThreatMetrix per lo svolgimento dei controlli antifrode, in assenza, pertanto, di qualsivoglia utilizzazione (anche meramente potenziale e/o secondaria) a fini commerciali degli stessi.In proposito, nel provvedimento si evidenzia che “il sistema operativo Android fornisce agli utenti messaggi, da cui emerge una portata molto ampia dell’autorizzazione richiesta, del seguente tenore: “l’accesso ai dati di utilizzo consente ad un’App di controllare quale altre App utilizzi e con quali frequenza, oltre a informazioni come operatore, lingua impostata e altri dettagli”; e si sottolinea, ulteriormente, che, fornendo l’autorizzazione, viene consentito “alle applicazioni di monitorare quali altre applicazioni utilizzate, e con quale frequenza, e di identificare il gestore telefonico, le indicazioni relative alla lingue e altri dati di utilizzo”.Secondo quanto osservato dalla ricorrente, tali informazioni tecniche, raccolte dalla componente anti-malware del contestato sistema antifrode, sono anonimizzate irreversibilmente dal fornitore di servizi di cybersecurity, che rende, poi, disponibile alla PIAF di Poste un punteggio (uno score) che indica il livello di rischio della singola transazione.In tale contesto si colloca la scelta di Poste, sanzionata con il provvedimento gravato, di chiedere agli utenti Android l’accesso a tali dati di utilizzo, pena l’impossibilità di utilizzare le App di Poste, non essendo possibile altrimenti consentire l’operatività del sistema anti-malware e pertanto garantire unicamente che le transazioni effettuate tramite tali applicazioni siano connaturate del più alto livello di tutela antifrode disponibile sul mercato (senza alcun vantaggio economico).8.4 Se il contenuto dei dati richiesti all’utenza è indubbiamente suscettibile di condurre ad un approfondimento in ordine alla compatibilità degli stessi con la normativa a tutela della privacy, va rilevato, da un lato, che il parere reso dal Garante per la Protezione dei Dati Personali in ambito endoprocedimentale, si limita a dare conto dell’avvio di un procedimento avente ad oggetto la compatibilità della condotta contestata con la normativa privacy: procedimento:- la cui eventuale conclusione non risulta (sulla base di quanto indicato da AGCM; e, comunque, a fronte delle risultanze documentali acquisite al giudizio) essere state definita;- e, comunque, integrante espressione dell’esercizio di un potere affatto estraneo all’ambito di tutela consumeristica, proprio delle prerogative riservate ad AGCM.D’altro canto, anche l’eventuale “esorbitanza” del compendio informativo richiesto alla clientela da parte di Poste, non corrisponde, ex se, all’esercizio di una pratica “commerciale”, in difetto della dimostrata funzionalizzazione dello stesso all’acquisizione, da parte dell’operatore, di un indebito vantaggio di natura economica.Infatti, “la correttezza del trattamento dei dati personali, che investe orizzontalmente ogni settore della vita sociale, al fine di garantire la tutela dei connessi diritti della personalità, … non investe la trasparenza delle informazioni circa lo sfruttamento di tali dati ai fini commerciali nell’ambito di un rapporto consumeristico”, essendo “la normativa sulla privacy … posta a tutela dei diritti della personalità, non a tutela della libertà del consumatore, sicché, sotto tale ultimo profilo, costituisce, ai fini in discorso, una normativa settoriale come le altre” (cfr. Cons. Stato, Sez. VI, 7 gennaio 2025, n. 80).8.5 Ciò precisato, viene in considerazione, nell’ambito dell’indagine preordinata alla verifica della utilizzabilità a fini commerciali dei dati raccolti da un operatore economico, la nota questione inerente il fenomeno della c.d. “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali.Di esso si è occupata la giurisprudenza, che ha avuto modo di osservare (cfr. Cons. Stato, Sez. VI, 7 gennaio 2025, n. 80) che “lo sfruttamento dei dati personali … si configura come una controprestazione del servizio offerto dal professionista, in quanto dotato di valore commerciale. Il professionista raccoglie i dati personali degli utenti e li usa a fini di profilazione per terzi con vendita di spazi pubblicitari e, quindi, con attività di intermediazione pubblicitaria e quant’altro”.Nel caso preso in esame dalla pronunzia da ultimo indicata, ha formato oggetto di disamina l’accesso, da parte del consumatore, ai servizi di Google, “consentendo, inconsapevolmente anche se non obbligatoriamente (vale a dire in assenza di una corretta e adeguata informazione …), l’utilizzo dei propri dati a Google, il quale cede i dati a terzi previo corrispettivo per le inserzioni pubblicitarie”.È stato, conseguentemente, osservato nella sentenza in rassegna che “lo scopo principale della profilazione è … quello di raccogliere dati personali e trasformarli in informazioni da utilizzare per la costruzione di pubblicità e sponsorizzazioni calibrate sugli interessi dell’utente, con lo scopo di far acquistare un determinato prodotto o servizio”.Se “i cookie di profilazione, in tale logica … sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete”, il Giudice d’appello ha, ulteriormente., osservato che “con gli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25 maggio 2016 e, poi, del 29 dicembre 2021, la Commissione europea, tra l’altro, ha posto in rilievo che “I dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto e vengono venduti a terzi”.8.6 Sulla base di quanto precedentemente osservato, esclude il Collegio che la condotta da AGCM qualificata in violazione delle prescrizioni dettate dagli artt. 20, 24 e 25 del Codice del Consumo, possa essere inquadrata nel genus della “pratica commerciale”; e, in quanto tale essere assoggettata alla disciplina di tutela dell’anzidetto Codice.L’Autorità ha, infatti, omesso di dimostrare:- in primo luogo, che la raccolta dei dati non fosse esclusivamente funzionale all’operativa del sistema antimalware applicato da Poste ai dispositivi Android;- secondariamente, che tale raccolta abbia avuto concrete – e comprovabili – utilizzazioni “estranee” alla finalità sopra indicata;- da ultimo, che per mezzo di essa sia stata conseguita dall’operatore economico una “utilità” di carattere commerciale, ovvero patrimonialmente suscettibile di stima, mediante utilizzo in proprio, ovvero a mezzo di cessione dei dati stessi in favore di altri operatori.8.7 Se difetta, come ora osservato, la connotabilità stessa della condotta in termini “commerciali”, soggiunge il Collegio che, quand’anche dovesse – invero, inconfigurabilmente – qualificarsi la stessa in tali termini, nondimeno non è ravvisabile, nella condotta ascritta a Poste Italiane, un elemento caratterizzante l’illecito consumeristico, rappresentato dal deficit diligenziale ascrivibile all’operatore economico.Come indicato da Cons. Stato, Sez. VI, 30 aprile 2025, n. 3681:“i) occorre prima stabilire se la condotta contestata possa essere inquadrata all’interno delle c.d. «liste nere» di pratiche ingannevoli o aggressive (di cui agli articoli 23 e 26 del d.lgs. n. 206/2005, cui si aggiungono le previsioni speciali di cui ai commi 3, 3-bis, 4 e 4-bis, dell’art. 21 e all’art. 22-bis) e, in caso affermativo, la pratica dovrà qualificarsi scorretta senza che si renda necessario accertare la sua contrarietà alla «diligenza professionale» e la sua concreta attitudine «a falsare il comportamento economico del consumatore»;ii) in caso contrario, qualora la pratica non sia ricompresa in nessuna delle anzidette fattispecie presuntive, va accertato se ricorrono gli estremi della nozione di pratica commerciale ingannevole (articoli 21 e 22) oppure aggressiva (articoli 24 e 25): in tal caso, la verifica di ingannevolezza ed aggressività integra di per sé la contrarietà alla «diligenza professionale»;iii) ove i precedenti tentativi di sussunzione non risultino percorribili, non resta che ricorrere alla norma di chiusura sussidiaria di cui all’articolo 20, comma 2: in questo caso, la mancata caratterizzazione dell’illecito in termini di ingannevolezza e aggressività, impone di accertare in concreto la contrarietà alla «diligenza professionale», ovvero il grado della «specifica competenza e attenzione» che «ragionevolmente i consumatori attendono da un professionista nei loro confronti», tenuto conto delle peculiarità del caso di specie”.Quanto al canone della “diligenza professionale”, lo stesso Giudice d’appello ha avuto modo di precisare che esso “deve essere definito alla luce del principio di buona fede, che ha rilevanza ai fini della stessa identificazione di una pratica scorretta. In particolare, l’art. 18, lett. h), definisce la «diligenza professionale» come il normale grado della specifica competenza ed attenzione che ragionevolmente i consumatori attendono da un professionista nei loro confronti rispetto ai principi generali di correttezza e di buona fede nel settore di attività del professionista” (Cons. Stato, Sez. VI, 14 maggio 2025, n. 4145).Tra i principi in proposito elaborati dalla giurisprudenza, deve rammentarsi (cfr. Cons. Stato, Sez. VI, 17 marzo 2025, n. 2203) che:- nell’ambito di applicazione della disciplina in materia di pratiche commerciali rientrano anche le pratiche poste in essere dopo la conclusione del contratto (l’ipotesi che qui ne occupa; cfr. Corte di Giustizia UE, sentenza del 20 luglio 2017, Gelvora, C-357/16; Cons. Stato, Sez. VI, 19 marzo 2024, n. 2628);- una pratica commerciale può essere considerata scorretta anche in mancanza della violazione di una specifica disposizione, volta a regolamentare un settore, essendo richiesto al professionista di porre in essere quegli ulteriori accorgimenti che, sebbene non espressamente prescritti dalla regolazione, derivano da un più generale canone di diligenza professionale o di buona fede. Ciò in quanto le prescrizioni recate dalle regolazioni di settore non costituiscono l'unico parametro cui va riferita la diligenza richiesta dal professionista ai sensi del codice del consumo (Cons. Stato, Sez. VI, 4 dicembre 2024, n. 9692);- la nozione di “pratica commerciale scorretta” evoca il concetto di “attività”, e non di “atto” negoziale, che pone in essere l'imprenditore o il professionista; trattandosi, pertanto, di un comportamento che ha valenza generale e che si inserisce, in quanto tale, nell’ambito di una strategia di impresa o professionale finalizzata a trarre illeciti vantaggi economici con pregiudizio delle parti contrattuali deboli (Cons. Stato, sez. VI, 25 ottobre 2019, n. 7296).Ciò premesso, va rammentato che Poste Italiane, quale intermediario finanziario, è soggetta agli obblighi derivanti dalla normativa europea che impone agli intermediari finanziari di adottare misure per impedire e/o contenere il rischio di frode nell’esecuzione delle transazioni (Direttiva (UE) 2015/2366, “Direttiva PSD2”), nonché dagli Standard Tecnici di Regolamentazione (“RTS”) elaborati dall’Autorità Bancaria Europea e adottati con il Regolamento Delegato (UE) 2018/389.La Direttiva PSD2 stabilisce (Considerando 95) che “i servizi di pagamento offerti elettronicamente dovrebbero essere prestati in maniera sicura, adottando tecnologie in grado di garantire l’autenticazione sicura dell’utente e di ridurre al massimo il rischio di frode”, sì da garantire costantemente e nel tempo “un elevato livello di protezione dei consumatori” (Considerando 6).L’art. 2 delle RTS richiede, poi, ai prestatori di servizi di pagamento l’adozione di processi di monitoraggio delle operazioni che tengano conto di una serie di fattori di rischio, tra i quali “gli scenari di frode noti nella prestazione dei servizi di pagamento” ed “i segnali della presenza di malware in una qualsiasi delle sessioni della procedura di autenticazione”.A fronte dell’immanenza di tali obblighi sull’intermediario finanziario, l’Autorità ha ritenuto che;- se “la disciplina di cui dalla Direttiva PSD2 e i relativi standard tecnici RTS richiedono ai prestatori di servizi di pagamento l’adozione di processi di monitoraggio delle operazioni effettuate tramite i loro sistemi volti a intercettare i fattori di rischio - tra cui i segnali della presenza di malware”,- nondimeno “tali atti non giungono a indicare come deve funzionare la componente anti malware del sistema antifrode di cui [i prestatori di servizi di pagamento] devono dotarsi” (§ 91 del provvedimento impugnato).Se la condotta ascritta a Poste va ricondotta nell’alveo dei comportamenti preordinati all’ottemperanza di tali obblighi (come dalla stessa AGCM non contestato), va rimarcato come Banca d’Italia, nel parere acquisito al procedimento poi conclusosi con l’adozione della gravata determinazione sanzionatoria, abbia osservato che “l’implementazione del sistema anti-malware è coerente con il quadro normativo in tema di prevenzione delle frodi ed è in linea con le aspettative di questo Istituto circa l’esigenza di garantire un utilizzo sicuro degli strumenti di pagamento e una piena tutela della clientela, specie in un contesto di mercato connotato da fenomeni fraudolenti in crescita; ciò, considerato anche che è stato in ogni caso assicurato ai clienti che hanno negato l’accesso ai dati la continuità nei servizi di pagamento”.Nel riferirsi, specificamente, all’attivazione del sistema ThreatMetrix, Bankitalia evidenzia di aver positivamente valutato tale iniziativa, “in quanto finalizzata alla riduzione del rischio per gli utenti di subire frodi nei pagamenti legate alla presenza di malware”; e soggiunge che PostePay, cui erano stati chiesti ulteriori riferimenti sul sistema antifrode, “ferma ovviamente l’esigenza che l’implementazione del descritto presidio rispetti tutte le discipline applicabili e di interesse delle diverse Autorità a vario titolo competenti, ha riferito di avere comunque garantito ai clienti che hanno negato l’autorizzazione all’accesso dei dati la continuità nella prestazione dei servizi di pagamento, tenuto conto che avrebbero potuto svolgere “le medesime operazioni disponibili via App” sugli altri canali, anche online, messi a loro disposizione. Tale riscontro, come richiesto all’azienda, è stato portato all’attenzione anche di Poste”.Se, con ogni evidenza, il riportato parere assevera la liceità della condotta tenuta da Poste, va rilevato come la procedente Autorità, nel quadro delle valutazioni preordinate all’apprezzamento del canone diligenziale da parte dell’operatore economico, ha affatto omesso di ponderare comparativamente il complesso delle plurime posizioni giuridiche soggettive coinvolte (sicurezza delle transazioni finanziarie, tutela dei consumatori, riservatezza dei dati), sul duplice presupposto, integrato:- dalla coerenza della condotta della ricorrente con il quadro eurounitario in tema di prevenzione delle frodi,- nonché dalla già esaminata assenza di “scambio” di prestazioni commerciali riferibili all’accesso ai dati (la cui dimostrata presenza, come si è visto, è suscettibile di sussumere la contestata condotta nell’ambito di un’operazione commercialmente sensibile).9. Le considerazioni in precedenza diffusamente esposte persuadono la Sezione della fondatezza del primo motivo di ricorso dalla parte ricorrente articolato con l’atto introduttivo del giudizio: all’accoglimento del quale – con inevitabile assorbimento delle rimanenti doglianze, aventi chiaro carattere subordinato, rispetto alla riconducibilità della contestata condotta nel novero delle “pratiche commerciali” – accede l’annullamento degli atti con il mezzo di tutela all’esame avversati.La peculiarità della controversia consente di compensare fra le parti le spese di lite. P.Q.M.Il Tribunale Amministrativo Regionale per il Lazio (Sezione Prima), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie, nei termini di cui in motivazione; e, per l’effetto, annulla gli atti con esso impugnati.Spese compensate.Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.Così deciso in Roma nella camera di consiglio del giorno 28 gennaio 2026 con l’intervento dei magistrati: IL PRESIDENTE, ESTENSOREIL SEGRETARIORoberto Politi