Ogni volta che fai un bonifico, paghi con la carta o rispondi a una email della banca, stai regalando informazioni che valgono migliaia di euro. Il paradosso? Tu paghi commissioni su tutto, loro guadagnano anche dai tuoi dati. E nessuno ti sta restituendo un centesimo.
Il valore invisibile del conto corrente
Partiamo da un dato che raramente viene messo in fila fino in fondo: in Italia esistono oltre 48 milioni di conti correnti attivi. Non sono solo strumenti finanziari. Sono sensori. Ogni giorno registrano scelte, abitudini, ricorrenze, fragilità. Se li guardi nel loro insieme, raccontano molto più di quanto immaginiamo.
Un conto corrente non dice solo quanto guadagni. Dice in che fase della vita ti trovi. Se stai mettendo su famiglia, se stai cambiando casa, se hai appena attraversato una separazione, se stai affrontando una spesa imprevista o preparando un investimento importante. Sono informazioni che, nel mondo del marketing e della gestione del rischio, valgono moltissimo.
Su questa materia prima le banche hanno costruito, nel tempo, un secondo livello di business: meno visibile, meno raccontato, ma estremamente redditizio. Non sostituisce quello tradizionale, lo affianca. E cresce ogni anno.
Il paradosso è evidente. Da una parte paghi: il canone del conto, le commissioni sui bonifici, i costi delle carte, gli interessi su mutui e finanziamenti. Dall’altra, ogni tua operazione alimenta un patrimonio informativo che viene analizzato, incrociato, valorizzato. Non come avviene con i servizi digitali “gratuiti”, dove lo scambio è esplicito. Qui il cliente paga due volte: con il denaro e con i dati.
Non sto dicendo che le banche siano il male. Sto dicendo che questo squilibrio informativo non è più sostenibile.
Cosa sa davvero la banca di te
Siamo abituati a pensare alla banca come a un soggetto che conosce il nostro saldo e poco altro. È un’illusione rassicurante, ma lontana dalla realtà.
La banca vede dove spendi e quando, online e offline. Può ricostruire i tuoi spostamenti abituali, distinguere le spese ricorrenti da quelle eccezionali, capire se il tuo stile di vita sta cambiando. Sa se giochi d’azzardo, se fai donazioni, se acquisti contenuti per adulti, se sostieni associazioni o partiti. Conosce le persone con cui hai rapporti economici stabili, i fornitori, i professionisti a cui ti affidi.
Attraverso i beneficiari dei pagamenti prende forma qualcosa di ancora più sensibile: la tua rete relazionale. Un bonifico ricorrente a una clinica privata suggerisce un problema di salute. Un pagamento regolare a uno psicologo segnala una fragilità emotiva. Acquisti frequenti su farmacie online specializzate aggiungono dettagli. Nessuno di questi dati nasce come “sensibile” in senso formale. Ma insieme diventano un ritratto estremamente preciso.
Questo profilo non si ferma ai dati generati dal conto. Viene spesso arricchito con informazioni provenienti da fonti esterne: database commerciali, registri pubblici, informazioni reperibili online, dati societari. Il risultato è una fotografia che, in molti casi, è più aggiornata e dettagliata di quella che hanno amici o familiari.
Le informative: un esercizio di resistenza
Un tempo l’informativa privacy era un documento leggibile. Oggi è diventata una prova di resistenza. Quindici, venti pagine di linguaggio tecnico, acronimi, riferimenti normativi, formule astratte. Cambiano i loghi, ma la sostanza è identica da un istituto all’altro.
Il primo obiettivo è semplice: stancare. Chi apre un conto non legge diciassette pagine di informativa. Firma. È umano.
Il secondo è il linguaggio. Espressioni come “valutazione dei rischi ESG ai fini del report TCFD” o “processi di ottimizzazione in ambito PRB” non spiegano nulla al cliente medio. Servono a coprire, con una patina di tecnicismo, l’uso estensivo dei dati per finalità che vanno ben oltre la gestione del conto.
Il terzo riguarda i consensi. In teoria dovrebbero essere liberi, specifici, consapevoli. In pratica, non sempre lo sono. Caselle già selezionate, percorsi poco chiari, clienti anziani o poco digitalizzati che accettano senza comprendere. Non è la norma dichiarata, ma accade più spesso di quanto si ammetta.
Quando i dati diventano decisioni: la profilazione algoritmica
Il punto cruciale non è la raccolta dei dati. È l’elaborazione. Le banche utilizzano modelli statistici e sistemi di intelligenza artificiale per trasformare migliaia di segnali deboli in decisioni operative. Segmentazione commerciale, valutazione del rischio, offerte personalizzate, prevenzione delle frodi. Tutto passa da lì.
Il meccanismo è lineare: se il sistema rileva un cambiamento di stato — matrimonio, nuova casa, nascita di un figlio — scatta un’offerta. Mutui, assicurazioni, servizi accessori. Se aumentano le spese sanitarie, arrivano proposte mirate. Se entra un nuovo maggiorenne nel nucleo familiare, ecco il conto giovani.
Fin qui, nulla di sorprendente. Il problema nasce quando la profilazione diventa sempre più fine e sempre meno visibile. Alcuni istituti stanno sperimentando analisi sul linguaggio delle email, sulle telefonate ai call center, persino sulle caratteristiche della voce: tono, ritmo, esitazioni. L’obiettivo dichiarato è migliorare il servizio. L’effetto collaterale è la possibilità di dedurre stati emotivi, stress, vulnerabilità.
A quel punto il confine si assottiglia. Non si tratta più solo di capire cosa puoi comprare, ma quando sei più incline a farlo. E questo apre una questione che non è tecnologica, ma etica.
Cosa rivelano i tuoi pagamenti: breve guida alla profilazione invisibile
| Se paghi… | La banca deduce… | Uso commerciale | Rischio discriminazione |
|---|---|---|---|
| Farmacie online specializzate | Patologie specifiche, farmaci abituali | Proposte assicurazioni sanitarie mirate | ⚠️ Possibile rifiuto coperture o prezzi più alti |
| Cliniche private ricorrenti | Problemi di salute cronici | Target per polizze vita/malattia | ⚠️ Credit scoring negativo per mutui |
| Siti scommesse/casinò | Dipendenza da gioco, instabilità finanziaria | Offerte prestiti “facili” ad alto interesse | 🔴 Blocco accesso credito serio |
| Beneficiari esteri frequenti | Network internazionale, possibili legami familiari all’estero | Proposte carte estero, servizi wire transfer | ⚠️ Alert antiriciclaggio automatici |
| OnlyFans, siti adulti | Abitudini private | Nessuno ufficialmente (ma dato registrato) | 🟡 Potenziale “reputational scoring” interno |
| Tessere partiti politici | Orientamento politico (dato sensibile GDPR) | ILLEGALE usarlo commercialmente | 🔴 Violazione grave se profilato |
| Psicologi, centri salute mentale | Fragilità psicologica | ILLEGALE usarlo commercialmente | 🔴 Se usato per negare credito: denuncia immediata |
| Cambio residenza + acquisti arredamento | Hai comprato casa da poco | Offerte mutui ristrutturazione, assicurazioni casa | 🟢 Lecito ma invadente |
La circolazione dei dati: il mercato che non compare negli estratti conto
Il passaggio più delicato avviene quasi sempre nello stesso modo: una firma rapida, una spunta data senza troppa attenzione, un’informativa che nessuno ha davvero il tempo di leggere. Da quel momento, i dati smettono di restare confinati all’interno della banca.
La profilazione costruita sul tuo conto corrente entra in circuiti più ampi: compagnie assicurative, operatori energetici, società di telecomunicazioni, servizi di mobilità, autonoleggi. In alcuni casi il perimetro si allarga ulteriormente, includendo soggetti che con l’attività bancaria hanno legami solo indiretti. Tutto formalmente regolato, tutto difficilmente percepibile dal cliente.
Non sempre si tratta di una vendita diretta nel senso classico. Più spesso avviene una condivisione strutturata: dati ceduti o messi a disposizione in cambio di vantaggi commerciali, accordi di partnership, condizioni migliorative, scambi di servizi. Il valore economico non passa necessariamente per una fattura, ma esiste eccome. E si traduce in una cosa molto concreta per chi sta dall’altra parte: telefonate, messaggi, email da aziende con cui non hai mai avuto un rapporto diretto e che, ufficialmente, non hai mai contattato. Qui entra in gioco uno dei punti più controversi del sistema: il cosiddetto legittimo interesse.
Anche quando il cliente rifiuta esplicitamente il consenso al marketing o alla profilazione avanzata, alcune forme di trattamento continuano a essere giustificate su questa base. Il regolamento europeo lo consente, a patto che l’interesse del titolare del trattamento prevalga sui diritti dell’interessato. Nella pratica, questa valutazione viene fatta internamente, dall’istituto stesso.
Il risultato è una zona grigia: meno visibile, meno dichiarata, ma molto estesa. Il cliente ha l’impressione di aver detto “no”, mentre una parte significativa dell’uso dei suoi dati prosegue comunque, sostenuta da una motivazione giuridica difficile da contestare senza competenze specifiche e senza una presa di posizione formale.
È qui che il mercato dei dati smette di essere un’ipotesi astratta e diventa un’infrastruttura reale, silenziosa, perfettamente integrata nel funzionamento quotidiano del sistema bancario.
Decodifica i consensi bancari
| Tipo di consenso | Cosa significa davvero | Conseguenze se acconsenti | Puoi rifiutare? |
|---|---|---|---|
| Profilazione sofisticata | Algoritmi AI analizzano ogni tuo movimento, acquisto, abitudine per prevederti | Bombardamento commerciale mirato, possibile discriminazione algoritmica, dati venduti a terzi | ✅ Sì, revocabile sempre |
| Marketing diretto | Email, telefonate, SMS dalla banca per venderti prodotti | Call center, soft spam continuo, pressione commerciale | ✅ Sì, revocabile sempre |
| Cessione a terzi | I tuoi dati passano a centinaia di aziende partner | Telefonate da assicurazioni, energia, telecom che non hai mai autorizzato | ✅ Sì, revocabile sempre |
| Legittimo interesse | La banca usa i dati SENZA chiederti permesso | Profilazione “leggera”, comunicazioni commerciali, addestramento AI | ⚠️ Puoi opporti (ma devono accettare) |
| Obblighi di legge | Antiriciclaggio, fisco, trasparenza | Nessuna conseguenza commerciale, solo controlli normativi | ❌ No, obbligatorio |
Le emergenze concrete per chi ha un conto in banca
1. Discriminazione algoritmica silenziosa
La discriminazione oggi raramente è esplicita. È statistica. Gli algoritmi non giudicano, classificano. E lo fanno in modo opaco.
Un certo tipo di spesa, ripetuta nel tempo, può abbassare il tuo profilo di affidabilità senza che tu ne abbia consapevolezza. Transazioni frequenti su piattaforme di gioco? Il sistema può interpretarle come instabilità finanziaria. Pagamenti ricorrenti verso strutture sanitarie private? Per alcuni modelli di valutazione del rischio, questo può tradursi in un “fattore salute” sfavorevole.
Non serve che il dato sia corretto. Serve solo che sia statisticamente correlato a un esito indesiderato. E una volta che l’etichetta è stata assegnata, non sai di averla addosso.
2. L’uso indiretto dei dati sensibili
Il GDPR tutela in modo rigoroso informazioni come salute, orientamento politico, convinzioni religiose. Almeno sulla carta.
Nella pratica, molte di queste informazioni non vengono raccolte direttamente, ma inferite.
Un pagamento non dichiara una patologia, ma può suggerirla. Un bonifico non esplicita un orientamento politico, ma può renderlo evidente. Il dato sensibile non viene scritto in chiaro, ma emerge per aggregazione. Ed è qui che il confine giuridico diventa sottile.
Formalmente non si trattano “dati sensibili”. Sostanzialmente, però, si costruiscono profili che li incorporano. Con effetti concreti sulle offerte ricevute, sulle valutazioni di rischio, sulle decisioni automatizzate.
3. Clienti anziani: vulnerabilità come segmento
La profilazione avanzata consente di individuare non solo chi spende di più, ma chi è più esposto. Età, frequenza dei contatti con la filiale, abitudini di spesa, minore dimestichezza digitale: messi insieme, questi elementi delineano una categoria precisa.
Anziani soli, con risparmi accumulati, meno propensi a contestare, più inclini ad affidarsi al consulente “di fiducia”. Dal punto di vista commerciale è un segmento. Dal punto di vista etico, una zona di rischio.
È qui che il confine tra consulenza e pressione commerciale diventa sottile. E dove contratti complessi, costosi o poco trasparenti trovano terreno fertile.
4. Il credito che non arriva (e nessuno ti spiega perché)
Uno degli effetti più frustranti della profilazione predittiva è questo: il rifiuto senza spiegazioni.
Prima ancora che tu presenti una domanda formale di finanziamento, il sistema può averti già collocato in una fascia di rischio. Quando chiedi un mutuo, la risposta è negativa. Non perché manchino i requisiti formali, ma perché l’algoritmo ha già “deciso”.
Non esiste una motivazione dettagliata. Nessun documento che spieghi quali fattori abbiano pesato. Solo un esito. E la sensazione, sempre più diffusa, che la decisione sia maturata altrove, molto prima, senza che tu ne fossi parte.
Kit di sopravvivenza GDPR: le 5 mosse che ti salvano
| Azione | Strumento | Tempi di risposta banca | Costo | Efficacia |
|---|---|---|---|---|
| Revoca consenso profilazione | PEC/Raccomandata con formula Art. 7 GDPR | 30 giorni | €0-6 (PEC/francobollo) | ⭐⭐⭐⭐⭐ Blocca subito la profilazione |
| Opposizione legittimo interesse | PEC/Raccomandata con formula Art. 21 GDPR | 30 giorni + motivazione obbligatoria | €0-6 | ⭐⭐⭐⭐ La banca può rifiutare ma deve giustificare |
| Richiesta accesso dati | PEC/Raccomandata con formula Art. 15 GDPR | 30 giorni, devono darti copia GRATIS | €0 | ⭐⭐⭐⭐⭐ Scopri tutto quello che hanno su di te |
| Iscrizione Registro Opposizioni | Online su registrodelleopposizioni.it | Immediata | €0 | ⭐⭐ Parziale (blocca solo alcune chiamate) |
| Reclamo al Garante Privacy | Form online su garanteprivacy.it | 60-90 giorni istruttoria | €0 | ⭐⭐⭐⭐⭐ Se la banca non risponde o nega diritti |
Le contromisure legali che funzionano davvero
La buona notizia è che il quadro normativo non è vuoto. Gli strumenti esistono, sono accessibili a chiunque e, se usati correttamente, producono effetti concreti. Il problema è che pochi li conoscono e ancora meno li esercitano.
Revocare il consenso: il primo atto di controllo
Il consenso non è una concessione irrevocabile. Può essere ritirato in qualsiasi momento, senza dover fornire spiegazioni.
È sufficiente inviare una comunicazione formale — via PEC o raccomandata — alla propria banca, dichiarando la revoca del consenso al trattamento dei dati per finalità di profilazione e marketing. La richiesta deve essere chiara, tracciabile e riferita ai punti specifici dell’informativa.
Da quel momento l’istituto ha un obbligo preciso: confermare l’avvenuta revoca ed escludere i dati dai sistemi di profilazione entro trenta giorni. Se non lo fa, il silenzio diventa già una violazione documentabile.
Opporsi al cosiddetto “legittimo interesse”
Qui il terreno è più scivoloso, ma non per questo impraticabile. Il GDPR consente al cliente di opporsi al trattamento dei dati basato sul legittimo interesse del titolare. In questo caso non basta una revoca generica: serve una presa di posizione formale, anch’essa protocollata.
La banca può respingere l’opposizione solo dimostrando che il proprio interesse prevale sui diritti dell’interessato. Non può farlo in modo automatico, né tacere. Deve rispondere, motivare, assumersi una responsabilità giuridica. Nella pratica, questo passaggio mette spesso in difficoltà l’istituto più di quanto si immagini.
Accedere ai propri dati: l’atto più rivelatore
Pochi strumenti sono efficaci quanto l’esercizio del diritto di accesso. Il cliente può chiedere copia di tutti i dati personali in possesso della banca: non solo quelli forniti direttamente, ma anche quelli elaborati, inferiti, aggregati. Profili comportamentali, categorie di terze parti coinvolte, fonti esterne utilizzate.
La risposta deve arrivare entro trenta giorni ed è gratuita. È in questo momento che molti scoprono quanto estesa sia la mappa informativa costruita attorno al proprio conto.
Quando serve: il reclamo al Garante
Se l’istituto non risponde, risponde in modo evasivo o nega un diritto senza fondamento, resta uno strumento spesso sottovalutato: il reclamo al Garante per la protezione dei dati personali.
La procedura è online, non ha costi e apre un’istruttoria formale. Le sanzioni potenziali non sono simboliche: possono arrivare fino al 4% del fatturato globale. È uno dei motivi per cui, quando il reclamo è ben documentato, molte banche preferiscono correggere il tiro prima di arrivare in fondo.
A proposito del Registro delle Opposizioni
Iscriversi al Registro delle Opposizioni serve (in teoria) a ridurre una parte delle chiamate commerciali, ma non elimina certamente quelle legate a rapporti contrattuali in essere, come il conto corrente.
È una misura di igiene di base, non una soluzione strutturale. Funziona solo se affiancata agli altri strumenti.
I controlli minimi
Ogni cliente dovrebbe, almeno una volta, entrare nell’area riservata della propria banca e cercare la sezione dedicata a privacy e consensi.
Lì dovrebbe essere possibile:
- visualizzare i consensi prestati,
- revocarli in autonomia,
- consultare l’elenco delle società terze coinvolte.
Se questa sezione non esiste, o se per revocare un consenso viene richiesto di “passare in filiale”, non è un dettaglio organizzativo. È un ostacolo.
Ma quanto valgono davvero i tuoi dati?
Le stime più prudenti indicano che un profilo bancario completo, aggiornato e ben segmentato può valere decine o centinaia di euro all’anno. Moltiplicato per decine di milioni di conti, il risultato è un valore economico complessivo che non ha nulla di marginale.
Nel frattempo, il cliente continua a pagare canoni, commissioni e interessi. L’istituto guadagna dai servizi e beneficia dei dati, direttamente o indirettamente, anche per ridurre i propri costi operativi attraverso l’automazione e l’intelligenza artificiale.
Una proposta di equilibrio
Se i dati generano valore, la questione non è più se usarli o meno, ma come redistribuire quel valore.
Un’autorità come Banca d’Italia potrebbe — e forse dovrebbe — misurare l’impatto economico reale della profilazione e imporre modelli più trasparenti. Azzeramento del canone in cambio del consenso. Sconti proporzionati all’uso dei dati. Chiarezza su quanto l’istituto guadagna grazie alle informazioni dei clienti.
In alcuni paesi si sperimentano modelli di “privacy premium”: paghi di più per non essere profilato. In Italia potrebbe accadere l’opposto: servizi gratuiti per chi acconsente, costi espliciti per chi sceglie di proteggere i propri dati. Sarebbe almeno una scelta consapevole.
Da dove cominciare, concretamente
- Leggere l’informativa, almeno nella parte sui consensi.
- Revocare ciò che non è essenziale.
- Opporsi quando serve.
- Chiedere l’accesso ai dati.
- Documentare tutto.
- Segnalare le irregolarità.
Le banche fanno affidamento su una cosa sola: l’inerzia. Sul fatto che il cliente rinunci prima ancora di iniziare. Ogni diritto esercitato, invece, ha un costo per l’istituto: tempo, risorse, controlli.
Se quei diritti venissero esercitati in modo diffuso, il sistema sarebbe costretto a cambiare. I dati non sono un sottoprodotto inevitabile. Sono una risorsa. E se qualcuno ci costruisce valore, la domanda non è più se, ma quanto di quel valore debba tornare a chi lo genera.
