L’Autorità croata per la protezione dei dati personali (AZOP) ha irrogato una sanzione di 1,5 milioni di euro ad una banca per gravi violazioni del GDPR perpetrate tramite la propria app di mobile banking, utilizzata da oltre 400.000 clienti.

Il provvedimento, datato 18 dicembre 2025 e riferito al caso Erste Bank, riguarda la raccolta indiscriminata dell’elenco delle app installate sugli smartphone dei clienti, senza una valida base giuridica e senza un’informativa adeguata.

L’intervento dell’AZOP è stato avviato dopo la segnalazione di un cliente che aveva notato un accesso anomalo ai dati del proprio dispositivo. L’indagine ha accertato che la banca ha trattato i dati personali di 433.922 clienti, violando i principi di liceità, trasparenza e limitazione della finalità previsti dal GDPR. L’AZOP ha anche ordinato la cessazione delle pratiche illecite e l’adozione di misure correttive, sottolineando la gravità della condotta che ha compromesso la privacy degli utenti.