Contesto normativo e di governance. Le regole di organizzazione, gestione e controllo che disciplinano il funzionamento di BancoPosta sono contenute nel “Regolamento del Patrimonio BancoPosta”, approvato dall’Assemblea straordinaria di Poste italiane il 14 aprile 2011 e modificato, da ultimo, dall’Assemblea straordinaria del 28 maggio 2021, a seguito della rimozione del vincolo di destinazione del ramo d’azienda inerente alle carte di debito, conferito alla controllata PostePay. BancoPosta è altresì dotato di un “Regolamento organizzativo e di funzionamento”, il cui ultimo aggiornamento è stato approvato dal Consiglio di amministrazione del 28 giugno 2023; tale documento disciplina l’operatività della funzione BancoPosta e traccia il modello di funzionamento, l’assetto organizzativo e le correlate responsabilità assegnate alle diverse funzioni, nonché i processi di affidamento di funzioni aziendali di BancoPosta a Poste italiane e di esternalizzazione del Patrimonio. Nel quadro delle disposizioni che disciplinano il settore sono previsti, inoltre, la “Linea guida sul processo di product governance di prodotti di investimento, assicurativi e bancari” e il “Regolamento del processo di affidamento e di esternalizzazione del Patrimonio BancoPosta”. La “Linea Guida sul processo di product governance” è stata declinata in un’apposita procedura e applicata all’intera gamma di offerta BancoPosta; l’informativa in merito all’attuazione del processo è stata approvata dal Consiglio nella seduta del 24 giugno 2021 ed aggiornata in considerazione dei principi di privacy by design and by default51 nella seduta del 28 giugno 2023. Sempre in tema di product governance, con riferimento all’ispezione52 condotta dalla Consob da gennaio a ottobre 2020, il 6 luglio 2022 è stato richiesto un aggiornamento cui la funzione Compliance ha risposto in data 3 agosto 2022. A seguito di tale riscontro è stata trasmessa una ulteriore richiesta di aggiornamento cui è stata fornita risposta in data 10 marzo 2023. Inoltre, il 1° aprile 2022 la Banca d’Italia ha pubblicato il 51 Il principio di privacy by design punta a garantire un corretto livello di protezione dei dati in tutte le attività di trattamento effettuate all’interno di una organizzazione. Per quanto riguarda la privacy by default, questo principio esige che il titolare individui, prima di iniziare il trattamento dei dati, quali dati personali sono strettamente necessari, per la finalità specifica per cui sono stati acquisiti, ai fini di proteggere la riservatezz...