Informativa sulla privacy

Ultimo aggiornamento — 28 aprile 2026

1. Titolare del trattamento

Editore: Silvio Rota, persona fisica residente in Svizzera. Contatto: privacy@moneydocs.app

2. Conservazione dei dati

Conservazione locale per impostazione predefinita. Tutti i vostri dati finanziari (spese, progetti, rapporti, categorie, commercianti) sono conservati sul vostro dispositivo in un database cifrato con SQLCipher (AES-256). MoneyDocs non ha server centrale e non conserva alcun dato utente sulle proprie infrastrutture.

Backup cloud opzionale (opt-in). Potete attivare un backup automatico cifrato verso il vostro Google Drive dalle impostazioni. Quando questa opzione è attivata, copie dei vostri dati vengono cifrate sul vostro dispositivo e poi depositate in una cartella privata del vostro Drive. Il dettaglio di questo meccanismo è descritto all’articolo 4. Questa opzione è disattivata per impostazione predefinita. Se non la attivate, i vostri dati non lasciano mai il dispositivo, salvo se li esportate o condividete esplicitamente (PDF, CSV, pacchetto .moneydocs).

Nessun account MoneyDocs. L’applicazione non crea alcun account utente presso l’Editore. Nessun dato è associato alla vostra identità presso di noi.

3. Dati inviati al nostro backend OCR

Quando scansionate una ricevuta, le seguenti informazioni vengono trasmesse al nostro backend di estrazione tramite una connessione HTTPS cifrata, attraverso un proxy lato server (Supabase):

  • L’immagine della ricevuta (ridimensionata). Attualmente l’immagine non viene conservata dopo l’elaborazione. Potremmo in futuro conservarla in forma anonima per migliorare la qualità del motore OCR — se questa opzione viene attivata, la presente informativa sarà aggiornata e sarete informati nell’applicazione.
  • Un identificativo di dispositivo casuale e persistente (device_id) — non contiene né il vostro nome, né la vostra email, né il vostro numero di telefono, né il vostro identificatore pubblicitario. Serve a gestire le vostre quote di utilizzo e ad associare le vostre correzioni alle vostre estrazioni.
  • I dati estratti dalla ricevuta: commerciante, importo, valuta, data, categoria, imposte, numero di partita IVA, subtotale, eventuale commento. Questi dati sono conservati in forma anonima per migliorare la qualità del motore OCR in continuo.
  • Altri metadati tecnici stampati sulla ricevuta: numero di fattura, numero di carta fedeltà del negozio (se stampato), codice del punto vendita, tipo di pagamento (« carta », « contanti », « assegno »…), nonché il risultato grezzo restituito dal nostro fornitore OCR, a fini di diagnostica e miglioramento del servizio.
  • Le coordinate delle zone di testo (bounding box) e il testo rilevato.
  • Le vostre eventuali correzioni: se correggete un commerciante riconosciuto male, una categoria o un importo, la vostra correzione viene inviata e conservata in forma anonima per migliorare le future estrazioni per tutti gli utenti.

Cosa NON raccogliamo MAI, anche se stampato sulla vostra ricevuta:

  • Nessuna cifra del vostro numero di carta bancaria, comprese le ultime 4 cifre talvolta stampate da alcuni terminali. Questo dato è volontariamente escluso dalla raccolta e cancellato dai dati storici.
  • Il vostro nome, la vostra email, il vostro numero di telefono personale, il vostro indirizzo.

Nessun essere umano esamina le singole ricevute.

4. Backup cloud (funzione facoltativa)

Se attivate il backup cloud, si applica il seguente meccanismo:

4.1 Destinazione

I backup vengono conservati in una cartella visibile denominata « MoneyDocs - Backup » nel vostro account Google Drive. Potete consultarla, vederne l’elenco e cancellare manualmente i backup precedenti tramite l’interfaccia Drive standard. L’applicazione utilizza lo scope OAuth drive.file, che le dà accesso solo ai file che ha creato lei stessa nel vostro Drive — non può vedere né toccare gli altri vostri documenti Drive. MoneyDocs non dispone di un proprio server di backup. L’Editore non ha alcun accesso ai file così depositati; solo voi, tramite il vostro account Google, ne avete accesso.

4.2 Contenuto del backup

Ogni backup contiene un’istantanea completa del vostro database locale: spese, progetti, rapporti, categorie, commercianti, nonché i file immagine delle ricevute e dei progetti. Il formato è lo stesso dei pacchetti .moneydocs esportati manualmente.

4.3 Cifratura end-to-end

Prima di essere inviato a Drive, ogni backup viene cifrato sul vostro dispositivo con AES-256-GCM (nonce casuale a 96 bit, tag di autenticazione a 128 bit). La chiave di cifratura è derivata da una password che scegliete una sola volta all’attivazione del backup, e che spetta a voi ricordare o conservare in un gestore di password. Questa password è:

  • scelta da voi all’attivazione (almeno 8 caratteri);
  • derivata in chiave AES-256 dalla funzione PBKDF2-HMAC-SHA256 con 600 000 iterazioni, esclusivamente sul vostro dispositivo;
  • mai trasmessa né conservata presso l’Editore o presso Google — non lascia il vostro dispositivo se non sotto il vostro controllo (memoria o gestore di password).

Conseguenza: cifratura end-to-end (E2E) effettiva. Poiché la chiave è derivata da un segreto noto solo a voi, né l’Editore né Google dispongono dei mezzi tecnici per decifrare i vostri backup. Un obbligo legale o un accesso non autorizzato al vostro account Google non sono sufficienti a renderli leggibili: solo le persone in possesso della vostra password possono accedervi.

Contropartita assunta — perdita definitiva in caso di smarrimento. Se dimenticate la vostra password, i vostri backup cloud diventano definitivamente illeggibili, anche per voi stessi. L’Editore non dispone di alcun mezzo tecnico per recuperarli — è proprio questo a garantire la loro confidenzialità E2E. L’applicazione mostra in modo evidente questo avviso al momento dell’attivazione e richiede un inserimento in due passaggi (password + conferma) prima di finalizzare l’attivazione.

4.4 Disattivazione, cancellazione e modifica della password

In qualsiasi momento potete:

  • Disattivare il backup cloud dalle impostazioni. I backup esistenti sul vostro Drive non vengono cancellati automaticamente (potete conservarli in caso di necessità).
  • Cancellare i backup direttamente dall’interfaccia Drive eliminando la cartella « MoneyDocs - Backup » (i file vanno nel cestino Drive, poi sono cancellati definitivamente secondo la vostra policy Drive).
  • Revocare l’accesso di MoneyDocs al vostro Drive dalle vostre impostazioni di sicurezza Google.
  • Cambiare la vostra password: disattivate e poi riattivate il backup nelle impostazioni; l’applicazione vi chiederà di scegliere una nuova password e tutti i backup futuri saranno cifrati con questa nuova chiave. I backup precedenti, cifrati con la password precedente, rimangono decifrabili finché ricordate quella precedente.

5. Servizi di terze parti e responsabili del trattamento

  • Veryfi / Google Document AI — elaborazione OCR delle immagini tramite il nostro backend proxy. Trasmettiamo loro solo l’immagine e il testo necessari all’estrazione; le vostre chiavi API non sono mai integrate nell’app.
  • Supabase, Inc. (Singapore) — ospita il nostro backend OCR e i nostri database tecnici.
  • ExchangeRate-API — tassi di cambio in tempo reale.
  • Google LLC (Stati Uniti) — solo se attivate il backup cloud (articolo 4). Google conserva i vostri backup cifrati nel vostro Drive personale. La chiave di cifratura non viene mai trasmessa a Google: è derivata localmente dalla vostra password (articolo 4.3). Il trasferimento di dati verso gli Stati Uniti è disciplinato dalle clausole contrattuali tipo della Commissione europea e dal Data Privacy Framework UE-USA.

Nessun SDK di analytics, nessun Firebase, nessun crash reporting, nessun framework pubblicitario.

6. Sicurezza e base giuridica (GDPR / nLPD)

Il trattamento descritto all’articolo 3 si basa sul legittimo interesse dell’editore a migliorare la qualità del suo servizio OCR, bilanciato con il vostro diritto alla privacy attraverso le seguenti misure:

  • I dati conservati non sono nominativi: sono collegati solo a un identificativo tecnico casuale (device_id).
  • Sono conservati ai fini del miglioramento del modello OCR per una durata indeterminata finché l’editore gestisce il servizio; possono essere eliminati su vostra richiesta tramite semplice email (vedere articolo 11).
  • Non sono né rivenduti, né condivisi con inserzionisti, né utilizzati per fini commerciali diversi dal miglioramento del servizio MoneyDocs e del suo motore OCR.
  • Il database locale è cifrato con SQLCipher (AES-256).
  • I file immagine delle ricevute conservati localmente sono posti nel sandbox privato dell’app, accessibile solo a MoneyDocs. Non beneficiano di una cifratura aggiuntiva a livello di file — si tratta di un miglioramento previsto per una versione successiva.
  • Chiavi di cifratura conservate nell’hardware sicuro del dispositivo (Android Keystore).
  • Tutto il traffico di rete passa su HTTPS con certificate pinning sugli endpoint Supabase e ExchangeRate.
  • Blocco opzionale con PIN e biometria.
  • Backup cloud cifrati end-to-end (se attivati): la chiave esiste solo sul vostro dispositivo e nella vostra password; vedere articolo 4.3 per l’algoritmo e il modello di minaccia.

Il vostro diritto di opposizione: potete sempre inserire le spese manualmente per evitare qualsiasi invio al backend OCR.

7. I vostri diritti (GDPR / nLPD)

Conformemente al Regolamento generale sulla protezione dei dati dell’UE (GDPR) e alla nuova Legge federale svizzera sulla protezione dei dati (nLPD), avete i seguenti diritti:

  • Accesso e rettifica — i dati conservati sul vostro dispositivo sono a vostra disposizione; vi accedete e li modificate liberamente nell’applicazione.
  • Cancellazione locale — disinstallare l’app elimina tutti i dati conservati localmente.
  • Cancellazione remota — su semplice richiesta inviata a privacy@moneydocs.app con il vostro device_id (disponibile nelle impostazioni dell’app), cancelliamo dal backend OCR tutte le estrazioni, correzioni e log ad esso associati.
  • Diritto di ritiro del backup cloud — potete in qualsiasi momento disattivare e cancellare i vostri backup Drive, e cambiare la vostra password (articolo 4.4).
  • Portabilità — potete esportare tutti i vostri dati locali in qualsiasi momento (PDF, CSV, pacchetto .moneydocs).
  • Opposizione — inserite le spese manualmente per evitare qualsiasi invio al backend OCR.
  • Nessun account da cancellare — da noi non c’è nessun account utente.

8. Minori

MoneyDocs non è rivolto ai minori di 13 anni e non raccoglie consapevolmente dati da minori.

9. Modifiche

Possiamo aggiornare questa informativa. La versione attuale è sempre disponibile su questa pagina e nelle impostazioni dell’app. In caso di modifica sostanziale (ad esempio attivazione della conservazione delle immagini), sarete informati direttamente nell’applicazione.

10. Contatto

Per qualsiasi domanda relativa a questa informativa o per esercitare uno dei diritti menzionati all’articolo 7, contattate privacy@moneydocs.app.

11. Legge applicabile

La presente informativa è regolata dal diritto svizzero. Foro competente: Svizzera.