MyVault
← Back to Blog

È sicuro caricare estratti conto bancari su app di IA? Una risposta onesta

Cosa succede davvero ai tuoi dati quando carichi un estratto conto su un’app di finanza personale con IA, cosa cercare in un’informativa sulla privacy e come valutare il rischio reale rispetto alle alternative.

9 min readTimur Shagiakhmetovprivacy · security · ai

Ogni app di finanza personale basata su IA prima o poi si scontra con la stessa domanda da parte di un utente attento: è sicuro? È l’obiezione più grande della categoria, ed è anche giustificata — gli estratti conto bancari contengono abbastanza informazioni da impersonare, profilare o fare social engineering sulla persona a cui appartengono. La risposta onesta è: “dipende, ecco esattamente cosa controllare”.

Noi creiamo MyVault, un’app di IA che elabora estratti conto bancari caricati. Questa è la risposta che diamo a amici e familiari quando lo chiedono, scritta nel modo più diretto possibile.

Cosa c’è davvero dentro un estratto conto bancario

Un estratto tipico contiene:

  • Il tuo nome e l’indirizzo di spedizione.
  • Un numero di conto, spesso parzialmente oscurato (ultime quattro cifre, o ultime sei).
  • Il numero di instradamento della banca, di solito stampato per intero.
  • Una cronologia delle transazioni riga per riga con date, descrizioni del commerciante e importi.
  • Saldi di apertura e chiusura.
  • Possibilmente immagini da verificare, se le scansion i e fanno parte del PDF.

Dal punto di vista della sensibilità, è moderatamente sensibile — più della tua cronologia di acquisti, meno di una scansione del passaporto. Il solo numero di conto oscurato di solito non può essere usato per accedere al tuo conto, ma, insieme alle informazioni personali provenienti da altre fonti, può supportare tentativi di social engineering. Tratta gli estratti conto con la stessa attenzione con cui tratteresti una dichiarazione dei redditi.

Cosa fa davvero un’app di finanza con IA con il file

A livello tecnico, elaborare un estratto conto bancario prevede quattro passaggi:

  1. Caricamento — il file passa dal tuo browser al server dell’app, idealmente tramite HTTPS con TLS 1.2 o superiore. È la stessa cifratura che usa la tua banca per l’online banking.
  2. Parsing — il server estrae testo dal PDF. Questo passaggio potrebbe usare una libreria PDF locale, un servizio OCR di terze parti o un LLM. La scelta conta per la privacy: una libreria locale mantiene i dati sul server dell’app; un OCR di terze parti invia il file a un altro fornitore.
  3. Categorizzazione — le righe di transazione estratte vengono inviate a un modello di IA che restituisce le etichette di categoria. Alcune app eseguono il modello sulla propria infrastruttura; la maggior parte usa OpenAI, Anthropic o Google. Conta anche il flusso esatto dei dati: alcune app inviano solo la descrizione del commerciante (basso rischio); alcune inviano l’intera transazione includendo gli importi (rischio medio); alcune inviano l’intero file dell’estratto (rischio più alto).
  4. Archiviazione — le transazioni parse vengono salvate nel database dell’app. Il PDF originale viene eliminato, mantenuto per una finestra di tempo o conservato indefinitamente a seconda della policy dell’app.

Cosa controllare prima di caricare

1. HTTPS con certificato valido

La barra degli indirizzi del browser dovrebbe mostrare un certificato valido. Se vedi qualsiasi avviso durante il caricamento, fermati. Questo è il minimo indispensabile.

2. Un’informativa sulla privacy chiara e leggibile

Cerca risposte esplicite a queste domande:

  • Dove vengono salvati i miei dati e in quale giurisdizione?
  • Il mio estratto conto caricato viene conservato e per quanto tempo?
  • Le transazioni o il contenuto di qualsiasi documento viene inviato a fornitori terzi di IA?
  • I miei dati vengono mai usati per addestrare modelli di IA?
  • Cosa succede ai miei dati se elimino il mio account?

Una risposta vaga a una qualsiasi di queste domande è un campanello d’allarme. Una policy sulla privacy che dice “potremmo condividere i dati con partner per qualsiasi scopo” è un no secco.

3. Cifratura a riposo

Il database dell’app dovrebbe cifrare i tuoi dati a riposo. La maggior parte dei database gestiti (AWS RDS, Google Cloud SQL, equivalenti) lo fa di default; la domanda è se lo strato applicativo lo sta usando.

4. Autenticazione a due fattori

Qualsiasi account che conserva la tua cronologia transazioni dovrebbe supportare la 2FA, idealmente con un’app di autenticazione piuttosto che via SMS. Usala.

5. Eliminazione dell’account che elimina davvero

Una funzione di cancellazione che nasconde i tuoi dati senza rimuoverli non è cancellazione. L’informativa sulla privacy dovrebbe dire esplicitamente che l’eliminazione dell’account rimuove file caricati e righe del database, non solo il record dell’account.

Confronto tra app di IA e alternative

È allettante valutare “è sicuro?” in termini assoluti, ma il confronto corretto è con le alternative — perché non fare nulla è comunque una scelta con un rischio.

Aggregator basati su Plaid

App come Mint (storicamente), Monarch, Copilot e YNAB usano Plaid o un aggregatore simile per leggere i tuoi dati bancari. Per farlo, dai a Plaid le credenziali del tuo accesso bancario. Plaid salva quelle credenziali e le usa per leggere i tuoi conti su base ricorrente. Gli aggregatori hanno una solida reputazione di sicurezza, ma il modello di minaccia è diverso da quello delle app basate su caricamento: una violazione di Plaid espone le tue credenziali bancarie; una violazione di un’app che carica estratti espone i dati dell’estratto senza le credenziali.

Fogli di calcolo ed email

Molte persone conservano i PDF degli estratti conto nella loro email indefinitamente o copiano i dati delle transazioni in Google Sheets e se ne dimenticano. Non sono più sicuri di un’app di IA ben gestita — forse meno sicuri, visto che le violazioni delle email e dello storage cloud per consumatori sono comuni.

Fare nulla

L’alternativa più comune a usare un’app di finanza è non usare alcun sistema, il che ha un costo a sua volta: addebiti fraudolenti non rilevati, abbonamenti dimenticati e spese non monitorate. Nell’arco di alcuni anni, il costo finanziario di non tenere traccia delle spese spesso supera il peggiore costo privacy di usare un tracker affidabile.

Cosa fa MyVault nello specifico

Scriveremo cosa facciamo, così puoi confrontarlo con le altre app che stai valutando:

  • Non chiediamo mai le tue credenziali bancarie. Nel nostro flusso non c’è Plaid. Il file che carichi è lo stesso file che scaricheresti per la preparazione fiscale.
  • Gli estratti caricati vengono elaborati una volta per estrarre le transazioni. Conserviamo le transazioni parse; eliminiamo il file originale dopo l’elaborazione a meno che tu non scelga di tenerlo (alcuni utenti vogliono archivi di estratti conto ricercabili).
  • Le descrizioni delle transazioni e gli importi vengono inviati a un modello di linguaggio di grandi dimensioni per la categorizzazione. Non inviamo mai al modello il tuo nome, indirizzo o numero di conto. Il provider del modello non conserva input per l’addestramento.
  • L’eliminazione dell’account rimuove dai nostri sistemi i tuoi file caricati, le transazioni parse e il record dell’account (soggetto a finestre legali di conservazione a breve termine).
  • Supportiamo la 2FA. La raccomandiamo con forza.

Consigli pratici

Se sei ancora indeciso:

  • Inizia caricando un solo estratto conto recente, non tutta la tua storia. Vedi come funziona prima di impegnarti.
  • Usa una password unica e robusta e abilita la 2FA non appena crei l’account.
  • Leggi davvero l’informativa sulla privacy. Di solito è breve.
  • Se qualcosa ti sembra sbagliato — policy vaga, niente eliminazione account, niente 2FA, hosting sospetto — scegli un’altra app.

Se fatto con attenzione, caricare estratti conto bancari su un’app di finanza con IA affidabile è un rischio gestibile che ti compra una chiarezza reale sulla tua spesa. La domanda sbagliata è “è sicuro al 100%?” (non lo è mai). La domanda giusta è “il rischio è più piccolo del valore, e più piccolo delle alternative?”

Leggi l’informativa sulla privacy di MyVault prima di caricare qualsiasi cosa. Se qualcosa non è chiaro, chiedicelo direttamente — rispondiamo. MyVault’s privacy policy. Leggi l’informativa sulla privacy di MyVault prima di caricare qualsiasi cosa. Se qualcosa non è chiaro, chiedicelo direttamente — rispondiamo. ask us directly — we answer.