MyVault
← Back to Blog

Este sigur să încarci extrase bancare în aplicații AI? Răspuns sincer

Ce se întâmplă de fapt cu datele tale când încarci un extras bancar într-o aplicație AI de finanțe personale, ce să urmărești într-o politică de confidențialitate și cum să evaluezi riscul real față de alternative.

9 min readTimur Shagiakhmetovprivacy · security · ai

Orice aplicație AI de finanțe personale se lovește, mai devreme sau mai târziu, de aceeași întrebare din partea unui utilizator atent: este sigur? Aceasta este obiecția numărul unu din categorie — și e una corectă. Extrasele bancare conțin suficiente informații ca să poată imita, profiliza sau „inginerie socială” persoana căreia îi aparțin. Răspunsul sincer este: „depinde și iată exact ce să urmărești”.

Noi facem MyVault, o aplicație AI care procesează extrase bancare încărcate. Acesta este răspunsul pe care îl oferim prietenilor și familiei atunci când ne întreabă, scris cât mai simplu și direct posibil.

Ce se află, de fapt, într-un extras bancar

Un extras tipic conține:

  • Numele tău și adresa de corespondență.
  • Un număr de cont, adesea parțial acoperit (ultimele patru cifre sau ultimele șase).
  • Numărul de rutare al băncii, de obicei tipărit integral.
  • Un istoric de tranzacții linie cu linie, cu date, descrieri ale comercianților și sume.
  • Solduri de deschidere și de închidere.
  • Poate verifică și imaginile, dacă le scanezi și fac parte din PDF.

Ca sensibilitate, acesta este moderat sensibil — mai mult decât istoricul tău de cumpărături, dar mai puțin decât o scanare a pașaportului. Numărul de cont acoperit singur, de obicei, nu poate fi folosit pentru a-ți accesa contul, dar împreună cu informații personale din alte surse, poate susține încercări de „social-engineering”. Tratează extrasele cu aceeași grijă cu care tratezi o declarație fiscală.

Ce face, de fapt, o aplicație AI de finanțe cu fișierul

La nivel tehnic, procesarea unui extras bancar implică patru pași:

  1. Încărcare — fișierul trece din browserul tău către serverul aplicației, ideal prin HTTPS cu TLS 1.2 sau mai mare. Este aceeași criptare pe care o folosește banca pentru banking online.
  2. Parsare — serverul extrage text din PDF. Acest pas poate folosi o bibliotecă PDF locală, un serviciu OCR terț sau un LLM. Alegerea contează pentru confidențialitate: o bibliotecă locală păstrează datele pe serverul aplicației; un OCR terț trimite fișierul către un alt furnizor.
  3. Categorisire — liniile de tranzacții extrase sunt trimise către un model AI care returnează etichete de categorie. Unele aplicații rulează modelul pe infrastructura lor; majoritatea folosesc OpenAI, Anthropic sau Google. Fluxul exact de date contează: unele aplicații trimit doar descrierea comerciantului (cu risc scăzut); unele trimit tranzacția completă, inclusiv sumele (risc mediu); unele trimit întreg fișierul cu extrasul (risc mai mare).
  4. Stocare — tranzacțiile parcurse sunt stocate în baza de date a aplicației. PDF-ul original fie este șters, păstrat pentru o perioadă, fie este păstrat indefinit, în funcție de politica aplicației.

La ce să fii atent înainte să încarci

1. HTTPS cu un certificat valid

În bara de adrese a browserului ar trebui să apară un certificat valid. Dacă vezi vreun avertisment în timpul încărcării, oprește-te. Asta este minimul.

2. O politică de confidențialitate clară și lizibilă

Caută răspunsuri explicite la întrebările acestea:

  • Unde este stocată datele mele și în ce jurisdicție?
  • Extrasul încărcat este păstrat și pentru cât timp?
  • Sunt trimise tranzacțiile sau conținutul vreunui document către furnizori terți de AI?
  • Datele mele sunt folosite vreodată pentru a antrena modele AI?
  • Ce se întâmplă cu datele mele dacă șterg contul?

Un răspuns vag la oricare dintre acestea este un semnal de alarmă. O politică de confidențialitate care spune „putem partaja date cu parteneri pentru orice scop” este un „nu” ferm.

3. Criptare „at rest”

Baza de date a aplicației ar trebui să îți cripteze datele stocate (at rest). Majoritatea bazelor de date administrate (AWS RDS, Google Cloud SQL, echivalente) fac asta implicit; întrebarea este dacă aplicația o folosește.

4. Autentificare cu doi factori

Orice cont care ține istoricul tău de tranzacții ar trebui să suporte 2FA, ideal cu o aplicație de autentificare în loc de SMS. Folosește-o.

5. Ștergere de cont care chiar șterge

O opțiune de ștergere care doar ascunde datele tale fără să le elimine nu înseamnă ștergere. Politica de confidențialitate ar trebui să spună explicit că ștergerea contului elimină fișierele încărcate și rândurile din baza de date, nu doar înregistrarea contului.

Cum se compară aplicațiile AI cu alternativele

E tentant să evaluezi „este sigur?” în termeni absoluți, dar comparația corectă este cu alternativele — pentru că și a nu face nimic este o alegere, cu riscuri.

Agregatoare bazate pe Plaid

Aplicații precum Mint (istoric), Monarch, Copilot și YNAB folosesc Plaid sau un agregator similar pentru a citi datele tale bancare. Ca să facă asta, îi dai lui Plaid datele de autentificare la bancă. Plaid stochează aceste credențiale și le folosește pentru a-ți citi conturile în mod recurent. Agregatoarele au rezultate bune la securitate, dar modelul de amenințare este diferit față de aplicațiile bazate pe încărcare: o breșă la Plaid îți expune credențialele bancare; o breșă la o aplicație care încarcă extrase expune datele din extras, fără credențiale.

Foi de calcul și email

Mulți oameni stochează PDF-urile cu extrase în email pe termen nelimitat sau lipesc datele tranzacțiilor în Google Sheets și apoi le uită. Acestea nu sunt mai sigure decât o aplicație AI bine administrată — posibil chiar mai puțin sigure, având în vedere că breșele la email și la stocarea cloud pentru consumatori sunt frecvente.

A nu face nimic

Cea mai comună alternativă la folosirea unei aplicații de finanțe este să nu existe niciun sistem — dar asta are și costul ei: taxe frauduloase ratate, abonamente uitate și cheltuieli nemonitorizate. Pe parcursul a câțiva ani, costul financiar al faptului că nu urmărești cheltuielile depășește adesea cel mai rău scenariu al riscului de confidențialitate când folosești un tracker reputat.

Ce face MyVault, în mod specific

Vom descrie ce facem, ca să o poți compara cu alte aplicații pe care le evaluezi:

  • Nu îți cerem niciodată credențiale bancare. Nu există Plaid în fluxul nostru. Fișierul pe care îl încarci este același pe care l-ai descărca pentru pregătirea fiscală.
  • Extrasele încărcate sunt procesate o singură dată pentru a extrage tranzacțiile. Păstrăm tranzacțiile parcurse; ștergem fișierul original după procesare, cu excepția cazului în care optezi să îl păstrezi (unii utilizatori vor să stocheze extrasele ca arhive căutabile).
  • Descrierile tranzacțiilor și sumele sunt trimise către un model de limbaj mare pentru categorisire. Nu trimitem niciodată modelului numele, adresa sau numărul de cont. Furnizorul modelului nu reține inputurile pentru antrenament.
  • Ștergerea contului elimină fișierele încărcate, tranzacțiile parcurse și înregistrarea contului din sistemele noastre (în funcție de perioadele legale scurte de păstrare).
  • Suportăm 2FA. Recomandăm foarte mult să o activezi.

Sfaturi practice

Dacă încă ești pe gânduri:

  • Începe prin încărcarea unui singur extras recent, nu toată istoricul. Vezi cum funcționează înainte să te angajezi.
  • Folosește o parolă unică și puternică și activează 2FA imediat ce creezi contul.
  • Citește politica de confidențialitate, chiar. De obicei sunt scurte.
  • Dacă ceva pare în neregulă — politică vagă, fără ștergere de cont, găzduire dubioasă — alege o altă aplicație.

Făcută cu grijă, încărcarea extraselor bancare într-o aplicație AI reputată este un risc gestionabil care îți oferă o claritate reală despre cheltuielile tale. Întrebarea greșită este „e 100% sigur?” (nimic nu este). Întrebarea corectă este „este riscul mai mic decât valoarea și mai mic decât alternativele?”

Citește politica de confidențialitate a MyVault înainte să încarci orice. Dacă ceva nu este clar, întreabă-ne direct — răspundem. MyVault’s privacy policy. Citește politica de confidențialitate a MyVault înainte să încarci orice. Dacă ceva nu este clar, întreabă-ne direct — răspundem. ask us directly — we answer.