Privacy Policy

Zero è un'applicazione web per la gestione delle finanze personali. Il servizio è disponibile all'indirizzo zerofinance.it ed è rivolto a utenti privati che desiderano monitorare entrate, uscite, abbonamenti e patrimonio netto.

Autenticazione. Per accedere a Zero puoi utilizzare Google Sign-In o registrarti con email e password, entrambi gestiti tramite Firebase Authentication. Raccogliamo esclusivamente le informazioni fornite al momento del login: nome visualizzato, indirizzo email e, per Google, foto profilo.

Dati finanziari. Le transazioni, i conti bancari, gli abbonamenti, i budget e il portafoglio investimenti che inserisci nell'app sono salvati in modo sicuro su Firebase Firestore(Google LLC), accessibili solo tramite il tuo account autenticato. Nessun dato finanziario viene condiviso con terze parti.

Dati di pagamento. Se sottoscrivi un piano Pro, i dati di pagamento (numero carta, IBAN) sono gestiti direttamente da Stripe, Inc. e non transitano né vengono memorizzati sui nostri server. Conserviamo solo un identificativo cliente Stripe (es. cus_xxx) per associare l'abbonamento al tuo account.

Dati analitici (opzionali). Previo tuo consenso esplicito, utilizziamo PostHog per raccogliere eventi anonimi di utilizzo (es. funzionalità aperte, durata sessione). Nessun dato finanziario è incluso in questi eventi. Puoi rifiutare o revocare il consenso in qualsiasi momento senza perdere funzionalità.

Dati in cache offline. Per garantire il funzionamento anche senza connessione, il Service Worker dell'app può memorizzare temporaneamente asset statici (CSS, JS, icone) nel browser. Nessun dato finanziario personale viene salvato nel cache del Service Worker.

App Lock biometrico. La funzione di blocco tramite impronta digitale o Face ID (App Lock) utilizza l'autenticatore biometrico integrato nel dispositivo tramite l'API WebAuthn standard del browser. I dati biometrici restano esclusivamente sul dispositivo all'interno del secure enclave del sistema operativo e non vengono mai trasmessi a Zero né a server di terze parti. Non si tratta di trattamento di dati biometrici ai sensi dell'Art. 9 GDPR.

I dati raccolti vengono utilizzati esclusivamente per:

• identificarti al momento dell'accesso;
• personalizzare l'esperienza in-app (nome, avatar);
• migliorare il servizio tramite analisi anonime aggregate.

Non vendiamo, cediamo né affittiamo i tuoi dati personali a terze parti.

In conformità all'Art. 6 del GDPR, ogni trattamento di dati personali si fonda su una specifica base giuridica:

Per i trattamenti basati sull'interesse legittimo(notifiche push, email transazionali, hash anti-abuso), abbiamo valutato che tali trattamenti siano necessari per il corretto funzionamento del servizio e proporzionati rispetto ai tuoi diritti: le notifiche push e le email transazionali sono attivate su tua iniziativa e puoi disattivarle in qualsiasi momento dalle impostazioni; l'hash dell'email è trattato in forma irreversibile esclusivamente per prevenire abusi del periodo di prova gratuito. Hai il diritto di opporti a qualsiasi trattamento basato su interesse legittimo scrivendo all'indirizzo indicato nella sezione 17.

Zero utilizza Firebase Authentication e Firestoredi Google LLC per gestire l'accesso e archiviare i tuoi dati. Firebase può raccogliere dati tecnici per fini di sicurezza e prevenzione delle frodi. Le informazioni sono trattate secondo la Privacy Policy di Firebase.

Localizzazione dei dati. Le Cloud Functions e il database Firestore del progetto Zero sono attualmente collocati nella regione us-central1(Stati Uniti). Il trasferimento dei tuoi dati verso gli USA è coperto dall' EU-US Data Privacy Framework, di cui Google LLC è soggetto certificato, e dalle Standard Contractual Clauses previste dal Google Cloud Data Processing Addendum.

I pagamenti per il piano Pro sono elaborati da Stripe, Inc. (185 Berry St, San Francisco, CA 94107, USA), un fornitore certificato PCI DSS Level 1. I dati della carta di credito non raggiungono mai i nostri server: vengono trasmessi direttamente a Stripe tramite browser in modalità cifrata.

Stripe può conservare dati di fatturazione e storico pagamenti secondo la propria Privacy Policy. Puoi gestire il tuo abbonamento, scaricare ricevute e aggiornare il metodo di pagamento direttamente dal Customer Portal Stripeaccessibile dalle impostazioni dell'app.

In caso di cancellazione dell'account, il profilo cliente Stripe viene eliminato automaticamente insieme a tutti i tuoi dati.

Per l'invio di email transazionali (benvenuto, conferma cancellazione abbonamento, notifiche di sistema) utilizziamo Brevo (Brevo SAS, già Sendinblue — 7 rue de Madrid, 75008 Parigi, Francia).

I dati trasmessi a Brevo si limitano all'indirizzo email e al nome dell'utente, esclusivamente per la personalizzazione del messaggio. Non vengono trasmessi dati finanziari. Le email transazionali sono inviate solo in risposta ad azioni specifiche dell'utente (es. registrazione, cancellazione abbonamento) e non costituiscono marketing.

Base giuridica: interesse legittimo (Art. 6.1.f GDPR) — le email transazionali sono necessarie per confermare operazioni eseguite dall'utente. I server Brevo sono in Europa; nessun trasferimento extra-UE. Per informazioni consulta la Privacy Policy di Brevo.

Se hai abilitato le notifiche nel browser, utilizziamo Firebase Cloud Messaging (FCM) di Google LLC per inviare notifiche relative alle tue finanze (es. scadenza abbonamento, obiettivo di risparmio raggiunto, riepilogo mensile).

Dati trasmessi. Il tuo browser genera un token FCM univoco per il dispositivo, che viene salvato nel tuo profilo Firestore esclusivamente per consegnare le notifiche. Il token non contiene dati finanziari e non è associato a dati di terze parti.

Base giuridica: interesse legittimo (Art. 6.1.f GDPR) — le notifiche sono attivate su tua esplicita iniziativa (il browser richiede il permesso prima di attivarle). Puoi disabilitarle in qualsiasi momento dalle impostazioni del browser o dall'app senza perdere funzionalità. Il trasferimento verso i server FCM negli USA è coperto da EU-US DPF + SCCs (Google Cloud DPA).

Previo tuo consenso esplicito tramite il banner cookie, utilizziamo PostHog (PostHog Inc., 965 Mission St, San Francisco, CA 94103, USA) per raccogliere eventi anonimi di utilizzo con lo scopo di migliorare il prodotto. I dati sono ospitati su server europei (eu.i.posthog.com).

Gli eventi raccolti riguardano esclusivamente interazioni con l'interfaccia (es. apertura di una funzione, completamento dell'onboarding). Non raccogliamo mai importi, descrizioni di transazioni o altri dati finanziari negli eventi analitici.

Puoi revocare il consenso in qualsiasi momento: vai su Impostazioni → Privacy → Analisi d'utilizzo oppure svuota il localStorage del browser. Rifiutare il consenso non limita nessuna funzionalità dell'app. Per maggiori informazioni consulta la Privacy Policy di PostHog.

Utilizziamo Sentry(Sentry Inc., 45 Fremont Street, San Francisco, CA 94105, USA) per il monitoraggio tecnico degli errori dell'app, al fine di identificare e correggere malfunzionamenti il più rapidamente possibile.

Dati trasmessi. In caso di errore o eccezione tecnica, Sentry riceve automaticamente: messaggio di errore, stack trace del codice, URL della pagina visitata, tipo di browser e sistema operativo, indirizzo IP (parzialmente anonimizzato). Non vengono trasmessi dati finanziari (importi, descrizioni transazioni, saldi).

Session Replay. La funzione di registrazione video della sessione (Session Replay) è disabilitata in Zero: trattando dati finanziari sullo schermo, non è compatibile con la tutela della tua privacy.

Base giuridica. Il trattamento è basato sull'interesse legittimo del titolare (Art. 6.1.f GDPR) consistente nel garantire la stabilità e sicurezza tecnica del servizio. I dati trasmessi sono limitati al minimo necessario per la diagnosi degli errori e non includono mai contenuti finanziari dell'utente.

Trasferimento extra-UE. I server Sentry sono negli Stati Uniti. Il trasferimento è coperto dalle Standard Contractual Clauses previste nel Data Processing Addendum di Sentry. I dati vengono conservati per un massimo di 90 giorni.

Zero include un assistente AI opzionale che ti consente di interrogare i tuoi dati finanziari in linguaggio naturale. La funzionalità è erogata tramite le API di Google Gemini(Google LLC, USA) ed è completamente opzionale: l'app funziona integralmente senza di essa.

Dati trasmessi. Quando utilizzi l'assistente AI, vengono inviati a Google Gemini i tuoi dati finanziari degli ultimi 6 mesi: transazioni (incluse le descrizioni bancarie importate da estratti conto), conti, abbonamenti, budget, portafoglio investimenti e operazioni di investimento. La funzionalità richiede il tuo consenso esplicito prima del primo utilizzo.

Cache temporanea. Per migliorare la velocità di risposta, il contesto finanziario può essere mantenuto in cache sui server Google per un massimo di 1 ora, dopodiché viene eliminato automaticamente. Non si tratta di archiviazione permanente.

Training. I dati inviati tramite le API Gemini a pagamento non vengono utilizzati da Google per addestrare i propri modelli(cfr. Google AI API Terms of Service — sezione "Servizi a pagamento"). Google può conservare prompt e risposte per un periodo di tempo limitato esclusivamente per rilevare e prevenire violazioni delle proprie policy di sicurezza, in conformità con la propria Appendice sul trattamento dei dati.

Base giuridica. Il trattamento è basato sul tuo consenso esplicito (Art. 6.1.a GDPR), registrato con marca temporale al momento dell'attivazione. Puoi revocare il consenso in qualsiasi momento smettendo di utilizzare la funzionalità AI. La revoca non pregiudica la liceità del trattamento effettuato prima della stessa.

Trasferimento extra-UE. I server di Google Gemini possono trovarsi negli Stati Uniti. Il trasferimento è coperto dall' EU-US Data Privacy Framework, di cui Google LLC è soggetto certificato, e dalle Standard Contractual Clauses incluse nel Google Cloud Data Processing Addendum.

Zero è una Progressive Web App (PWA). Per garantire il funzionamento anche senza connessione internet utilizziamo un Service Worker che memorizza nella cache del browser asset statici (file JavaScript, CSS, icone, font).

I tuoi dati finanziari non vengono mai salvati nella cache del Service Worker: rimangono esclusivamente in Firebase Firestore e nella memoria locale della sessione. Puoi cancellare la cache in qualsiasi momento dalle impostazioni del tuo browser.

Zero utilizza due categorie di cookie:

• Cookie tecnici (sempre attivi). Necessari per l'autenticazione Firebase, le preferenze di tema dark/light e il corretto funzionamento dell'app. Non richiedono consenso.
• Cookie analitici (opzionali, previo consenso). Vengono attivati solo se accetti tramite il banner alla prima visita. Utilizzati da PostHog per raccogliere dati anonimi di utilizzo. Puoi revocare il consenso in qualsiasi momento.

Non utilizziamo cookie pubblicitari, di profilazione o di tracciamento di terze parti.

In conformità al Regolamento Europeo sulla Protezione dei Dati (GDPR) hai diritto a:

• accedere ai tuoi dati personali;
• richiederne la rettifica o la cancellazione;
• opporti al trattamento per finalità di marketing;
• richiedere la portabilità dei dati.

Eliminazione account (Art. 17 GDPR — Diritto all'oblio). Puoi eliminare il tuo account e tutti i dati associati direttamente dall'app in qualsiasi momento: vai su Profilo → Zona pericolosa → Elimina account. L'operazione:

• cancella immediatamente tutti i dati finanziari archiviati su Firebase (transazioni, conti, budget, abbonamenti, portafoglio investimenti);
• elimina il profilo cliente da Stripe (dati di pagamento e fatturazione);
• richiede una riconferma della tua identità tramite Google per sicurezza;
• elimina definitivamente il tuo account da Firebase Authentication.

L'eliminazione è immediata e irreversibile. Non viene conservata alcuna copia dei tuoi dati dopo la cancellazione.

Per qualsiasi altra richiesta relativa ai tuoi diritti, puoi contattarci all'indirizzo indicato nella sezione 17.

I dati di autenticazione (email, nome) sono conservati in Firebase Authentication finché l'account rimane attivo. I dati finanziari (transazioni, conti, budget, abbonamenti, portafoglio investimenti) sono conservati su Firebase Firestore e vengono eliminati alla cancellazione dell'account tramite la funzione "Elimina account" dell'app, oppure parzialmente tramite la funzione "Reset dati".

I dati analitici raccolti da PostHog, se il consenso è stato concesso, sono conservati per un massimo di 12 mesi su server europei. Puoi richiederne l'eliminazione scrivendo all'indirizzo indicato nella sezione 17.

Ci riserviamo il diritto di aggiornare questa Privacy Policy. Le modifiche sostanziali saranno comunicate tramite l'app. L'uso continuato del servizio dopo le modifiche costituisce accettazione della policy aggiornata.

Per qualsiasi domanda relativa a questa Privacy Policy o al trattamento dei tuoi dati personali, puoi scrivere a: aiuto@zerofinance.it

Bernardini Alessio · Via Sant'Antonio, 22 · 63084 Folignano (AP) · Italia