Privacy Policy
Informativa sul trattamento dei dati personali ai sensi del Regolamento UE 2016/679 (GDPR)
Ultimo aggiornamento: 29 giugno 2026
1. Titolare del trattamento
Titolare del trattamento è Inverto SCF S.r.l. (Società con Socio Unico), con sede legale in Via Caianello 6, 20158 Milano (MI), C.F. e P.IVA 14606690965, PEC invertoscf@pec.it.
Per l'esercizio dei diritti previsti dagli articoli 15-22 del GDPR è possibile scrivere a compliance@invertoapp.com. Il Titolare risponderà entro 30 giorni.
Il Titolare ha valutato, ai sensi dell'art. 37 del GDPR e delle Linee Guida WP243 dell'EDPB, che i trattamenti effettuati nella fase attuale di operatività non rientrano nella definizione di monitoraggio regolare e sistematico su larga scala. La nomina del Data Protection Officer sarà effettuata qualora i presupposti si realizzino in futuro.
2. Dati raccolti
Dati di registrazione: email, PIN (hashato).
Dati di profilazione: nome, cognome, data di nascita, genere (raccolti nella sezione di profilazione MIFID); residenza, professione, origine dei beni, scopo del rapporto (raccolti nel questionario antiriciclaggio); profilo di rischio (1–5), punteggio AML.
Dati di identificazione (KYC), raccolti in adempimento agli obblighi del D.Lgs. 231/2007 (antiriciclaggio): immagine del documento di identità (carta d'identità, passaporto o patente), selfie, video di liveness con audio, dati biometrici elaborati dal fornitore KYC ai soli fini della verifica dell'identità (i dati biometrici grezzi non sono conservati dal Titolare; presso il fornitore KYC sono conservati solo per il tempo necessario alla verifica), coordinate geografiche del dispositivo durante la procedura KYC ai fini antifrode, esito dei controlli su liste PEP, sanzioni internazionali e adverse media.
Dati finanziari: conti bancari, transazioni (entrate, spese, trasferimenti), posizioni di investimento (ISIN, quantità, prezzi), immobili, altri beni, debiti, dati di pagamento elaborati da Stripe (gli ultimi 4 numeri della carta sono conservati a fini di fatturazione; il numero completo della carta non transita mai sui server del Titolare).
Dati di interazione AI: messaggi scambiati con l'assistente AI, documenti PDF caricati nello scanner (cancellati immediatamente dopo l'estrazione).
Dati tecnici: log di accesso, versione dell'app, sistema operativo, dati anonimizzati di crash e performance.
Dati di utilizzo dell'app: schermate visitate, flusso di navigazione, eventi di interazione (es. avvio acquisto, completamento questionario), raccolti in forma aggregata e pseudonimizzata tramite Firebase Analytics (Google LLC) al fine di migliorare l'esperienza utente e comprendere i pattern di utilizzo del servizio.
3. Finalità e basi giuridiche
Erogazione del servizio (art. 6.1.b — esecuzione del contratto): registrazione account, monitoraggio patrimonio, calcoli finanziari, piano personalizzato, assistente AI, consulenze.
Adempimento obblighi normativi (art. 6.1.c — obbligo legale): questionari MIFID II (Direttiva 2014/65/UE, Reg. Delegato 2017/565), antiriciclaggio (D.Lgs. 231/2007), obblighi contabili e fiscali.
Miglioramento del servizio (art. 6.1.f — legittimo interesse): analisi tecniche aggregate e anonimizzate, prevenzione frodi.
Comunicazioni promozionali (art. 6.1.a — consenso): solo se espressamente acconsentite. Il consenso può essere revocato in qualsiasi momento tramite le impostazioni dell'app (sezione Notifiche), tramite il link di cancellazione presente in ogni comunicazione promozionale, oppure scrivendo a compliance@invertoapp.com.
4. Destinatari e trasferimenti
Supabase Inc. — database, autenticazione, storage. Data center UE (Francoforte). DPA firmato.
Sumsub (Sum and Substance Ltd.) — verifica di identità KYC e screening PEP/sanzioni/adverse media in adempimento agli obblighi antiriciclaggio (D.Lgs. 231/2007). Il fornitore tratta in qualità di responsabile i dati identificativi, l'immagine del documento, il selfie e il video di liveness; i dati biometrici sono utilizzati esclusivamente per la verifica dell'identità e non sono ceduti a terzi. Trasferimenti extra-UE regolati da Standard Contractual Clauses ove applicabili. DPA firmato.
Google LLC — assistente AI conversazionale (Gemini API), infrastruttura Google Meet per le videochiamate di consulenza, e Firebase Analytics per l'analisi aggregata dell'utilizzo dell'app (schermate visitate, eventi di navigazione). Trasferimento verso gli Stati Uniti regolato dall'EU-US Data Privacy Framework (decisione di adeguatezza del 10 luglio 2023). I dati non vengono utilizzati per l'addestramento dei modelli. I dati di utilizzo raccolti da Firebase Analytics sono pseudonimizzati e non vengono utilizzati per finalità pubblicitarie.
Anthropic PBC — scanner PDF portafoglio (Claude API). I documenti vengono sanitizzati localmente prima dell'invio. Trasferimento verso gli Stati Uniti regolato dalle Standard Contractual Clauses (SCCs) ai sensi dell'art. 46.2.c del GDPR, integrate da un Data Processing Agreement con clausola di Zero Data Retention.
Stripe Payments Europe, Ltd. — gestione dei pagamenti e degli abbonamenti. Il numero di carta completo non transita mai sui server del Titolare; sono conservati esclusivamente gli ultimi 4 numeri a fini di fatturazione. DPA automaticamente in vigore ai sensi degli Stripe Services Agreement.
I dati non sono venduti né condivisi con terze parti per finalità commerciali.
5. Conservazione dei dati
- Dati account: durata del rapporto + 10 anni (art. 2220 c.c.)
- Questionari MIFID II: durata del rapporto + 10 anni (Reg. 2017/565)
- Questionari antiriciclaggio: 10 anni dalla cessazione (art. 31 D.Lgs. 231/2007)
- Transazioni e posizioni: durata del rapporto + 10 anni
- Immobili, altri beni, debiti: durata del rapporto + 5 anni
- Chat con assistente AI: 12 mesi dall'ultima interazione
- Documenti PDF scanner: cancellati immediatamente
- Log di accesso: 24 mesi
- Ticket di supporto: 24 mesi dalla chiusura
Dopo la cancellazione dell'account i dati vengono eliminati entro 30 giorni, salvo gli obblighi di conservazione imposti dalla legge.
6. Decisioni automatizzate e profilazione
Ai sensi dell'art. 22 del GDPR, il Titolare informa che i seguenti trattamenti sono basati su processi interamente automatizzati:
Profilo di rischio MIFID (1–5): calcolato automaticamente dalle risposte al questionario secondo i criteri del Regolamento Delegato 2017/565. Determina i limiti di allocazione per asset class.
Punteggio antiriciclaggio: calcolato automaticamente dalle risposte al questionario AML. Classifica il livello di rischio (Basso, Medio, Alto).
Piano finanziario — tutti i piani: il sistema elabora una proposta di portafoglio personalizzata sulla base del profilo MIFID dell'utente. Prima di essere resa disponibile all'utente, la proposta è sottoposta alla revisione del consulente finanziario dedicato, che può approvarla o modificarla. La responsabilità della valutazione di adeguatezza ai sensi dell'art. 167, comma 1, del Regolamento Intermediari (Consob n. 20307/2018) resta in ogni caso in capo alla Società.
La distinzione tra i piani riguarda le modalità di interazione con il consulente: i piani Pro e Wealth includono videochiamate periodiche; il piano Standard non prevede contatto diretto, ma il piano finanziario è comunque approvato dal consulente prima della consegna.
L'utente ha in ogni caso il diritto di ottenere l'intervento umano, esprimere la propria opinione e contestare qualsiasi decisione scrivendo a compliance@invertoapp.com.
7. Intelligenza artificiale
Ai sensi dell'art. 50 del Regolamento UE 2024/1689 (AI Act), il Titolare informa che il servizio integra sistemi di intelligenza artificiale classificati come “rischio limitato”:
Assistente conversazionale (Google Gemini): risponde a domande sull'app e analizza i dati finanziari dell'utente. L'utente è informato nell'interfaccia che sta interagendo con un sistema AI.
Scanner portafoglio (Anthropic Claude): estrae ISIN e posizioni da PDF di estratti conto. I documenti vengono sanitizzati localmente prima dell'invio.
I dati degli utenti non vengono utilizzati per l'addestramento dei modelli AI. Per qualsiasi richiesta che necessiti di interazione umana diretta, l'utente può scrivere a info@invertoapp.com o compliance@invertoapp.com.
8. Diritti dell'interessato
Ai sensi degli articoli 15–22 del GDPR, l'utente ha diritto a:
- Accesso ai propri dati (art. 15)
- Rettifica di dati inesatti (art. 16)
- Cancellazione (art. 17), nei limiti degli obblighi di conservazione di legge
- Limitazione del trattamento (art. 18)
- Portabilità dei dati in formato strutturato (art. 20)
- Opposizione al trattamento (art. 21)
- Revoca del consenso in qualsiasi momento
- Non essere sottoposto a decisioni automatizzate con effetti significativi senza intervento umano (art. 22)
Per esercitare questi diritti scrivere a: compliance@invertoapp.com.
L'utente ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali se ritiene che il trattamento dei propri dati violi il GDPR.
9. Sicurezza
Tutti i dati sono cifrati in transito (TLS). Il PIN è hashato (SHA-256) prima di lasciare il dispositivo. L'accesso ai dati è protetto da Row Level Security di PostgreSQL.
In caso di violazione dei dati il Titolare notificherà l'Autorità Garante entro 72 ore (art. 33 GDPR) e, ove il rischio sia elevato, ne informerà direttamente gli utenti coinvolti.
10. Cookie e tracciamento
L'app Inverto non utilizza cookie di profilazione né tecnologie di tracciamento pubblicitario.
Firebase Analytics(Google LLC): l'app utilizza Firebase Analytics per raccogliere dati aggregati e pseudonimizzati sull'utilizzo dell'app (schermate visitate, flusso di navigazione, eventi di interazione). Questi dati sono trattati sulla base del legittimo interesse del Titolare (art. 6.1.f GDPR) al miglioramento del servizio. I dati non vengono utilizzati per mostrare pubblicità personalizzata. L'utente può disabilitare la raccolta di Analytics tramite le impostazioni del dispositivo (iOS: Impostazioni → Privacy e sicurezza → Apple Advertising; Android: Impostazioni → Privacy → Annunci).
Il sito web invertoapp.com può utilizzare cookie tecnici strettamente necessari al funzionamento; tali cookie non richiedono consenso ai sensi dell'art. 122 del Codice Privacy (D.Lgs. 196/2003).
11. Minori
Il servizio è destinato esclusivamente a persone fisiche che abbiano compiuto il 18° anno di età. Il Titolare non raccoglie consapevolmente dati personali di minori di 18 anni.
Qualora il Titolare venga a conoscenza di aver raccolto dati di un minore, provvederà alla cancellazione tempestiva degli stessi. Se un genitore o tutore ritiene che un minore abbia fornito dati personali, è invitato a contattare compliance@invertoapp.com.
12. Cessione aziendale
In caso di fusione, acquisizione, cessione d'azienda o di ramo d'azienda, i dati personali degli utenti potranno essere trasferiti al soggetto subentrante, il quale sarà tenuto a trattarli in conformità alla presente informativa. Gli utenti saranno informati preventivamente di tale trasferimento tramite comunicazione in-app o via email.