FibiFibi

Documenti legali

Privacy Policy

INFORMATIVA PRIVACY – PIATTAFORMA “FIBI”

(Artt. 13-14 Reg. (UE) 2016/679 – “GDPR” e d.lgs. 196/2003 e s.m.i.)

Premesse

La presente informativa descrive le modalità con cui FIBI (la “Piattaforma”) tratta i dati personali degli/delle utenti e dei/delle visitatori/visitatrici nell’ambito: (i) della navigazione dei siti e/o app riconducibili a FIBI; (ii) della registrazione e autenticazione; (iii) dell’utilizzo delle funzionalità di personal finance management (es. connessione conti, monitoraggio transazioni, analisi spese, obiettivi di risparmio, simulazioni, dashboard); (iv) delle attività di sicurezza, assistenza e miglioramento del servizio.

La presente informativa deve essere letta congiuntamente a:

  • Termini e Condizioni della Piattaforma;
  • Cookie Policy (ove prevista) e strumenti di gestione preferenze;
  • eventuali informative specifiche mostrate in-app per singole funzionalità.

Art. 1 – Definizioni

1.1. “Titolare”: il soggetto che determina finalità e mezzi del trattamento (art. 4, n. 7 GDPR).
1.2. “Interessato/a”: la persona fisica cui si riferiscono i dati personali (art. 4, n. 1 GDPR).
1.3. “Dati personali”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4, n. 1 GDPR).
1.4. “Trattamento”: qualunque operazione compiuta su dati personali (art. 4, n. 2 GDPR).
1.5. “Responsabile del trattamento”: il soggetto che tratta dati personali per conto del Titolare (art. 4, n. 8 e art. 28 GDPR).
1.6. “Paese terzo”: Paese non appartenente allo Spazio Economico Europeo (“SEE”).

Art. 2 – Titolare del trattamento e contatti

2.1. Titolare del trattamento è: Investing Empowers srl, con sede in Via XX Settembre 394, 67051 Avezzano (AQ), C.F./P.IVA 02149930667, e-mail: info@investingempowers.it, PEC: investingempowers@pec.it (il “Titolare” o “FIBI”).

Art. 3 – Ambito di applicazione e categorie di interessati

3.1. L’informativa si applica ai seguenti interessati:

  • Visitatori dei siti/app e utenti che consultano contenuti informativi (onboarding, pagine descrittive del servizio);
  • Utenti registrati (inclusi profili “guest” e profili con abbonamento attivo);
  • Utenti che connettono conti/rapporti bancari tramite servizi di open banking di terzi.

Art. 4 – Categorie di dati trattati

4.1. Dati di navigazione e di utilizzo
A titolo esemplificativo: indirizzo IP, user agent, identificativi del dispositivo, sistema operativo, impostazioni lingua, data/ora accesso, log applicativi, eventi di errore, dati di performance e sicurezza.

4.2. Dati di registrazione e account
A titolo esemplificativo: e-mail, credenziali (in forma cifrata/hash), identificativi univoci, ruolo profilo (es. “guest”), preferenze, impostazioni, eventuale immagine profilo e nome (se conferiti).

4.3. Dati di autenticazione tramite Identity Provider di terzi
Se l’utente accede tramite provider esterni (es. “Sign in with …”), il Titolare può ricevere alcuni dati identificativi (es. e-mail, nome, identificativo del profilo) secondo quanto autorizzato dall’utente presso il provider.

4.4. Dati relativi ad abbonamenti e attivazioni
A titolo esemplificativo: stato abbonamento, piano, codice di attivazione/riscatto, storico rinnovi, eventuali dati di fatturazione (se previsti), e informazioni sul pagamento (in genere: esito/ID transazione; i dati completi della carta restano al payment provider).

4.5. Dati bancari, contabili e di transazione (open banking)
Qualora l’utente connetta i propri conti, il Titolare può trattare, nei limiti consentiti e richiesti dall’utente:

  • dati identificativi del rapporto (es. banca/istituto, tipo conto, alias conto);
  • saldo e movimenti;
  • transazioni: data, importo, valuta, descrizione, controparte/merchant, causale, categoria (anche assegnata automaticamente), metadati tecnici disponibili tramite API bancarie.
    Il Titolare non richiede né memorizza le credenziali bancarie dell’utente (es. password di home banking), che restano nella disponibilità dell’istituto e dei canali di autenticazione.

4.6. Dati inseriti volontariamente dall’utente
Esempi: obiettivi di risparmio, budget, note, categorizzazioni manuali, preferenze, scenari e parametri di simulazione.

4.7. Dati di assistenza e comunicazioni
Esempi: richieste supporto, comunicazioni via e-mail e/o canali in-app, eventuali log di assistenza.

4.8. Dati potenzialmente idonei a rivelare categorie particolari (art. 9 GDPR)
Il Titolare non richiede dati “particolari” (es. salute, convinzioni religiose/politiche). Tuttavia, alcune transazioni possono indirettamente rivelare tali informazioni (es. pagamenti verso strutture sanitarie o associazioni). In tali casi, il Titolare tratta i dati solo per le finalità strettamente connesse all’erogazione del servizio e con le tutele descritte nella presente informativa (cfr. Art. 5 e Art. 14).

Art. 5 – Finalità del trattamento e basi giuridiche (art. 6 GDPR)

Il Titolare tratta i dati personali per le seguenti finalità:

5.1. Registrazione, autenticazione e gestione dell’account

Finalità: creazione account, login, gestione profilo/ruolo, sicurezza accessi, gestione preferenze.
Base giuridica: esecuzione del contratto e/o misure precontrattuali (art. 6, par. 1, lett. b GDPR).

5.2. Erogazione delle funzionalità della Piattaforma (dashboard e strumenti di gestione finanze)

Finalità: fornire all’utente le funzionalità descritte (monitoraggio entrate/uscite, analisi spese, obiettivi di risparmio, simulazioni e insight).
Base giuridica: art. 6, par. 1, lett. b GDPR (contratto).

5.3. Connessione dei conti e importazione delle transazioni tramite open banking

Finalità: permettere all’utente, su sua richiesta, di connettere i conti e importare saldi/transazioni.
Base giuridica: art. 6, par. 1, lett. b GDPR (contratto).
Ulteriori profili: l’accesso ai conti avviene attraverso flussi di autenticazione e consenso presso l’istituto bancario e/o il fornitore terzo di open banking (conforme al quadro PSD2).
Nota art. 9 GDPR: ove le transazioni rivelino dati “particolari”, il trattamento è svolto esclusivamente per fornire il servizio richiesto dall’utente e con misure di minimizzazione; ove necessario, l’utente potrà essere chiamato a prestare consenso esplicito (art. 9, par. 2, lett. a GDPR) tramite meccanismi dedicati in-app.

5.4. Categorizzazione automatica e insight mediante sistemi di Intelligenza Artificiale (AI)

Finalità: categorizzare automaticamente transazioni, individuare pattern di spesa, generare suggerimenti e riepiloghi (a titolo informativo).
Base giuridica: art. 6, par. 1, lett. b GDPR (contratto) e, per attività di miglioramento non strettamente necessarie, art. 6, par. 1, lett. f GDPR (legittimo interesse: migliorare qualità e accuratezza del servizio, sicurezza e prevenzione abusi), salva opposizione dell’interessato (art. 21 GDPR).
Il Titolare adotta – ove possibile – pseudonimizzazione/minimizzazione dei dati inviati ai sistemi AI. Per impostazione standard del fornitore AI utilizzato, i dati inviati tramite API non sono utilizzati per addestrare i modelli “di default”.

5.5. Sicurezza, prevenzione frodi/abusi e continuità operativa

Finalità: sicurezza della Piattaforma, prevenzione accessi non autorizzati, protezione da attacchi, logging e audit, gestione incidenti.
Base giuridica: art. 6, par. 1, lett. f GDPR (legittimo interesse del Titolare e degli utenti alla sicurezza).

5.6. Assistenza e supporto

Finalità: gestire richieste di supporto e comunicazioni operative.
Base giuridica: art. 6, par. 1, lett. b GDPR e/o art. 6, par. 1, lett. f GDPR (a seconda del contenuto della richiesta).

5.7. Adempimenti di legge e richieste dell’Autorità

Finalità: adempiere a obblighi di legge, regolamentari, contabili/fiscali (se applicabili), e rispondere a richieste dell’Autorità.
Base giuridica: art. 6, par. 1, lett. c GDPR.

5.8. Analisi statistiche e performance (analytics) e miglioramento prodotto

Finalità: misurare performance, stabilità e utilizzo della Piattaforma; migliorare funzionalità e UX. Ricerca e sviluppo su propensione di spesa e di consumo degli utenti, utilizzando dati aggregati e pseudonimizzati al fine di meglio supportare gli Utenti.
Base giuridica:

  • per strumenti configurati in modalità aggregata/anonimizzata e senza cookie, art. 6, par. 1, lett. f GDPR e/o dati non personali; alcuni strumenti “web analytics” dichiarano raccolta aggregata e anonima senza cookie.
  • per strumenti che comportano tracciamento non essenziale o accesso a informazioni sul terminale dell’utente, consenso (art. 6, par. 1, lett. a GDPR e art. 122 Codice Privacy), secondo la Cookie Policy e le Linee guida dell’Autorità Garante.
  • gestione dei dati in modalità aggregata/anonimizzata e senza cookie, art. 6, par. 1, lett. f GDPR e/o dati non personali, finalizzata alla ricerca e sviluppo per migliorare la piattaforma e meglio consentirle di rispondere alle esigenze degli Utenti.

5.9. Marketing (se previsto) e comunicazioni promozionali

Finalità: invio newsletter, comunicazioni promozionali, iniziative commerciali.
Base giuridica: consenso (art. 6, par. 1, lett. a GDPR). L’utente può revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento precedente.

5.10. Tutela dei diritti e gestione del contenzioso

Finalità: accertare, esercitare o difendere un diritto in sede giudiziaria o stragiudiziale.
Base giuridica: art. 6, par. 1, lett. f GDPR (legittimo interesse).

Art. 6 – Natura del conferimento e conseguenze del rifiuto

6.1. Il conferimento dei dati per le finalità di cui all’Art. 5.1–5.4 è necessario per la registrazione e l’erogazione del servizio. Il mancato conferimento può comportare l’impossibilità di creare l’account o utilizzare (in tutto o in parte) la Piattaforma.

6.2. Il conferimento dei dati per finalità di marketing e tracciamento non essenziale (Art. 5.9 e parte di 5.8) è facoltativo. Il rifiuto non pregiudica l’utilizzo delle funzionalità essenziali.

Art. 7 – Modalità del trattamento e misure di sicurezza

7.1. Il trattamento avviene mediante strumenti informatici e telematici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione e integrità/riservatezza (art. 5 GDPR).

7.2. Il Titolare adotta misure tecniche e organizzative adeguate (art. 32 GDPR), quali – a titolo esemplificativo – cifratura in transito, controllo accessi, segregazione ambienti, logging di sicurezza, procedure di backup e gestione incidenti.

Art. 8 – Destinatari dei dati (art. 13, par. 1, lett. e GDPR)

8.1. I dati personali possono essere comunicati alle seguenti categorie di destinatari:

(a) Fornitori IT e di hosting/infrastruttura (incluse piattaforme di hosting del front-end, servizi di cloud compute del back-end, servizi di database gestito).
(b) Fornitori di open banking / account information services utilizzati per collegare i conti e ottenere transazioni e saldi, su richiesta dell’utente.
(c) Fornitori di servizi AI impiegati per la categorizzazione/analisi automatica delle transazioni e generazione di insight.
(d) Fornitori di analytics, misurazione performance e session recording (attivati secondo le preferenze privacy e, ove richiesto, previo consenso).
(e) Fornitori di monitoraggio errori e sicurezza applicativa (es. crash reporting, error tracking).
(f) Fornitori di pagamento / billing (se l’utente acquista abbonamenti; tali soggetti possono operare come autonomi titolari).
(g) Consulenti e professionisti (es. legali, fiscali, revisori), nei limiti necessari.
(h) Autorità pubbliche o soggetti legittimati per legge.

8.2. Tali soggetti operano, a seconda dei casi, come:

  • Responsabili del trattamento ex art. 28 GDPR (con nomina e istruzioni documentate);
  • Autonomi titolari (es. alcuni provider di autenticazione, di pagamento, e piattaforme di advertising/tracciamento);
  • Contitolari limitatamente ad alcune operazioni di raccolta/trasmissione dati verso piattaforme terze integrate (es. plugin/tag di terze parti): la giurisprudenza UE ha chiarito che l’operatore del sito può essere contitolare, con la piattaforma terza, per la sola fase di raccolta e trasmissione dei dati verso la stessa.

8.3. L’elenco aggiornato dei Responsabili del trattamento può essere richiesto al Titolare ai recapiti di cui all’Art. 2.

Art. 9 – Luogo del trattamento, data residency e trasferimenti extra SEE (artt. 44 ss. GDPR)

9.1. Localizzazione primaria (SEE/UE)
Il Titolare configura l’infrastruttura principale della Piattaforma in modo che i dati siano trattati e conservati, di regola, nello SEE. In particolare, l’hosting e i servizi core (front-end, back-end e database) risultano configurati in Germania, area di Francoforte, in ragione delle regioni europee utilizzate:

  • una regione “Frankfurt (Germany)” per l’hosting edge/regionale;
  • una regione “FRA1” localizzata a Frankfurt am Main, Germany per il compute; DigitalOcean
  • database in regione “AWS Europe (Frankfurt)”, corrispondente al codice eu-central-1 (“Europe (Frankfurt)”). Neon

9.2. Dati di analytics e tracciamento
Alcuni strumenti di analytics possono essere configurati per operare con dati aggregati/anonimi e senza cookie. Vercel
Altri strumenti (in particolare quelli di session recording/heatmap o di marketing/advertising) possono comportare trattamento e/o conservazione anche negli Stati Uniti; ad esempio, la documentazione di un servizio di session recording indica che i dati vengono archiviati su data center negli USA. Microsoft Clarity
Tali strumenti, ove utilizzati, sono attivati solo secondo le scelte privacy dell’utente e con una base giuridica idonea (consenso, ove richiesto).

9.3. Servizi AI
Per alcune funzionalità (es. categorizzazione transazioni) i dati possono essere inviati a un fornitore AI. Il fornitore dichiara che non utilizza i dati API per addestrare i modelli “di default” e mette a disposizione controlli di data retention e, per clienti idonei, opzioni di data residency (anche in Europa).

9.4. Open banking provider
Il fornitore di open banking utilizzato per la connessione dei conti e l’acquisizione di saldi e transazioni è stabilito in Germania ed è autorizzato e vigilato quale prestatore di servizi di informazione sui conti (AIS) e/o di disposizione di ordini di pagamento (PIS) ai sensi della PSD2. Il trattamento dei dati avviene principalmente all’interno dello Spazio Economico Europeo (SEE); il fornitore può avvalersi di subfornitori e, qualora il trattamento avvenga al di fuori del SEE, si applicano le garanzie di cui all’art. 9.5.

9.5. Garanzie per i trasferimenti
Qualora si renda necessario trasferire dati personali verso Paesi terzi, il Titolare assicura il rispetto degli artt. 44 ss. GDPR tramite garanzie adeguate, quali:

  • decisioni di adeguatezza ex art. 45 GDPR (ove applicabili, incl. EU-U.S. Data Privacy Framework);
  • Standard Contractual Clauses ex art. 46 GDPR e misure supplementari, ove necessarie;
  • ulteriori strumenti previsti dal GDPR, in funzione del caso concreto.

Art. 10 – Periodi di conservazione

10.1. Il Titolare conserva i dati per il tempo necessario alle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e GDPR).

10.2. In via generale:

  • Dati account e profilo: per tutta la durata del rapporto contrattuale; alla chiusura dell’account, cancellazione/anonimizzazione entro tempi tecnici ragionevoli, salvo necessità di conservazione ulteriore per obblighi di legge o tutela dei diritti. I dati resteranno conservati per 3 mesi dalla cancellazione dell’account - salvo diversa richiesta dell’Utente - da parte dell’utente onde permettere alla società di adoperare gli adempimenti necessari.
  • Dati di transazioni e conti: per la durata della connessione e dell’uso del servizio; in caso di disconnessione/chiusura account, cancellazione/anonimizzazione entro tempi tecnici ragionevoli, salvo richiesta dell’utente di conservazione e/o necessità di tutela diritti.
  • Dati di fatturazione/contabili (se applicabili): conservati per i termini previsti dalla normativa civilistica e fiscale.
  • Log di sicurezza e tecnici: conservati per un periodo proporzionato alle esigenze di sicurezza e troubleshooting.
  • Dati per marketing: fino a revoca del consenso e/o disiscrizione.
  • Cookie e strumenti di tracciamento: secondo quanto indicato nella Cookie Policy.

10.3. Per i servizi AI, la retention può essere soggetta a controlli e policy del fornitore (es. retention di log di abuso e controlli “zero data retention” per clienti idonei).

Art. 11 – Diritti dell’interessato (artt. 15–22 GDPR)

11.1. L’Interessato può esercitare i diritti previsti dagli artt. 15–22 GDPR, tra cui:

  • accesso, rettifica, cancellazione (“diritto all’oblio”), limitazione;
  • portabilità dei dati;
  • opposizione al trattamento (in particolare per trattamenti basati su legittimo interesse e per marketing diretto);
  • revoca del consenso (senza pregiudicare la liceità del trattamento precedente);
  • diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati, nei casi e limiti dell’art. 22 GDPR.

11.2. Per esercitare i diritti, l’Interessato può contattare il Titolare ai recapiti indicati all’Art. 2.

Art. 12 – Reclamo all’Autorità di controllo

12.1. L’Interessato ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (art. 77 GDPR), nonché di adire le sedi giudiziarie competenti (artt. 79–82 GDPR).

13.1. La Piattaforma può utilizzare cookie e strumenti di tracciamento:

  • tecnici/necessari (per il funzionamento e la sicurezza);
  • statistici/analytics (in forma aggregata o, se non aggregata, previo consenso);
  • profilazione/marketing (previo consenso).

13.2. L’uso di cookie e strumenti non tecnici avviene nel rispetto dell’art. 122 del Codice Privacy e delle Linee guida del Garante del 10 giugno 2021, incluse le regole su informativa breve, consenso, granularità delle scelte e facilità di revoca.

13.3. Dettagli su tipologie, durata e gestione preferenze sono contenuti nella Cookie Policy (tools.wearefibi.com/cookie-policy).

Art. 14 – Trattamenti automatizzati, profilazione e AI

14.1. La Piattaforma utilizza sistemi di automazione e, in alcune funzionalità, sistemi AI per:

  • categorizzazione transazioni;
  • elaborazione di statistiche e indicatori (es. ripartizione spese per categoria);
  • individuazione di pattern di spesa;
  • suggerimenti e insight a scopo informativo.

14.2. Assenza di effetti giuridici
Le elaborazioni hanno finalità di supporto informativo/organizzativo e non sono destinate, di regola, a produrre effetti giuridici o incidere in modo analogo significativamente sull’utente ai sensi dell’art. 22 GDPR. L’utente può comunque contattare il Titolare per chiarimenti e per esercitare i diritti di cui all’Art. 11.

14.3. Minimizzazione, pseudonimizzazione e dati sintetici
Il Titolare, ove possibile:

  • minimizza i dati trattati e inviati ai moduli AI;
  • utilizza tecniche di pseudonimizzazione (quando compatibili con le finalità);
  • utilizza dati aggregati/anonimizzati e/o dati sintetici per analisi statistiche e miglioramento dei modelli, evitando (ove possibile) il reimpiego di dati identificativi.

14.4. Controlli del fornitore AI
Il fornitore AI impiegato per API dichiara: assenza di training “di default” sui dati, opzioni di data retention e – per clienti idonei – data residency anche in Europa.
La Società metterà a disposizione degli Utenti un servizio di help desk tramite chatbot AI che permetta agli Utenti di comprendere e/o risolvere talune attività sulla Piattaforma. Tale servizio non tratterà dati personali, bensì servirà unicamente a supportare l’Utente nella fruizione della Piattaforma e dei servizi ad essa correlati.

Art. 15 – Minori

15.1. La Piattaforma non è destinata a utenti minori di 18 anni. Il Titolare non raccoglie intenzionalmente dati di minori; ove venisse a conoscenza del trattamento di dati di minori in violazione di quanto sopra, adotterà misure per cancellarli.

Art. 16 – Aggiornamenti dell’informativa

16.1. Il Titolare può aggiornare la presente informativa per adeguamenti normativi, evoluzioni tecniche o variazioni del servizio. La versione aggiornata è resa disponibile su tools.wearefibi.com/privacy-policy con indicazione della data di ultimo aggiornamento.


Ultimo aggiornamento: 07/01/2026