CashfulnessCashfulness
Join the beta
Privacy

Radical privacy: two levels, one promise

13 April 202612 min

Radical privacy: two levels, one promise

This article is available in Italian. English translation coming soon.

Privacy radicale: due livelli, una sola promessa

La maggior parte delle app gratuite che hai sul telefono non sono gratuite.

Te le offrono in cambio dei tuoi dati.

È un baratto.

È trasparente in linea di principio, e in molti casi è anche un baratto che vale la pena fare — non c'è nessuno scandalo nel farlo.

Anche tante app di finanza personale funzionano così.

Ti danno uno strumento di tracking gratuito o quasi gratuito, e in cambio aggregano i tuoi dati di spesa per produrre report di mercato, raccomandazioni personalizzate, suggerimenti pubblicitari, profilazione, partnership commerciali.

Anche qui, in linea di principio, è una scelta legittima del fornitore.

Tu in un attimo accetti i termini di servizio e procedi.

Cashfulness ha fatto una scelta diversa.

Non per giudicare le altre app — ognuno costruisce il proprio modello, e molti lo fanno onestamente — ma perché crediamo che la finanza personale meriti un trattamento differente.

È un'area dove la nebbia è già abbastanza, e dove la consapevolezza che qualcuno (anche teoricamente) possa guardare i tuoi numeri toglie il senso stesso del prodotto.

La calma di cui parliamo, se i dati non sono al sicuro, è una promessa svuotata.

Per questo abbiamo costruito Cashfulness intorno a una scelta tecnica precisa, scritta nelle fondamenta del codice, che funziona su due livelli.

Il primo livello protegge i documenti che porti dentro Cashfulness — con cifratura end-to-end radicale.

Il secondo livello protegge la tua identità e i tuoi dati contabili — con anonimizzazione al massimo.

I due livelli rispondono a esigenze diverse e usano strumenti diversi. Vale la pena spiegarli uno alla volta.

Livello 1 — Cifratura end-to-end radicale per i documenti

Quando inizi a usare Cashfulness, prima o poi vorrai portare dentro l'app i tuoi documenti: estratti conto della banca, contratti di mutuo o di affitto, bollette di luce e gas, polizze assicurative, certificati di investimenti, rendiconti dei fondi, ricevute fiscali importanti.

Questi documenti contengono di tutto: il tuo nome per esteso, indirizzo, codice fiscale, IBAN, importi, controparti, dettagli di vita.

Sono il livello più sensibile in assoluto.

Per loro abbiamo fatto la scelta più stretta possibile: cifratura end-to-end radicale.

Il termine tecnico è cifratura end-to-end, o E2EE.

Per capire cos'è senza tecnicismi, immagina di voler spedire una lettera tramite un corriere.

Hai due scelte.

Scelta 1, modello standard.

Scrivi la lettera in chiaro, la metti in una busta, la dai al corriere.

Il corriere — se vuole — può aprire la busta, leggere la lettera, prendere appunti, e poi richiuderla e consegnarla.

Tu confidi che non lo farà perché ha promesso di non farlo, magari perché ci sono leggi che glielo vietano e ti danno qualche garanzia.

Ma materialmente, può.

Scelta 2, cifratura end-to-end.

Scrivi la lettera, la chiudi in una scatola di metallo che si apre solo con una chiave specifica.

La chiave ce l'hai tu. Solo tu.

Dai la scatola al corriere. Il corriere la trasporta e la archivia.

Anche se la prendesse e se la portasse a casa sua, non potrebbe aprirla, perché non ha la chiave.

Quando ti serve la lettera, riapri tu la scatola con la tua chiave, e leggi.

La cifratura end-to-end dei documenti in Cashfulness è la scatola di metallo della Scelta 2.

Quando carichi un documento nell'app, il tuo dispositivo lo cifra prima di inviarlo al server. Sul server arriva e resta cifrato.

Per il server, ogni tuo documento è un blocco di rumore digitale.

La chiave per decifrarlo risiede solo sul tuo dispositivo, derivata dalla tua password personale e dalle tue 24 parole di recupero (la cosiddetta seed phrase, lo standard più solido oggi disponibile per generare e proteggere chiavi crittografiche personali).

Cosa significa, in pratica:

  • Il server di Cashfulness non può leggere i tuoi documenti. Non noi che abbiamo costruito l'app, non chi gestisce l'infrastruttura, non un eventuale attaccante futuro.
  • Se domani Cashfulness venisse violata e tutti i documenti sui server fossero rubati, l'attaccante vedrebbe rumore. Inutilizzabile.
  • Anche un'autorità che chiedesse formalmente i tuoi documenti riceverebbe rumore. Non possiamo darli, perché non li abbiamo in chiaro.

C'è un rovescio della medaglia, e vogliamo essere onesti su questo.

Se perdi la tua password e perdi anche le 24 parole di recupero, i tuoi documenti diventano illeggibili anche per te.

Per sempre.

Non possiamo recuperarli, perché tecnicamente non possiamo leggere quello che hai cifrato. Non c'è una "ripresa password via email" che ti restituisca i documenti, perché non c'è nessuno dall'altra parte che possa farlo.

La chiave è solo tua.

Questo significa libertà — sei il solo a poter accedere — e responsabilità — sei il solo che può perderne l'accesso.

È una scelta di filosofia. Preferiamo darti il controllo intero, anche se questo include il peso di custodire le tue credenziali, piuttosto che tenerne una copia "di sicurezza" sul nostro server. Quella copia, prima o poi, potrebbe diventare un punto di compromissione.

Una chiave che esiste solo sul tuo telefono, no.

Livello 2 — Anonimizzazione al massimo per identità e dati contabili

Il secondo livello è diverso, e copre tutto il resto: chi sei e cosa fai dentro l'app in termini di numeri.

Per questi dati abbiamo scelto un'altra strategia, perché il problema è di natura diversa.

I documenti sono "scatole" con contenuto sensibile, e ha senso cifrarle integralmente.

I dati contabili invece sono una struttura viva: numeri, conti, categorie, movimenti che ti servono ogni giorno, e su cui Cashfulness costruisce le metriche di salute finanziaria che ti mostra.

Cifrarli alla stessa maniera dei documenti renderebbe l'app lentissima e in molti casi inutilizzabile.

La nostra risposta non è la cifratura assoluta. È l'anonimizzazione al massimo.

In pratica significa due cose.

Cashfulness non vuole nemmeno sapere come ti chiami.

Quando ti registri, non ti chiediamo nome e cognome.

Ti chiediamo un nickname — quello che vuoi tu, può anche essere di pura fantasia.

Ti chiediamo un'email per i contatti tecnici (recupero accesso, comunicazioni di servizio), e una password.

Stop.

Niente codice fiscale, niente data di nascita, niente indirizzo, niente numero di telefono, niente collegamento al tuo account bancario, niente verifica d'identità.

Per Cashfulness, sei un nickname con un'email. Niente di più.

I tuoi spazi contabili sono difficili da decifrare per chi non è tu.

L'app ti invita a articolare entrate e uscite in conti e sottoconti specifici. I nomi che dai a quei conti, le etichette dei tuoi movimenti, il livello di granularità con cui descrivi la tua vita finanziaria — li decidi tu, con il vocabolario che ti è più utile.

Cashfulness non ti chiede mai di inserire dati personali dentro i nomi dei conti: niente codice fiscale, niente IBAN nelle intestazioni, niente nomi propri. I nomi sono operativi (per esempio: "Stipendio", "Conto corrente principale", "Mutuo casa", "Spese auto", "Affitti incassati"): descrivono una funzione, non te.

Combinati, questi due fattori — un nickname che non rivela chi sei, e nomi di conti che descrivono cosa e non chi — rendono la tua contabilità difficile da capire e impossibile da ricollegare a te per chiunque non sia te stesso.

Il risultato concreto è questo: anche se qualcuno (un attaccante, un dipendente disonesto, un'autorità) potesse guardare il database lato server, vedrebbe un certo nickname con un piano dei conti, dei saldi e dei movimenti.

Non saprebbe chi è quel nickname.

Non avrebbe modo di legare quei numeri alla persona reale dietro lo schermo.

Vedrebbe una contabilità senza biografia.

Le scelte difficili che ne discendono

Mettere insieme questi due livelli non è una feature gratuita.

È una scelta che chiude alcune porte in maniera strutturale, e su queste porte vale la pena essere espliciti, perché è qui che si vede il prezzo della coerenza.

Niente analytics di comportamento granulari per profilo.

Non possiamo correlare l'attività dentro l'app con identità reali, perché le identità reali non le abbiamo.

Lo sviluppo del prodotto è un po' più cieco sui pattern individuali. Ci affidiamo molto di più ai feedback diretti, ai test in beta, alle interviste qualitative.

Funziona, ma è meno automatico.

Niente raccomandazioni commerciali personalizzate.

Non ti diciamo "altri utenti come te hanno comprato X" a partire dal tuo profilo. Non ti spingiamo prodotti di partner sponsorizzati basandoci sui tuoi numeri. Il modello di profilazione commerciale che è il pane di tante app gratuite, in Cashfulness non c'è.

Quello che invece facciamo — e ci tieniamo a dirlo chiaramente — sono percorsi di miglioramento della tua situazione finanziaria: indicazioni su dove i tuoi numeri suggeriscono che si potrebbe risparmiare, dove la composizione del patrimonio merita una riflessione, dove i mesi di copertura potrebbero crescere con piccoli aggiustamenti.

Sono indicazioni educative, costruite sui tuoi dati, e — quando la natura dei dati lo richiede — calcolate sul tuo dispositivo, su una copia decifrata locale.

Una precisazione importante: Cashfulness non dà consigli di investimento personalizzati. Quello è territorio dei consulenti finanziari iscritti all'albo apposito, e per buone ragioni: è un'attività regolamentata che richiede competenze, responsabilità e un rapporto fiduciario diverso da quello fra te e un'app. Cashfulness ti aiuta a vedere chiaro, non a scegliere il fondo da comprare la prossima settimana.

AI rigorosamente conforme ai due livelli di privacy.

Le funzionalità di intelligenza artificiale che Cashfulness sviluppa o svilupperà rispettano la distinzione che abbiamo descritto sopra.

Sui documenti (estratti conto, contratti, bollette, polizze) le elaborazioni AI che richiedono di leggerne il contenuto avvengono sul tuo dispositivo, su una copia decifrata locale. Il server non vede mai il contenuto di quei documenti.

Sui dati contabili (saldi, movimenti, categorie del tuo nickname) eventuali elaborazioni server-side girano su numeri privi di identità anagrafica — la "contabilità senza biografia" di cui parlavo prima. L'AI può aiutarti a leggere pattern utili (per esempio, segnalarti una spesa fuori scala rispetto al tuo solito, o suggerire dove tagliare), ma senza poter mai legare quei numeri a un nome e cognome reali.

Quello che non faremo è costruire un modello di AI che leghi il chi sei alla tua vita finanziaria — perché il "chi sei", in Cashfulness, non lo abbiamo.

Niente vendita di dati aggregati riconducibili a persone.

Non possiamo vendere "dataset di spese degli italiani per fascia anagrafica e residenza" a banche, istituti di ricerca, agenzie pubblicitarie. I dati anagrafici e residenziali non li abbiamo.

Sarebbe stato un canale di entrata significativo. L'abbiamo deliberatamente eliminato dal modello di business.

La conseguenza commerciale di queste scelte è chiara: per sostenerci viviamo solo di abbonamenti diretti dagli utenti.

Free tier minimale, abbonamento Base, abbonamento Top.

Nessuna pubblicità, nessuna vendita di dati, nessuna partnership che richieda accesso ai dati degli utenti.

È un modello più stretto di quello standard del mercato, ma è onesto, ed è l'unico che permette a Cashfulness di mantenere la promessa che fa al primo schermo dell'onboarding.

Una conseguenza che ci piace di questo modello: ogni utente che sceglie di pagare per Cashfulness è un utente che vuole davvero il prodotto.

Non c'è la dinamica per cui "il prodotto è gratis perché tu sei il prodotto".

Sei il cliente, e il prodotto è ciò che paghi.

Anche le partnership rispettano questa regola

C'è una domanda che prima o poi ci verrà posta — e che vale la pena anticipare.

Se in futuro Cashfulness aprisse a integrazioni con altri servizi finanziari (comparatori di tariffe, broker di assicurazioni, gestori di investimenti), questi due livelli di protezione resterebbero in piedi?

Sì, e la regola la formuliamo così: se Cashfulness integra un partner esterno, la chiamata al partner partirà sempre dal tuo dispositivo, su tua specifica richiesta, per una specifica voce.

Mai aggregato server-side.

Mai automatico.

Mai senza il tuo gesto consapevole.

Faccio un esempio concreto, per quanto futuro e ipotetico.

Supponiamo che tu abbia caricato in Cashfulness la tua bolletta della luce e voglia sapere se c'è un'offerta migliore sul mercato.

In un'app standard, il sistema invierebbe automaticamente al partner i dati della bolletta (e magari altri dati di contesto), riceverebbe la risposta, e te la mostrerebbe.

Nel modello Cashfulness, invece, vedrai un pulsante "verifica con [partner]" su quella specifica bolletta.

Quando lo premi, il tuo telefono decifra localmente la bolletta, estrae i soli dati necessari per la verifica (consumo, fascia, fornitore attuale), li invia direttamente al partner — senza passare dal nostro server — e ti mostra la risposta.

Il server di Cashfulness, anche in questo scenario, non ha visto nulla.

Né il documento, né i numeri, né la tua identità.

Questa non è una concessione tardiva alla privacy.

È il modo in cui pensiamo che le partnership debbano funzionare in finanza personale.

È più scomodo da costruire tecnicamente — richiede SDK lato dispositivo, autenticazione fine, gestione di credenziali sul telefono — ma è l'unico modo coerente con la promessa di brand.

Le partnership che chiederanno a Cashfulness un accesso server-side aggregato ai dati riceveranno cortesemente un no.

La promessa, in una frase

Questa è la promessa, riassunta in una frase che vorremmo restasse:

Cashfulness non sa chi sei, non legge i tuoi documenti, non capisce i tuoi numeri. Solo tu hai tutte le chiavi.

Tre verbi diversi per tre livelli diversi.

Non sa chi sei: perché non glielo dici. Userai un nickname, e ti basterà quello.

Non legge i tuoi documenti: perché sono cifrati con una chiave che possiedi solo tu.

Non capisce i tuoi numeri: perché senza il tuo contesto sono una contabilità senza biografia.

Tutto il resto del prodotto si appoggia su questa frase.

Le metriche di salute finanziaria, la distinzione tra Attività+ e Attività-, la partita doppia invisibile, il rituale settimanale dei dieci minuti — tutte cose di cui parliamo negli altri articoli di questo blog — funzionano davvero soltanto se sopra di esse c'è un soffitto di privacy che le rende tue per davvero, non solo nel linguaggio del marketing.

Se è quello che cerchi, sei nel posto giusto.

Ti aspettiamo in lista d'attesa beta su cashfulness.com/beta.

Se invece preferisci un'app che ti analizza i comportamenti per consigliarti meglio in cambio di parte della tua privacy, è una scelta legittima — non c'è nulla di male — ma non saremo noi quel posto.

Va bene così.

Cashfulness è pensato per le persone per cui i numeri di casa devono restare di casa, e sa benissimo di essere una scelta tra altre.

— Vittorio