Trasparenza

Come gestiamo dati, tecnologia e AI

Questa pagina esiste perché riteniamo che un fornitore di software abbia il dovere di dichiarare — esplicitamente e in dettaglio — cosa fa con i dati dei propri clienti, quali tecnologie utilizza, quali componenti di intelligenza artificiale ha integrato e con quali controlli. Senza pagine come questa, le decisioni di acquisto tecnologico si fanno al buio. Lo diciamo in tre principi + quattro aree operative.

I tre principi che rispettiamo

1. I dati del cliente non entrano in nessun training di AI

Nessun dato operativo dei nostri clienti — anagrafiche, documenti, commesse, fatture, conversazioni interne — viene mai usato per addestrare modelli di machine learning, nostri o di terze parti. Quando utilizziamo servizi AI (es. OpenAI, Anthropic, Mistral) attiviamo sempre le opzioni "do not train" disponibili sui piani business/enterprise. I fornitori che non offrono questa garanzia non vengono utilizzati.

2. Trasparenza obbligatoria su dove c'è AI

Ogni funzione dei nostri software che usa AI dichiara esplicitamente la propria natura. Quando l'utente interagisce con un chatbot, è chiaramente indicato che si tratta di un sistema automatico. Quando un'email viene classificata automaticamente, lo scriviamo nell'interfaccia. Questo si allinea all'articolo 50 dell'AI Act UE (trasparenza) ma rispecchia anche un principio etico che avevamo già prima del regolamento.

3. L'AI non sostituisce il giudizio umano sulle decisioni importanti

Nei nostri sistemi l'AI fa cose ripetitive e verificabili: estrae dati da PDF, suggerisce un possibile codice merceologico, precompila un preventivo, risponde a domande su documenti già scritti. Non decide chi viene assunto, chi riceve uno sconto, chi viene accettato come cliente, quali fornitori vengono pagati prima. Quelle decisioni restano umane, e il software può al massimo fornire informazioni per supportarle.

Lo stack tecnologico che usiamo

Non è un elenco esaustivo, ma copre ciò che tocca direttamente i dati dei clienti.

Infrastruttura e database

• Hosting: Hetzner Online GmbH (Germania) come default, Aruba Cloud (Italia) per clienti che richiedono server italiano. Entrambi i provider sono UE, hanno DPA firmato, certificati ISO 27001.
• Database: PostgreSQL 16 con cifratura at-rest AES-256, repliche crittografate, backup giornalieri mantenuti per 30 giorni.
• Application server: Node.js / Python / PHP a seconda del progetto, sempre su immagini Docker riproducibili.
• CDN: Cloudflare (modalità EU-only quando disponibile).

Componenti AI quando utilizzati

Non tutti i progetti usano AI. Quando serve, i componenti tipici sono:

• Estrazione dati da documenti (OCR + LLM): usiamo Mistral AI (UE) come prima scelta, OpenAI GPT-4 via Azure OpenAI (region UE) come fallback. Accordo "no training" attivo.
• Chatbot informativo per navigazione sito: modello ospitato localmente via Ollama o server privati. Nessun dato invia al di fuori dell'infrastruttura.
• Classificazione automatica email: regole deterministiche per il 95% dei casi; modello ML locale per i casi ambigui.

Strumenti di monitoring e osservabilità

• Uptime Kuma (self-hosted): monitoraggio disponibilità servizi, alerting.
• Sentry (self-hosted): raccolta errori applicativi. I dati personali vengono filtrati prima dell'invio.
• LangFuse (self-hosted): tracciamento delle chiamate ai modelli AI quando utilizzati, per audit e costi. Nessun dato lascia la nostra infrastruttura.
• Plausible Analytics (hosted UE): analytics di navigazione del sito web, cookieless, senza tracking individuale.

Come trattiamo i dati nei progetti

Durante lo sviluppo

Su ambiente di sviluppo vengono usati dati fittizi o dati anonimizzati. Nessun dump di produzione viene mai replicato sulle macchine degli sviluppatori. Se serve debuggare su dati reali, si accede al server del cliente con credenziali temporanee, loggate, e nessun dato viene copiato localmente.

In produzione

Tutti i dati del cliente vivono sul suo tenant dedicato (o multi-tenant strettamente segregato, a seconda dell'architettura). L'accesso del nostro team è log-trackato, richiede 2FA, ed è limitato al necessario per l'intervento richiesto.

Al termine del contratto

Entro 30 giorni dalla cessazione, consegniamo al cliente: (a) dump completo del database; (b) codice sorgente sul suo repository Git; (c) tutte le credenziali dei servizi intestati a lui; (d) documentazione tecnica di deployment. Dopo la consegna, i dati sui nostri sistemi vengono eliminati con cancellazione verificata entro ulteriori 30 giorni.

Compliance

GDPR (Reg. UE 2016/679)

• DPA (Data Processing Agreement) firmato con ogni cliente prima dell'inizio del progetto.
• Nominato responsabile esterno del trattamento ai sensi dell'art. 28.
• Privacy by design e by default nelle scelte di architettura (minimizzazione dati, scadenza retention configurabile).
• Procedura documentata di data breach con notifica al cliente entro 24 ore (oltre alla notifica al Garante entro 72 ore).

AI Act UE

• Classificazione dei sistemi AI che rilasciamo: tutti rientrano in categoria "rischio minimo" o "rischio limitato" (nessun sistema ad alto rischio o vietato).
• Trasparenza agli utenti ex art. 50 implementata in tutte le interfacce.
• Valutazione d'impatto sui diritti fondamentali (FRIA) redatta per i sistemi che lo richiedono.
• Conservazione dei log delle interazioni AI per la durata e finalità tecnicamente motivata, comunicata al cliente.

Sicurezza generale

• Politica di password + 2FA obbligatoria per il team interno.
• Penetration test annuale da consulente esterno sui progetti ad alto rischio.
• Dipendenze software monitorate via Dependabot / Snyk; patch di sicurezza applicate entro 7 giorni dal rilascio.
• Polizza cyber-risk attiva.

Documentazione disponibile

Alcuni documenti sono pubblici, altri disponibili su richiesta a clienti attuali o potenziali che firmano un NDA.

Pubblici

• Informativa privacy
• Cookie policy · Impostazioni cookie
• Termini di servizio
• Questa pagina di trasparenza

Su richiesta

• Data Processing Agreement (DPA) — modello che firmiamo con i clienti
• TOM — Technical and Organizational Measures ex art. 32 GDPR
• System Card per ciascun componente AI utilizzato
• Registro delle attività di trattamento (ai sensi art. 30 GDPR)
• Risultati dell'ultimo penetration test (in forma anonimizzata)

Per richiedere qualsiasi documento: privacy@automazionipmi.it.

Contatti

Per ogni domanda su questa pagina, sull'infrastruttura, sugli strumenti AI utilizzati, o per richiedere la documentazione riservata:

• Email: privacy@automazionipmi.it
• Temi tecnici specifici: tech@automazionipmi.it

---

La nostra intenzione con questa pagina è semplice: rendere l'audit tecnologico da parte di un cliente potenziale il più veloce possibile. Se manca un'informazione che ti servirebbe per decidere, scrivicelo e la aggiungiamo.