Operiamo in un settore regolato. Per noi è un vantaggio.
Credito, dati personali, intelligenza artificiale: tre mondi ad alta regolamentazione. Questa pagina spiega, senza giri di parole, come è costruita la nostra compliance e quali documenti mettiamo a tua disposizione.
Ultimo aggiornamento: 3 luglio 2026
Come si muovono i dati
Prima dei dettagli normativi, ecco in breve il percorso che fanno i dati: dall'utente che scrive su WhatsApp fino alla dashboard che consulti tu.
I dati restano su infrastruttura europea, salvo il passaggio dal gateway WhatsApp e dal modello di AI, dove i trasferimenti extra-UE sono coperti dalle garanzie descritte più sotto.
Chi fa cosa
Prima di tutto: chi è responsabile di cosa. È il concetto su cui poggia tutto il resto.
Decidi finalità e modalità del trattamento dei dati dei tuoi utenti finali (GDPR). Sei inoltre il ‘deployer’ del sistema di AI ai sensi dell'AI Act: il soggetto che usa l'assistente nella propria attività, con la responsabilità di supervisionarne l'uso e di far rispettare le istruzioni operative che ti forniamo.
Trattiamo i dati per tuo conto e su tua istruzione, e ti forniamo l'infrastruttura e la documentazione conforme. Siamo inoltre il ‘provider’ del sistema di AI ai sensi dell'AI Act: chi sviluppa il sistema e lo mette a disposizione, con la responsabilità di progettarlo in modo sicuro, trasparente e supervisionabile fin dall'origine.
Elaborano porzioni del servizio sotto la nostra responsabilità (elenco completo in «Dove vanno i dati»).
Come proteggiamo i dati
In questo assetto tu sei il Titolare del trattamento dei dati dei tuoi utenti finali. Questo comporta alcune responsabilità dirette in capo a te: far accettare ai tuoi utenti la tua informativa privacy — ed eventuali altri documenti legali necessari, come consensi specifici al ricontatto commerciale — prima che inizino a conversare con l'assistente; definire la base giuridica del trattamento; gestire le eventuali richieste di esercizio dei diritti dei tuoi utenti, con il nostro supporto tecnico. Qui sotto trovi nel dettaglio come, dal canto nostro, trattiamo questi dati in qualità di Responsabile.
- Quali dati trattiamo
Nome, contatti, azienda, contenuto delle conversazioni e ciò che l'utente inserisce spontaneamente.
- I dati NON addestrano i modelli
I dati che passano ai fornitori di AI non vengono usati per allenare alcun modello.
- Conservazione limitata
I dati conversazionali presso il fornitore di AI sono cancellati entro 24 ore; i messaggi su Twilio, il gateway WhatsApp, sono conservati al massimo 14 giorni; alla fine del rapporto, tutti i dati personali degli utenti finali sono cancellati entro 90 giorni.
- Violazioni dei dati (data breach)
Se dovesse verificarsi un incidente, ti avvisiamo entro 48 ore e ti assistiamo negli adempimenti verso il Garante.
- Diritti degli interessati e DPIA
Ti supportiamo nel rispondere alle richieste dei tuoi utenti e ti forniamo tutti gli elementi tecnici per la valutazione d'impatto (DPIA), che spetta a te come Titolare.
Un'AI ad alto rischio, gestita come tale
AISA è classificato come sistema di intelligenza artificiale ad alto rischio, perché supporta la valutazione dell'affidabilità creditizia. Non lo nascondiamo: lo dichiariamo apertamente e applichiamo gli standard più elevati previsti dalla normativa.
La decisione finale è sempre di una persona. L'AI supporta, non decide da sola.
Chi interagisce con l'assistente sa di parlare con un'AI. Già attivo oggi.
Lavoriamo perché il sistema non introduca discriminazioni.
Il sistema è progettato per resistere a input anomali e a tentativi di manipolazione.
Dove vanno i dati
Per erogare il servizio ci appoggiamo a un numero ristretto di fornitori selezionati, ciascuno con un ruolo preciso. L'infrastruttura principale è in Unione Europea. Dove un trasferimento fuori dall'UE è tecnicamente inevitabile, è sempre coperto da garanzie giuridiche adeguate.
| Fornitore | A cosa serve | Dove tratta i dati | Trasferimento fuori UE |
|---|---|---|---|
| OpenAI | Genera le risposte dell'assistente | USA | Clausole Contrattuali Tipo (SCC). Dati cancellati entro 24h, mai usati per addestrare i modelli |
| Twilio | Gateway del canale WhatsApp | USA | Cascata di garanzie (DPF → BCR → SCC). Trasferimento strutturale: WhatsApp non è disponibile sulla region UE |
| Google Cloud / Firebase | Hosting, database, email, allegati | UE (Germania e Belgio) | Non applicabile — tutto in UE |
| Algolia | Motore di ricerca sul database | UE (Francia) | Non applicabile — cluster UE |
| Make | Automazione dei flussi | UE (Rep. Ceca) | Non applicabile — dati in UE |
| Voximplant | Canale voce/telefonia (solo se attivi la funzione voce) | USA; registrazioni audio confinate in UE | DPF → SCC + cifratura. Attivo solo con modulo voce |
- A cosa serve
- Genera le risposte dell'assistente
- Dove tratta i dati
- USA
- Trasferimento fuori UE
- Clausole Contrattuali Tipo (SCC). Dati cancellati entro 24h, mai usati per addestrare i modelli
- A cosa serve
- Gateway del canale WhatsApp
- Dove tratta i dati
- USA
- Trasferimento fuori UE
- Cascata di garanzie (DPF → BCR → SCC). Trasferimento strutturale: WhatsApp non è disponibile sulla region UE
- A cosa serve
- Hosting, database, email, allegati
- Dove tratta i dati
- UE (Germania e Belgio)
- Trasferimento fuori UE
- Non applicabile — tutto in UE
- A cosa serve
- Motore di ricerca sul database
- Dove tratta i dati
- UE (Francia)
- Trasferimento fuori UE
- Non applicabile — cluster UE
- A cosa serve
- Automazione dei flussi
- Dove tratta i dati
- UE (Rep. Ceca)
- Trasferimento fuori UE
- Non applicabile — dati in UE
- A cosa serve
- Canale voce/telefonia (solo se attivi la funzione voce)
- Dove tratta i dati
- USA; registrazioni audio confinate in UE
- Trasferimento fuori UE
- DPF → SCC + cifratura. Attivo solo con modulo voce
Per i trasferimenti fuori dall'UE abbiamo condotto una valutazione d'impatto sul trasferimento (Transfer Impact Assessment), disponibile su richiesta.
WhatsApp / Meta non è un nostro sub-responsabile: il tuo account WhatsApp Business è tuo e lo gestisci sotto la tua responsabilità.
Misure di sicurezza
Adottiamo misure tecniche e organizzative adeguate al rischio.
Dati protetti in transito e a riposo.
Autenticazione a più fattori (MFA) e principio del minimo privilegio.
I dati di ogni cliente sono logicamente separati da quelli degli altri.
Le attività rilevanti sono registrate.
Procedure documentate di continuità operativa.
Trattiamo solo i dati necessari.
I nostri principali fornitori dispongono di certificazioni ISO 27001 e/o SOC 2.
Contratto Setup e Termini di Servizio
È l'accordo con cui parte il servizio. Il Set Up ha una durata standard di 30 giorni e prende avvio da un incontro di kick-off (max 4 ore) per raccogliere le informazioni necessarie. L'addebito del primo abbonamento decorre invece in automatico già dopo 15 giorni dal kick-off — salito a 30 giorni se l'integrazione con il tuo CRM è parte essenziale del flusso di lavoro — indipendentemente dal completamento tecnico del Set Up, salvo proroga se il ritardo è imputabile a noi. Se durante il Set Up chiedi funzionalità aggiuntive, vengono regolate con un addendum e un preventivo dedicato.
Regolano l'uso continuativo del servizio, concesso in licenza d'uso non esclusiva, revocabile e non trasferibile, tramite abbonamento periodico con una quota di messaggi mensile. Attenzione: se esaurisci i messaggi inclusi, la piattaforma attiva automaticamente ricariche aggiuntive senza bisogno di una tua conferma; i messaggi non usati nel mese non si accumulano né si convertono in credito. Definiscono inoltre con chiarezza il riparto di responsabilità: tu resti responsabile dei contenuti pubblicati tramite l'assistente e della correttezza dei dati che carichi; il fornitore non risponde di risposte errate o incomplete che derivino da informazioni inesatte fornite dal cliente.
Contratto Setup, ToS, DPA e Privacy Policy formano insieme il quadro contrattuale completo del servizio. Li trovi tutti scaricabili qui sotto.
Il perimetro regolamentare del credito
Il credito al consumo è uno dei settori più regolati d'Europa. Ecco come il nostro ruolo si colloca rispetto alle tre normative che contano di più per chi opera in questo mercato — e perché la nostra architettura è pensata per non farti mai uscire dal tuo perimetro autorizzato.
Perché AISA non fa mediazione creditizia, e resta uno strumento a supporto del tuo operatore autorizzato.
Diritto all'intervento umano e trasparenza sulla segnalazione: due principi che rispettiamo per costruzione.
Non siamo un'entità finanziaria, ma sappiamo supportare chi lo è: disponibilità dichiarata sulle clausole richieste.
I nostri documenti
Trasparenza completa. Scarica e consulta i documenti che regolano il servizio.
L'accordo di avvio del servizio: consulenza e implementazione dell'assistente.
Regolano l'uso continuativo del servizio e l'abbonamento.
Il contratto ex art. 28 GDPR tra te (Titolare) e noi (Responsabile). Include gli allegati con l'elenco completo dei sub-responsabili e la descrizione del trattamento.
Come trattiamo i dati nei nostri rapporti diretti con te come cliente.
Su richiesta forniamo anche i Transfer Impact Assessment relativi ai trasferimenti extra-UE. Scrivi a privacy@getaisa.ai.
Cosa è attivo, cosa stiamo completando
- • Trasparenza verso l'utente (art. 50).
- • Sorveglianza umana sulla decisione finale.
- • Misure di sicurezza sui dati (art. 32).
Il fascicolo tecnico del sistema e la valutazione di conformità: la scadenza per gli obblighi sui sistemi di AI ad alto rischio, originariamente fissata al 2 agosto 2026, è stata prorogata al 2 dicembre 2027 da un provvedimento europeo già approvato da Parlamento e Consiglio, in attesa di pubblicazione ufficiale. Non lo usiamo come pretesto: continuiamo comunque a lavorare sul fascicolo tecnico, semplicemente con un calendario più realistico.
Preferiamo dirti dove siamo con precisione, piuttosto che promettere una perfezione che nessun fornitore serio può garantire oggi su una normativa così recente.
Hai domande sulla nostra compliance? Scrivici.
Per l'esercizio dei diritti degli interessati e ogni richiesta su privacy, AI Act e sicurezza, il canale è uno solo.