Compliance AISA

Operiamo in un settore regolato. Per noi è un vantaggio.

Credito, dati personali, intelligenza artificiale: tre mondi ad alta regolamentazione. Questa pagina spiega, senza giri di parole, come è costruita la nostra compliance e quali documenti mettiamo a tua disposizione.

Ultimo aggiornamento: 3 luglio 2026

01 · Flusso dei dati

Come si muovono i dati

Prima dei dettagli normativi, ecco in breve il percorso che fanno i dati: dall'utente che scrive su WhatsApp fino alla dashboard che consulti tu.

Utente finale
Scrive su WhatsApp
Gateway WhatsApp
Twilio
AISA
Backend, infrastruttura UE
Modello di AI
Genera la risposta (ramo laterale)
Dashboard AISA
La piattaforma che consulti tu
CRM
Il sistema che fornisci tu

I dati restano su infrastruttura europea, salvo il passaggio dal gateway WhatsApp e dal modello di AI, dove i trasferimenti extra-UE sono coperti dalle garanzie descritte più sotto.

02 · I ruoli

Chi fa cosa

GDPR art. 28AI Act

Prima di tutto: chi è responsabile di cosa. È il concetto su cui poggia tutto il resto.

Tu, cliente
Titolare del trattamento · Deployer del sistema di AI

Decidi finalità e modalità del trattamento dei dati dei tuoi utenti finali (GDPR). Sei inoltre il ‘deployer’ del sistema di AI ai sensi dell'AI Act: il soggetto che usa l'assistente nella propria attività, con la responsabilità di supervisionarne l'uso e di far rispettare le istruzioni operative che ti forniamo.

AISA (247 Growth S.r.l.)
Responsabile del trattamento · Provider di AI

Trattiamo i dati per tuo conto e su tua istruzione, e ti forniamo l'infrastruttura e la documentazione conforme. Siamo inoltre il ‘provider’ del sistema di AI ai sensi dell'AI Act: chi sviluppa il sistema e lo mette a disposizione, con la responsabilità di progettarlo in modo sicuro, trasparente e supervisionabile fin dall'origine.

Fornitori tecnologici
Sub-responsabili

Elaborano porzioni del servizio sotto la nostra responsabilità (elenco completo in «Dove vanno i dati»).

Ti diamo un'infrastruttura conforme e tutta la documentazione. Alcune scelte — la base giuridica, l'informativa ai tuoi utenti, la valutazione d'impatto — restano tue, perché la legge le mette in capo al Titolare. Ti mettiamo nelle condizioni di farle bene.
03 · GDPR

Come proteggiamo i dati

GDPR art. 28art. 32art. 33art. 30art. 35

In questo assetto tu sei il Titolare del trattamento dei dati dei tuoi utenti finali. Questo comporta alcune responsabilità dirette in capo a te: far accettare ai tuoi utenti la tua informativa privacy — ed eventuali altri documenti legali necessari, come consensi specifici al ricontatto commerciale — prima che inizino a conversare con l'assistente; definire la base giuridica del trattamento; gestire le eventuali richieste di esercizio dei diritti dei tuoi utenti, con il nostro supporto tecnico. Qui sotto trovi nel dettaglio come, dal canto nostro, trattiamo questi dati in qualità di Responsabile.

  • Quali dati trattiamo

    Nome, contatti, azienda, contenuto delle conversazioni e ciò che l'utente inserisce spontaneamente.

  • I dati NON addestrano i modelli

    I dati che passano ai fornitori di AI non vengono usati per allenare alcun modello.

  • Conservazione limitata

    I dati conversazionali presso il fornitore di AI sono cancellati entro 24 ore; i messaggi su Twilio, il gateway WhatsApp, sono conservati al massimo 14 giorni; alla fine del rapporto, tutti i dati personali degli utenti finali sono cancellati entro 90 giorni.

  • Violazioni dei dati (data breach)

    Se dovesse verificarsi un incidente, ti avvisiamo entro 48 ore e ti assistiamo negli adempimenti verso il Garante.

  • Diritti degli interessati e DPIA

    Ti supportiamo nel rispondere alle richieste dei tuoi utenti e ti forniamo tutti gli elementi tecnici per la valutazione d'impatto (DPIA), che spetta a te come Titolare.

Una nota: per i dati che riguardano te direttamente come nostro cliente (contatti aziendali, dati di fatturazione), siamo noi il Titolare del trattamento. Questo aspetto è regolato dalla nostra Privacy Policy, scaricabile più sotto. Il cuore del nostro impegno, però, riguarda il modo in cui trattiamo i dati dei tuoi utenti finali, come Responsabile — ed è ciò che questa pagina descrive.
04 · AI Act

Un'AI ad alto rischio, gestita come tale

AI Act art. 6art. 14art. 50Allegato III

AISA è classificato come sistema di intelligenza artificiale ad alto rischio, perché supporta la valutazione dell'affidabilità creditizia. Non lo nascondiamo: lo dichiariamo apertamente e applichiamo gli standard più elevati previsti dalla normativa.

Sorveglianza umana

La decisione finale è sempre di una persona. L'AI supporta, non decide da sola.

art. 14
Trasparenza

Chi interagisce con l'assistente sa di parlare con un'AI. Già attivo oggi.

art. 50
Governance dei dati e assenza di bias

Lavoriamo perché il sistema non introduca discriminazioni.

art. 10
Robustezza e sicurezza

Il sistema è progettato per resistere a input anomali e a tentativi di manipolazione.

art. 15
05 · Sub-Processor

Dove vanno i dati

GDPR art. 44-49

Per erogare il servizio ci appoggiamo a un numero ristretto di fornitori selezionati, ciascuno con un ruolo preciso. L'infrastruttura principale è in Unione Europea. Dove un trasferimento fuori dall'UE è tecnicamente inevitabile, è sempre coperto da garanzie giuridiche adeguate.

OpenAI
A cosa serve
Genera le risposte dell'assistente
Dove tratta i dati
USA
Trasferimento fuori UE
Clausole Contrattuali Tipo (SCC). Dati cancellati entro 24h, mai usati per addestrare i modelli
Twilio
A cosa serve
Gateway del canale WhatsApp
Dove tratta i dati
USA
Trasferimento fuori UE
Cascata di garanzie (DPF → BCR → SCC). Trasferimento strutturale: WhatsApp non è disponibile sulla region UE
Google Cloud / Firebase
A cosa serve
Hosting, database, email, allegati
Dove tratta i dati
UE (Germania e Belgio)
Trasferimento fuori UE
Non applicabile — tutto in UE
Algolia
A cosa serve
Motore di ricerca sul database
Dove tratta i dati
UE (Francia)
Trasferimento fuori UE
Non applicabile — cluster UE
Make
A cosa serve
Automazione dei flussi
Dove tratta i dati
UE (Rep. Ceca)
Trasferimento fuori UE
Non applicabile — dati in UE
Voximplant
A cosa serve
Canale voce/telefonia (solo se attivi la funzione voce)
Dove tratta i dati
USA; registrazioni audio confinate in UE
Trasferimento fuori UE
DPF → SCC + cifratura. Attivo solo con modulo voce

Per i trasferimenti fuori dall'UE abbiamo condotto una valutazione d'impatto sul trasferimento (Transfer Impact Assessment), disponibile su richiesta.

WhatsApp / Meta non è un nostro sub-responsabile: il tuo account WhatsApp Business è tuo e lo gestisci sotto la tua responsabilità.

06 · Sicurezza

Misure di sicurezza

GDPR art. 32

Adottiamo misure tecniche e organizzative adeguate al rischio.

Cifratura

Dati protetti in transito e a riposo.

Accessi controllati

Autenticazione a più fattori (MFA) e principio del minimo privilegio.

Segregazione dei dati

I dati di ogni cliente sono logicamente separati da quelli degli altri.

Log e tracciabilità

Le attività rilevanti sono registrate.

Backup e ripristino

Procedure documentate di continuità operativa.

Minimizzazione

Trattiamo solo i dati necessari.

I nostri principali fornitori dispongono di certificazioni ISO 27001 e/o SOC 2.

07 · Contratti

Contratto Setup e Termini di Servizio

Contratti
Contratto Setup

È l'accordo con cui parte il servizio. Il Set Up ha una durata standard di 30 giorni e prende avvio da un incontro di kick-off (max 4 ore) per raccogliere le informazioni necessarie. L'addebito del primo abbonamento decorre invece in automatico già dopo 15 giorni dal kick-off — salito a 30 giorni se l'integrazione con il tuo CRM è parte essenziale del flusso di lavoro — indipendentemente dal completamento tecnico del Set Up, salvo proroga se il ritardo è imputabile a noi. Se durante il Set Up chiedi funzionalità aggiuntive, vengono regolate con un addendum e un preventivo dedicato.

Termini di Servizio (ToS)

Regolano l'uso continuativo del servizio, concesso in licenza d'uso non esclusiva, revocabile e non trasferibile, tramite abbonamento periodico con una quota di messaggi mensile. Attenzione: se esaurisci i messaggi inclusi, la piattaforma attiva automaticamente ricariche aggiuntive senza bisogno di una tua conferma; i messaggi non usati nel mese non si accumulano né si convertono in credito. Definiscono inoltre con chiarezza il riparto di responsabilità: tu resti responsabile dei contenuti pubblicati tramite l'assistente e della correttezza dei dati che carichi; il fornitore non risponde di risposte errate o incomplete che derivino da informazioni inesatte fornite dal cliente.

Contratto Setup, ToS, DPA e Privacy Policy formano insieme il quadro contrattuale completo del servizio. Li trovi tutti scaricabili qui sotto.

08 · Perimetro regolamentare

Il perimetro regolamentare del credito

Il credito al consumo è uno dei settori più regolati d'Europa. Ecco come il nostro ruolo si colloca rispetto alle tre normative che contano di più per chi opera in questo mercato — e perché la nostra architettura è pensata per non farti mai uscire dal tuo perimetro autorizzato.

OAM · Intermediazione creditizia
TUB art. 128-sexies · 140-bis

Perché AISA non fa mediazione creditizia, e resta uno strumento a supporto del tuo operatore autorizzato.

CCD II · Credito al consumo
Direttiva UE 2023/2225 · TUB art. 127-ter

Diritto all'intervento umano e trasparenza sulla segnalazione: due principi che rispettiamo per costruzione.

DORA · Resilienza operativa
Regolamento UE 2022/2554

Non siamo un'entità finanziaria, ma sappiamo supportare chi lo è: disponibilità dichiarata sulle clausole richieste.

Un solo fatto tiene insieme queste tre qualificazioni: AISA raccoglie e trasmette informazioni, non valuta il merito creditizio e non decide al posto tuo — la decisione resta sempre a una persona della tua struttura. Ed è remunerata esclusivamente con un canone per il software, mai con una provvigione legata al lead o al finanziato. È questo che ci tiene fuori dall'intermediazione riservata, coerenti con il divieto di decisioni automatiche della CCD II, e nella posizione di semplice fornitore ICT rispetto a DORA.
09 · Documenti

I nostri documenti

Trasparenza completa. Scarica e consulta i documenti che regolano il servizio.

Contratto Setup

L'accordo di avvio del servizio: consulenza e implementazione dell'assistente.

Versione del 18 giugno 2026
Leggi online
Termini di Servizio (ToS)

Regolano l'uso continuativo del servizio e l'abbonamento.

Versione del 19 giugno 2026
Leggi online
DPA · Nomina a Responsabile del Trattamento

Il contratto ex art. 28 GDPR tra te (Titolare) e noi (Responsabile). Include gli allegati con l'elenco completo dei sub-responsabili e la descrizione del trattamento.

Versione del 18 giugno 2026
Leggi online
Privacy Policy

Come trattiamo i dati nei nostri rapporti diretti con te come cliente.

Versione del 8 maggio 2025
Leggi online

Su richiesta forniamo anche i Transfer Impact Assessment relativi ai trasferimenti extra-UE. Scrivi a privacy@getaisa.ai.

10 · Trasparenza

Cosa è attivo, cosa stiamo completando

AI Act
Già attivo oggi
  • • Trasparenza verso l'utente (art. 50).
  • • Sorveglianza umana sulla decisione finale.
  • • Misure di sicurezza sui dati (art. 32).
In corso di formalizzazione

Il fascicolo tecnico del sistema e la valutazione di conformità: la scadenza per gli obblighi sui sistemi di AI ad alto rischio, originariamente fissata al 2 agosto 2026, è stata prorogata al 2 dicembre 2027 da un provvedimento europeo già approvato da Parlamento e Consiglio, in attesa di pubblicazione ufficiale. Non lo usiamo come pretesto: continuiamo comunque a lavorare sul fascicolo tecnico, semplicemente con un calendario più realistico.

Preferiamo dirti dove siamo con precisione, piuttosto che promettere una perfezione che nessun fornitore serio può garantire oggi su una normativa così recente.

Hai domande sulla nostra compliance? Scrivici.

Per l'esercizio dei diritti degli interessati e ogni richiesta su privacy, AI Act e sicurezza, il canale è uno solo.