Come le app di budget rivendono in silenzio i tuoi dati di spesa

2026-05-19 · Lettura di 12 minuti · Inchiesta

La filiera

Quando un'app di budget pubblicizza il collegamento al conto bancario, di solito tra te e l'app si frappongono tre soggetti:

• L'aggregatore che dialoga con la tua banca (negli USA domina Plaid; competono MX, Yodlee, Finicity)
• L'app di budget stessa
• Gli acquirenti a valle — istituti finanziari, hedge fund che fanno ricerca su dati alternativi, startup fintech che addestrano modelli, affiliati di prodotti di credito

Il flusso è lineare: la tua banca → l'aggregatore → l'app → gli acquirenti a valle. Ogni passaggio è descritto in un'informativa che non hai letto. La policy dell'aggregatore dice che può condividere dati anonimizzati con l'app. La policy dell'app dice che può condividere dati anonimizzati con i partner. A valle diventa più difficile seguire la traccia.

Cosa significa "anonimizzato" in pratica

Le informative promettono di routine che i dati condivisi sono "anonimizzati" — nome e numero di conto rimossi. Ma i dati delle singole transazioni, con data, importo e nome dell'esercente, sono notoriamente difficili da anonimizzare davvero. Uno studio del MIT del 2015 ha mostrato che quattro transazioni di carta scelte a caso bastano a identificare in modo univoco il 90% delle persone in un dataset di milioni, anche dopo aver rimosso i nomi.

Il dato non ha bisogno di essere legato a te in particolare per avere valore. I dati di transazione aggregati mostrano che la spesa nei ristoranti è cresciuta del 12% questo trimestre in una certa città; che gli abbonamenti a un servizio streaming stanno calando; che un certo tipo di consumatore ha più probabilità di non rimborsare un prestito. Nessuno di questi insight richiede il tuo nome — ma tutti richiedono le tue transazioni.

Come le app di budget "gratuite" sono rimaste gratuite

Mint, nel suo periodo d'oro, mostrava pubblicità accanto a questo flusso di vendita dati. Entrambe le cose erano dichiarate nell'informativa. Il patto implicito: tu hai un tracker di budget gratuito, l'app ha i tuoi dati di transazione e uno spazio pubblicitario da vendere. Per 14 anni quel patto ha funzionato per entrambi — finché Intuit ha consolidato e il rapporto costi-benefici è cambiato.

I successori post-Mint hanno diviso il modello. Alcuni hanno mantenuto il flusso di dati ma ci hanno aggiunto un abbonamento (Monarch, Copilot, Empower). Altri hanno rifiutato il flusso di dati e fanno pagare un abbonamento pulito (YNAB). Pochi hanno rifiutato l'intera architettura e fanno pagare una tantum (Penno, Buddy, Actual Budget).

L'aggregatore è il pezzo portante

La decisione più importante che prende un'app di budget è se integrarsi con Plaid (o equivalente). Una volta integrata, i tuoi dati di transazione passano dall'infrastruttura di Plaid a ogni aggiornamento. La policy di Plaid è ampia: possono usare i dati che trattano per "migliorare i propri servizi", il che, precisa la stessa policy, può includere lo sviluppo di prodotti finanziari e la ricerca.

Plaid è oggi un'azienda da 13 miliardi di dollari, all'ultima valutazione del 2021. Quella valutazione non è giustificata dalle commissioni che gli aggregatori incassano — è giustificata dal flusso di dati. Plaid è, per certi versi, il più grande custode dei dati di transazione dei consumatori americani al di fuori delle grandi banche stesse.

Cosa puoi verificare davvero

Se il marketing di un'app di budget dice "non vendiamo i tuoi dati", verifica tre cose:

1. L'informativa sulla privacy. Cerca formule su "fornitori di servizi", "insight aggregati", "ricerca con i partner". Non sono bugie — sono la dichiarazione del flusso reale.
2. La policy dell'aggregatore. Se l'app usa Plaid, i tuoi dati passano dai termini di Plaid, qualunque cosa dica la policy dell'app.
3. La scheda privacy sull'App Store di Apple. Apple obbliga le app a dichiarare quali dati raccolgono e a collegarli all'identità. La scheda di una tipica app collegata alla banca mostra che i dati di transazione vengono raccolti e possono essere collegati all'identità.

L'alternativa architetturale

L'unico modo per essere certi che niente di tutto questo accada è usare un'app che non ha alcuna integrazione con un aggregatore. È la scelta di design dietro Penno: il binario non contiene alcun SDK Plaid, niente MX, niente Yodlee, niente Finicity. Non esiste alcuna infrastruttura che potrebbe trasmettere i dati di transazione, anche volendo. Il percorso dei dati non c'è.

Il compromesso è reale: inserisci ogni transazione tu stesso. La comodità sparisce. Quello che ottieni in cambio è la certezza che l'architettura corrisponda al marketing.

Cosa fare in concreto

Se vuoi continuare a usare un'app di budget collegata alla banca, va benissimo — lo fanno milioni di persone, e il rischio di vendita dati è reale ma non catastrofico per il singolo. Puoi mitigarlo:

• Leggi le informative sia dell'app sia dell'aggregatore
• Limita quali conti colleghi (non collegare i conti di investimento se fai budget solo sul conto corrente)
• Revoca l'accesso a livello bancario (quasi tutte le banche ti permettono di vedere e revocare i collegamenti agli aggregatori nelle impostazioni di sicurezza)
• Cancella l'account dell'app di budget quando smetti di usarla — e verifica nelle impostazioni di cancellazione dati dell'app, non solo disinstallandola

Se hai deciso che il compromesso non vale, le opzioni a inserimento manuale esistono. Sono più lente per transazione, ma eliminano del tutto il flusso di dati.

Una nota su questo articolo

Io (lo sviluppatore di Penno) ho un evidente interesse in questa tesi. Ho cercato di mantenere l'articolo fattuale — ogni affermazione qui sopra è verificabile sulle informative delle aziende citate. Se qualcosa ti sembra esagerato o ingiusto, scrivimi e lo correggo.