Tutti i 3 verticali (Vino · Energia & Gas · Fonia & IT) sono live. Prenota la tua demo →
Loogico
Demo

Privacy · AI Bolletta

Ultimo aggiornamento: 2026-05-26 · Versione: 1.0 · Effective from: 2026-07-09 (go-live AI bolletta)

⚠️ Documento di trasparenza. La feature AI estrazione bolletta è disponibile dal 9 luglio 2026 sui piani Base+. Sul piano Gratuito è visibile ma non utilizzabile (gating capability).

Cosa fa lo strumento

Quando un operatore agente carica una bolletta luce o gas in PDF, il sistema:

  1. Cifra il PDF al momento dell'upload (AES-256-CBC con chiave derivata per-tenant) e lo persiste sui server italiani di Aruba a Roma.
  2. Estrae il testo del PDF localmente (libreria smalot/pdfparser, nessuna chiamata esterna).
  3. Se il PDF risulta scansionato (testo < 80 caratteri/pagina), invia il PDF al servizio OCR di Mistral AI (FR, GDPR-native) per digitalizzazione.
  4. Invia il testo estratto a Anthropic Claude (US, GDPR-adequate via Standard Contractual Clauses EU) per estrarre i dati strutturati (POD/PDR, consumo, costo, fornitore, fasce orarie).
  5. Valida i dati estratti contro uno schema strict (rifiuto se incompleti).
  6. Mostra i dati estratti all'operatore per revisione manuale prima di usarli nel sistema (l'operatore può correggere ogni campo).

Sub-processor coinvolti

Per fornire questa funzionalità, Loogico utilizza i seguenti sub-processor:

Sub-processor Sede Cosa fa Conformità GDPR
Anthropic, PBC California, USA Estrazione testo bolletta → JSON strutturato (modello Claude) Standard Contractual Clauses EU (SCC) modulo 2 + DPA firmata
Mistral AI Parigi, Francia OCR PDF scansionati (fallback se testo illeggibile) GDPR-native (EU-based)
Aruba S.p.A. Roma, Italia Hosting database + filesystem cifrato bollette GDPR-native (IT) + ISO 27001

Cosa viene trasmesso ai sub-processor

  • Ad Anthropic: il testo della bolletta (estratto da PDF). Anthropic non usa questi dati per addestrare i propri modelli (clausola contrattuale esplicita Enterprise plan).
  • A Mistral OCR (solo PDF scansionati): il PDF binario. Mistral non usa questi dati per training (DPA).
  • NON trasmettiamo: nome del cliente, indirizzo cliente (se non presente in chiaro nel PDF stesso), credenziali di Loogico, dati di altri clienti, dati di altri contratti.

Retention (per quanto tempo conserviamo cosa)

  • PDF originale cifrato: 90 giorni sul server Aruba. Cleanup automatico daily via cron job.
  • JSON dati estratti + audit log: per sempre (utile a costituire storia cliente + audit forensic).
  • SHA-256 del PDF: per sempre (dedupe + verifica integrità).
  • Audit log immutabile: per sempre (chi ha caricato cosa quando).

Diritti del cliente finale (titolare della bolletta)

Il cliente finale (titolare della fornitura energia/gas) ha tutti i diritti previsti dal GDPR:

  • Diritto di accesso (art. 15): può richiedere copia dei dati estratti dalla sua bolletta.
  • Diritto di rettifica (art. 16): può richiedere correzione di dati errati.
  • Diritto all'oblio (art. 17): può richiedere cancellazione completa di PDF + dati estratti. Endpoint admin dedicato in Loogico.
  • Diritto di portabilità (art. 20): può richiedere export JSON dei propri dati.
  • Diritto di opposizione (art. 21): può rifiutare il processing futuro delle proprie bollette (l'operatore agente non potrà più caricarle).

Le richieste vanno inoltrate via PEC a privacy@pec.loogico.it oppure via form a /contatti. Risposta entro 30 giorni.

Decisione automatizzata (art. 22 GDPR)

L'AI estrae dati ma NON prende decisioni commerciali per conto del cliente. La decisione di proporre un'offerta o stipulare un contratto è sempre dell'operatore agente, che può modificare i dati estratti prima di usarli. Non c'è quindi "decisione esclusivamente automatizzata" ai sensi dell'art. 22 GDPR.

Consenso esplicito

L'operatore agente, al momento dell'upload di ogni bolletta, deve spuntare una checkbox obbligatoria che conferma:

"Confermo di avere il consenso del cliente finale per processare questa bolletta con AI (Anthropic + Mistral come sub-processor GDPR-adeguati). Il cliente è stato informato che i dati estratti saranno usati per formulare offerte commerciali."

L'agente è il data controller verso il cliente finale (è chi ha il rapporto contrattuale). Loogico è data processor di Anthropic+Mistral.

Limitazioni note (onestà)

  • L'AI può commettere errori. L'operatore deve sempre verificare i dati estratti. Loogico mostra confidence score per ogni campo critico.
  • Non sono supportate bollette multi-sito o multi-commodity. Una bolletta = un POD/PDR = una fornitura. Le multi-sito vengono rifiutate con messaggio chiaro.
  • Bollette in lingue diverse dall'italiano non sono supportate (le accise gas / componenti CTE sono Italia-specifiche).
  • Bollette troppo vecchie (> 24 mesi) possono avere layout obsoleti che l'AI fatica a parsare.

Sicurezza tecnica

  • Cifratura at-rest: AES-256-CBC con chiave derivata HKDF per-tenant da APP_KEY (master key). Se la APP_KEY viene compromessa, tutti i PDF di tutti i tenant sono compromessi → backup APP_KEY è critico tanto quanto backup database.
  • Cifratura in-transit: TLS 1.3 su tutte le chiamate Anthropic + Mistral.
  • Isolation multi-tenant: filesystem path namespace per tenant (tenants/{uuid}/bollette/...) + database row-level security PostgreSQL.
  • Audit log immutabile: trigger PostgreSQL impedisce UPDATE/DELETE sulle entries audit (append-only).
  • Geolocation processing: storage + database in Italia (Aruba Roma). Chiamate AI verso Anthropic possono uscire US (con SCC EU). Mistral OCR è EU-only.

Cambiamenti futuri

Aggiornamenti a questa policy verranno notificati ai clienti via:

  • Email automatica a tutti gli operatori dei tenant con la feature attiva
  • Banner in dashboard Loogico per 14 giorni
  • Diff visibile in /changelog
Documento gestito da Luca Arrigucci · Loogico · Fenice S.R.L. — per dubbi: privacy@loogico.it.