Pagina sicurezza · aggiornata maggio 2026

I tuoi dati restano nel tuo browser.

Questa pagina spiega in modo onesto cosa Sepalo fa, cosa non fa, e quali sono i rischi residui che dovresti conoscere prima di usarlo per i pagamenti della tua azienda.

Cosa garantiamo
  • Il file Excel/CSV viene processato esclusivamente nel browser.
  • Profilo ordinante e dati di sessione sono salvati in IndexedDB del tuo browser.
  • Nessun cookie, nessuna analytics invasiva, nessun CDN third-party in esecuzione.
  • Codice sorgente completo verificabile su GitHub.
Cosa NON possiamo garantire
  • L'integrità del tuo sistema operativo o del browser.
  • Che estensioni installate non leggano la pagina (lo possono fare).
  • Che l'home banking destinatario importi correttamente l'XML.
  • Compromissioni a monte: keylogger, malware, supply-chain attack al browser.

Threat model

MinacciaProbabilitàImpattoMitigazione
XSS via dipendenza compromessaBassaAltoLockfile, audit npm, Subresource Integrity
Estensione browser malevolaMediaAltoDati di pagamento mai persistiti, solo profilo
Browser fingerprintingN/AN/ANessuna analytics; richieste in uscita = 0
Errore utente: IBAN erratoAltaAltoValidazione checksum + warning su duplicati

Architettura

Sepalo è una static export Next.js: il server consegna HTML + JS pre-renderizzato, poi il browser fa tutto il lavoro. Non esistono API route, non esiste un database, non esiste un backend che riceve dati.

Il profilo ordinante (IBAN, ABI, ragione sociale) è cifrato con AES-256-GCM tramite una chiave device-bound derivata con PBKDF2 dalla Web Crypto API e conservata in IndexedDB. I dati di pagamento (il tuo CSV/XLSX) non vengono mai persistiti — vengono elaborati in memoria e poi scartati.

Vuoi verificare tu stesso?Leggi il codice su GitHub →