Pagina sicurezza · aggiornata maggio 2026
I tuoi dati restano nel tuo browser.
Questa pagina spiega in modo onesto cosa Sepalo fa, cosa non fa, e quali sono i rischi residui che dovresti conoscere prima di usarlo per i pagamenti della tua azienda.
Cosa garantiamo
- Il file Excel/CSV viene processato esclusivamente nel browser.
- Profilo ordinante e dati di sessione sono salvati in IndexedDB del tuo browser.
- Nessun cookie, nessuna analytics invasiva, nessun CDN third-party in esecuzione.
- Codice sorgente completo verificabile su GitHub.
Cosa NON possiamo garantire
- L'integrità del tuo sistema operativo o del browser.
- Che estensioni installate non leggano la pagina (lo possono fare).
- Che l'home banking destinatario importi correttamente l'XML.
- Compromissioni a monte: keylogger, malware, supply-chain attack al browser.
Threat model
| Minaccia | Probabilità | Impatto | Mitigazione |
|---|---|---|---|
| XSS via dipendenza compromessa | Bassa | Alto | Lockfile, audit npm, Subresource Integrity |
| Estensione browser malevola | Media | Alto | Dati di pagamento mai persistiti, solo profilo |
| Browser fingerprinting | N/A | N/A | Nessuna analytics; richieste in uscita = 0 |
| Errore utente: IBAN errato | Alta | Alto | Validazione checksum + warning su duplicati |
Architettura
Sepalo è una static export Next.js: il server consegna HTML + JS pre-renderizzato, poi il browser fa tutto il lavoro. Non esistono API route, non esiste un database, non esiste un backend che riceve dati.
Il profilo ordinante (IBAN, ABI, ragione sociale) è cifrato con AES-256-GCM tramite una chiave device-bound derivata con PBKDF2 dalla Web Crypto API e conservata in IndexedDB. I dati di pagamento (il tuo CSV/XLSX) non vengono mai persistiti — vengono elaborati in memoria e poi scartati.
Vuoi verificare tu stesso?Leggi il codice su GitHub →