Perché il tuo tracker di calorie non ha bisogno della tua email
MyFitnessPal, Cronometer, MacroFactor, Lose It!. Tutti vogliono la tua email, la password, a volte la data di nascita e il sesso, prima che tu possa registrare un solo petto di pollo.
Abbiamo costruito Onyx Tenet senza questo vincolo. Scarica, apri, registra. Nessun server tra te e il tuo diario alimentare.
Questa è stata la prima decisione architetturale che abbiamo preso, e ha influenzato tutto il resto.
Perché te lo chiedono
Ci sono tre motivi per cui un tracker di calorie richiede un account, e nessuno è per “far funzionare l’app”.
1. Pubblicità mirata
MyFitnessPal e Lose It! offrono livelli gratuiti supportati da annunci. Un indirizzo email lega i tuoi dati d’uso a un’identità che le reti pubblicitarie possono targettizzare. Il tuo diario alimentare diventa un segnale comportamentale: cosa mangi, quando mangi, quanto sei costante nel tracciare. Quel segnale ha valore.
La stessa informativa sulla privacy di MyFitnessPal riconosce la condivisione delle informazioni degli utenti con “marketing and advertising partners” e afferma che alcuni usi dei cookie di tracciamento “may constitute sales or sharing of personal information” secondo le leggi sulla privacy applicabili. Non è una speculazione. È la loro dichiarazione.
2. Lock-in
Una volta che il tuo diario alimentare vive sul server di qualcun altro dietro il suo login, andartene significa perdere i tuoi dati. Anni di pasti, storico del peso, alimenti personalizzati, ricette. L’account non è una funzione. È un fossato.
MyFitnessPal rende questa cosa strutturale: l’esportazione CSV è bloccata dietro Premium a $80/anno. Gli utenti gratuiti non possono esportare i propri dati. Puoi inserire dati, ma non puoi portarli via senza pagare.
3. Metriche di engagement
Rapporti DAU/MAU, cohort di retention, tassi di conversione del funnel. Sono i numeri che contano per investitori e inserzionisti, e richiedono tutti utenti identificati. Un utente anonimo che apre l’app ogni giorno è invisibile per queste metriche. Un account trasforma quella persona in un dato.
MacroFactor non offre nemmeno un livello gratuito. Il livello gratuito di Cronometer mostra annunci. Ogni tracker importante ha costruito il proprio modello di business sull’idea che gli utenti creeranno account. L’account serve il business. L’app funzionerebbe benissimo anche senza.
Cosa succede quando va storto
Non importerebbe così tanto se i dati restassero al sicuro. Non è così.
Nel febbraio 2018, MyFitnessPal ha rivelato che una parte non autorizzata aveva avuto accesso a 150 milioni di account utente: nomi utente, indirizzi email e password sottoposte a hash. All’epoca, era una delle più grandi violazioni di dati registrate.
Nel marzo 2026, Cal AI (che aveva acquisito MyFitnessPal) ha subito una seconda violazione. I ricercatori di sicurezza hanno trovato un backend Firebase non autenticato, leggibile senza credenziali. I dati esposti includevano nomi, email, date di nascita, sesso, altezza, peso, obiettivi di salute, target macro e log dei pasti con timestamp. 3.2 milioni di record utente su 14.59 GB di dati. Un record apparteneva a un bambino nato nel 2014.
Non sono incidenti isolati. Nel 2021, un aggregatore di dati fitness chiamato GetHealth ha lasciato un database non protetto che esponeva 61 milioni di record prelevati da Fitbit, Strava e Google Fit. I dati erano su un server senza password.
Il tuo diario alimentare, lo storico del peso e la tua email sono ora nei database delle violazioni. Non c’era alcun motivo architetturale per cui dovessero stare sul server di qualcun altro fin dall’inizio.
Come si presenta un’architettura senza account
Ecco cosa abbiamo costruito invece.
Database local-first. Il tuo diario alimentare, lo storico del peso e gli alimenti personalizzati vivono in un database locale sul tuo dispositivo (SwiftData su iOS, Room su Android). Per impostazione predefinita non viene caricato nulla. Non serve connessione internet. L’app funziona completamente offline.
Nessuna dipendenza dal server per le funzioni principali. Registrare un pasto, scansionare un codice a barre, vedere lo storico, controllare il tuo TDEE adattivo: niente di tutto questo richiede una connessione di rete o un account utente. Il server non è nel percorso critico.
Scansione codici a barre tramite API pubblica. Le ricerche dei codici a barre usano OpenFoodFacts, un database aperto mantenuto dalla community. Nessun account richiesto da parte loro o da parte nostra.
Portabilità completa dei dati. I tuoi dati possono essere esportati in qualsiasi momento come file JSON, da qualunque schermata nelle Impostazioni. Non è un CSV settimanale limitato né una funzione solo Premium. Sono i tuoi dati. È un file. Lo controlli tu.
Analytics anonime. Usiamo PostHog per le analytics d’uso con una politica rigorosa: niente PII, niente dati del diario alimentare, niente dati sul peso. L’interruttore delle analytics nelle Impostazioni ti permette di disattivarle del tutto. Per gli utenti che abilitano il backup cloud, usiamo un UID Firebase pseudonimo per la continuità delle analytics. Non la tua email. Non il tuo nome.
“Ma se perdo il telefono?”
Questa è la controargomentazione onesta, e la prendiamo sul serio. Se i tuoi dati vivono solo sul tuo dispositivo, perdere il dispositivo significa perdere i dati.
Tre linee di difesa:
Esportazione JSON. Esporta i tuoi dati su Files, iCloud Drive, Google Drive o ovunque tu conservi i file. Bastano un tocco nelle Impostazioni. L’esportazione è un’istantanea completa: diario alimentare, storico del peso, alimenti personalizzati, ricette, impostazioni.
Backup della piattaforma. Sia iOS che Android eseguono automaticamente il backup dei dati delle app su iCloud e Google rispettivamente, a meno che tu non l’abbia disattivato. Per la maggior parte degli utenti, i dati sono già salvati senza che debbano fare nulla.
Backup cloud opzionale. Se vuoi un backup cloud esplicito con ripristino su qualsiasi dispositivo, Onyx Tenet lo offre. Accedi con un link via email. Usiamo quella email per una cosa sola: permetterti di accedere ai tuoi backup. Nessuna password. Nessun profilo. Nessun account nel senso tradizionale. Se un domani costruiremo account completi, saranno opzionali, e esisteranno per motivi che avvantaggiano te, non noi.
Il punto non è che i backup non servano. Il punto è che il backup dovrebbe essere una scelta consapevole, non una creazione obbligatoria di account che funge anche da meccanismo di raccolta dati.
Confronto del panorama
| MyFitnessPal | Cronometer | MacroFactor | Lose It! | Onyx Tenet | |
|---|---|---|---|---|---|
| Account richiesto | Sì | Sì | Sì | Sì | No |
| Diario alimentare memorizzato | I loro server | I loro server | I loro server | I loro server | Il tuo dispositivo |
| Annunci nel livello gratuito | Sì | Sì | Nessun livello gratuito | Sì | Nessun annuncio. Mai. |
| Condivisione con reti pubblicitarie | Sì | Sì (livello gratuito) | No | Identificatori pubblicitari | No |
| Esportazione dati | CSV (solo Premium) | CSV (tutti i livelli) | Foglio di calcolo (abbonati) | CSV (settimanale, solo web) | JSON (completo, sempre) |
| Prezzo annuale | $80/anno Premium | Gold (a pagamento) | $72/anno | $40/anno | Core gratuito |
Fonti: l’attuale informativa sulla privacy e la scheda App Store di ciascuna azienda. Tutte le affermazioni sono verificabili pubblicamente.
I compromessi
Local-first significa compromessi reali. Non faremo finta del contrario.
Nessuna sincronizzazione automatica tra dispositivi per impostazione predefinita. I tuoi dati vivono sul dispositivo su cui li hai registrati. Il backup cloud (opzionale) consente il ripristino su qualsiasi dispositivo, ma non la sincronizzazione in tempo reale tra più dispositivi. È una funzione che potremmo aggiungere più avanti, e sarà opzionale e crittografata.
Nessun recupero password per i dati locali. Se elimini l’app senza esportare o fare backup, i tuoi dati spariscono. L’esportazione JSON è la tua assicurazione.
Sei responsabile dei tuoi backup. Ti diamo gli strumenti (export, backup della piattaforma, backup cloud), ma per impostazione predefinita i tuoi dati restano locali. È questo il punto.
Sono decisioni di design consapevoli, non sviste. L’alternativa è ciò che fanno tutti gli altri tracker: richiedere un account dal primo giorno, mettere i tuoi dati sul loro server e chiamarlo una funzione.
Onyx Tenet non ha bisogno della tua email. Scarica, apri, registra. I tuoi dati restano sul tuo dispositivo, a meno che tu non scelga esplicitamente il contrario.
Onyx Tenet è gratuito. Nessun account richiesto.