IT Risk Management: cos’è e perché ne hai bisogno

Nell’era digitale, l’IT Risk Management è cruciale per proteggere dati e risorse aziendali. Questo approccio strategico permette di prevenire attacchi, garantire la conformità normativa e assicurare continuità operativa. Scopri minacce, vantaggi e soluzioni efficaci.
IT Risk Management

In un’epoca dominata dalla tecnologia, dove le aziende affidano la maggior parte delle operazioni quotidiane a sistemi informatici, la sicurezza non è mai stata così cruciale. Dall’e-commerce al settore finanziario, dalla sanità alle PMI, ogni azienda deve fare i conti con il rischio informatico. Questo rende l’IT Risk Management uno dei pilastri fondamentali per garantire la continuità operativa e la protezione delle risorse digitali.

L’IT Risk Management, o gestione dei rischi informatici, non è solo una misura di sicurezza, ma una strategia aziendale essenziale per identificare, valutare e mitigare le vulnerabilità che potrebbero compromettere la stabilità dell’azienda. In questo articolo esploreremo in dettaglio cos’è l’IT Risk Management, quali sono i suoi vantaggi, le tipologie di minacce e le strategie più efficaci per proteggere un’organizzazione.

Che cos’è l’IT Risk Management

L’IT Risk Management è il processo di identificazione, valutazione e gestione dei rischi associati all’utilizzo delle tecnologie informatiche. Lo scopo principale è garantire che i sistemi IT possano funzionare in modo sicuro, supportando gli obiettivi aziendali senza interruzioni.

I rischi informatici includono sia minacce interne, come errori umani o mancanza di aggiornamenti, sia esterne, come cyberattacchi o disastri naturali che compromettono i data center. La gestione efficace di questi rischi consente di:

  • Ridurre le probabilità di un incidente.
  • Mitigare l’impatto di eventuali violazioni.
  • Assicurare la conformità con normative come il GDPR o le linee guida ISO 27001.
  • Proteggere la reputazione aziendale.

Componenti principali

Un sistema di IT Risk Management si basa su tre componenti fondamentali:

  1. Identificazione del rischio: ovvero comprendere dove risiedono le vulnerabilità.
  2. Valutazione del rischio: determinare l’impatto potenziale di ogni rischio identificato.
  3. Mitigazione: implementare controlli tecnici, organizzativi e procedurali per minimizzare il rischio.

Tipi di minacce informatiche

Le minacce informatiche rappresentano un panorama in continua evoluzione, con attacchi sempre più sofisticati e mirati. È fondamentale conoscerle per poterle affrontare adeguatamente.

1. Malware

Il malware, abbreviazione di “malicious software”, è uno dei tipi di minaccia più comuni. Include virus, ransomware, trojan e spyware. Questi software malevoli possono:

  • Rubare informazioni sensibili.
  • Crittografare dati essenziali per richiedere un riscatto.
  • Danneggiare l’hardware aziendale.

2. Phishing e Social Engineering

Il phishing è una tecnica di manipolazione psicologica che sfrutta email o messaggi falsi per ingannare gli utenti e ottenere credenziali o informazioni riservate. È spesso accompagnato da altre tecniche di social engineering, come telefonate ingannevoli o profili fake sui social media.

3. Vulnerabilità del software

Software non aggiornati o configurati in modo errato possono essere facilmente sfruttati dagli hacker. Queste vulnerabilità possono consentire l’accesso non autorizzato ai sistemi o la diffusione di malware.

4. Insider Threats

Le minacce interne derivano da dipendenti, collaboratori o fornitori che, intenzionalmente o accidentalmente, compromettono la sicurezza aziendale. Gli insider possono:

  • Rubare dati aziendali.
  • Causare danni ai sistemi per disattenzione.
  • Essere manipolati da attori esterni.

5. Attacchi DDoS

Gli attacchi Distributed Denial of Service mirano a sovraccaricare i server aziendali, rendendoli inutilizzabili. Possono bloccare un sito web o una piattaforma critica, causando gravi perdite finanziarie.

6. Minacce avanzate persistenti (APT)

Le APT sono attacchi sofisticati, spesso sponsorizzati da stati o organizzazioni criminali, che mirano a infiltrarsi nei sistemi aziendali e rimanervi per lunghi periodi, rubando dati o spionando le attività.

Come lavora un IT Risk Manager

Implementare un programma di IT Risk Management efficace richiede un approccio strategico e metodico. Ogni fase del processo è fondamentale per garantire che i rischi informatici siano gestiti in modo proattivo, minimizzando l’esposizione alle minacce e proteggendo le risorse aziendali. Di seguito, una panoramica approfondita delle principali fasi di un programma di ITRM.

1. Scoping, definizione del sistema e interesse

La prima fase è quella di definizione del perimetro del sistema IT da proteggere. Questo passaggio è fondamentale per comprendere:

  • Cosa deve essere protetto? (ad esempio database, applicazioni aziendali, reti interne).
  • Qual è il valore delle risorse critiche? (dati sensibili, proprietà intellettuale, sistemi operativi chiave).
  • Chi potrebbe minacciare queste risorse? (attori interni o esterni, come hacker o dipendenti malintenzionati).

Passaggi operativi:

  • Mappatura delle risorse IT: Creare un inventario dettagliato di tutti i sistemi, software e dispositivi connessi alla rete aziendale.
  • Prioritizzazione delle risorse: Classificare le risorse in base al loro valore per l’azienda e al livello di criticità.
  • Definizione degli obiettivi di sicurezza: Stabilire target specifici, come la protezione dei dati sensibili o la conformità normativa.

Strumenti utili:

  • Sistemi di gestione degli asset IT (ITAM).
  • Mappe delle dipendenze IT per individuare connessioni e interdipendenze tra i sistemi.

2. Identificazione del rischio (minacce e vulnerabilità)

Questa fase consiste nell’individuare tutte le potenziali minacce che potrebbero compromettere i sistemi IT, nonché le vulnerabilità che potrebbero essere sfruttate.

Esempi di minacce e vulnerabilità:

  • Mancanza di patch di sicurezza: Software non aggiornati che lasciano spazio a exploit.
  • Accessi non autorizzati: Credenziali compromesse o assenza di autenticazione multifattoriale.
  • Configurazioni errate: Ad esempio, un firewall mal configurato che consente accessi non necessari.

Passaggi operativi:

  1. Audit di sicurezza: Eseguire una scansione completa dei sistemi per identificare falle e punti deboli.
  2. Test di penetrazione (Pen Testing): Simulare attacchi informatici per scoprire vulnerabilità sfruttabili.
  3. Analisi del comportamento: Monitorare il traffico di rete per individuare anomalie.

Strumenti utili:

  • Scanner di vulnerabilità.
  • Framework per identificare tattiche e tecniche usate dagli attaccanti.

3. Analisi e documentazione dei controlli

La terza fase si concentra sull’analisi dei controlli di sicurezza esistenti, come firewall, sistemi di autenticazione e policy aziendali, per verificarne l’efficacia nella mitigazione dei rischi.

Passaggi operativi:

  1. Valutazione dell’efficacia dei controlli: Testare se le misure adottate proteggono efficacemente le risorse critiche.
  2. Documentazione dei controlli esistenti: Creare un registro dettagliato di tutte le policy, configurazioni e strumenti implementati.
  3. Analisi delle dipendenze: Identificare eventuali conflitti o sovrapposizioni tra i controlli esistenti.

Esempi pratici:

  • Un sistema di autenticazione a due fattori (2FA) potrebbe essere efficace per proteggere le credenziali, ma potrebbe essere inutile senza un firewall configurato correttamente.
  • Un backup regolare dei dati protegge dalla perdita, ma non impedisce l’accesso non autorizzato.

4. Valutazione del rischio (probabilità, impatto e punteggio)

Dopo aver identificato minacce e vulnerabilità, è necessario quantificare il livello di rischio associato a ciascuna situazione, tenendo conto di due parametri principali:

  • Probabilità: Quanto è probabile che una minaccia si concretizzi?
  • Impatto: Quale sarebbe il danno per l’azienda?

Esempi di valutazione:

  • Attacco ransomware su server critici: Probabilità media, impatto molto alto (perdita di dati e interruzione del servizio).
  • Phishing targeting dipendenti: Probabilità alta, impatto moderato (accesso non autorizzato a dati interni).

Passaggi operativi:

  1. Calcolo del rischio: Utilizzare formule come il Risk Score (Probabilità × Impatto).
  2. Classificazione dei rischi: Suddividere i rischi in categorie come basso, medio e alto.
  3. Creazione di una matrice di rischio: Una visualizzazione che aiuti a prioritizzare le minacce più urgenti.

Strumenti utili:

  • Software di gestione del rischio.
  • Tabelle Excel per la creazione di matrici di rischio personalizzate.

5. Analisi delle lacune e raccomandazioni di mitigazione

Questa fase mira a colmare le lacune emerse nelle fasi precedenti attraverso interventi mirati. È il momento in cui si pianificano e implementano le soluzioni per migliorare la sicurezza.

Esempi di lacune comuni sono:

  • Mancanza di politiche di accesso basate sui ruoli (RBAC).
  • Assenza di un piano di backup e ripristino.
  • Strumenti di sicurezza non aggiornati.

Soluzioni tipiche sono:

  • Aggiornamenti software: Applicare patch di sicurezza per eliminare vulnerabilità note.
  • Formazione del personale: Sensibilizzare i dipendenti sui rischi, come phishing e social engineering.
  • Investimenti in tecnologia: Acquistare soluzioni avanzate come endpoint detection and response (EDR) o strumenti di crittografia.

Strumenti utili:

  • Piattaforme di analisi delle lacune.
  • Framework di mitigazione come ISO 31000.

6. Reporting e risultati

La fase finale è cruciale per documentare i risultati ottenuti e fornire un quadro chiaro dello stato di sicurezza all’interno dell’organizzazione. Un report dovrebbe contenere:

  1. Rischi identificati: Descrizione delle principali minacce e vulnerabilità.
  2. Azioni intraprese: Dettaglio delle misure adottate per mitigare i rischi.
  3. Proposte di miglioramento: Raccomandazioni per rafforzare ulteriormente la sicurezza.

Obiettivi del report:

  • Dimostrare la conformità con standard e normative.
  • Informare il management per facilitare decisioni strategiche.
  • Offrire un punto di riferimento per audit futuri.

Strumenti utili:

  • Dashboard integrate nei software di gestione del rischio.
  • Sistemi di reportistica automatizzata per generare grafici e tabelle.

Perché hai bisogno di un IT Risk Manager: tutti i vantaggi che offre

Quando si parla di IT Risk Management non si tratta semplicemente di prevenire attacchi o violazioni, ma di adottare un approccio strategico per garantire la continuità operativa, proteggere gli asset aziendali e favorire un ambiente di fiducia con clienti e partner. Fra i principali vantaggi offerti dall’ITRM figurano:

1. Protezione delle risorse aziendali

L’adozione di pratiche di IT Risk Management protegge non solo i dati sensibili, ma anche l’intera infrastruttura tecnologica e i sistemi aziendali critici. Questo significa:

  • Mitigazione dei rischi di interruzione: Eventuali disservizi, causati da guasti tecnici o attacchi esterni, possono portare a perdite finanziarie e reputazionali significative. Una strategia di risk management riduce la probabilità e l’impatto di tali eventi.
  • Protezione della proprietà intellettuale: Le aziende che operano in settori innovativi devono tutelare brevetti, progetti e altre informazioni sensibili per mantenere il proprio vantaggio competitivo.

2. Riduzione dei costi

Investire in misure preventive come il monitoraggio continuo e la formazione del personale è meno oneroso rispetto ai costi legati a incidenti di sicurezza. Questi ultimi includono:

  • Ransomware e interruzioni operative: Il pagamento di riscatti o la gestione delle conseguenze di un attacco può superare di gran lunga il costo delle misure preventive.
  • Interventi straordinari: La riparazione di danni, il recupero dei dati e le consulenze per ripristinare la sicurezza possono richiedere risorse ingenti.
  • Perdite di reputazione: Un danno d’immagine può avere ripercussioni di lungo termine sulle entrate aziendali, spesso più costose di una violazione stessa.

3. Migliore conformità normativa

Con l’introduzione di normative come il GDPR in Europa o il CCPA negli Stati Uniti, le aziende devono dimostrare di avere sistemi adeguati per proteggere i dati personali. Il mancato rispetto di tali regolamenti comporta:

  • Sanzioni elevate: Le multe per la mancata conformità possono arrivare fino al 4% del fatturato annuo globale.
  • Problemi legali: Un’azienda che subisce una violazione può affrontare class action o cause legali da parte di clienti e stakeholder. L’IT Risk Management permette di implementare policy e tecnologie che soddisfano gli standard richiesti, garantendo trasparenza e sicurezza.

4. Aumento della fiducia

La fiducia è un valore intangibile, ma cruciale, nel mondo degli affari. Un’azienda che dimostra di gestire con cura i rischi informatici invia un messaggio chiaro a clienti, partner e investitori:

  • Responsabilità e affidabilità: I clienti si sentiranno sicuri a condividere informazioni personali o sensibili con un’organizzazione che dimostra di avere solide misure di sicurezza.
  • Partnership solide: Stakeholder e fornitori preferiscono collaborare con aziende che non espongono la filiera a rischi informatici.
  • Employer branding: Un ambiente di lavoro sicuro è un elemento attrattivo per i talenti, specialmente in settori tecnologici.

5. Competitività sul mercato

Nel panorama digitale, la resilienza informatica può diventare un vantaggio competitivo. Le aziende che investono nell’IT Risk Management sono:

  • Più preparate ai cambiamenti: La capacità di adattarsi rapidamente a nuove tecnologie e normative riduce il rischio di perdere opportunità di business.
  • Più efficienti: Una gestione dei rischi strutturata consente di ottimizzare le risorse e concentrare gli sforzi sul core business.
  • Più attraenti per i clienti: In mercati saturi, la sicurezza informatica può essere un fattore di differenziazione.

L’ITRM non è solo una misura di sicurezza, ma un pilastro strategico per il successo aziendale. Integrarlo nei processi operativi significa non solo prevenire danni, ma costruire un futuro solido in cui innovazione, fiducia e competitività si intrecciano in modo sostenibile. In un mondo sempre più connesso, la gestione dei rischi IT rappresenta la chiave per prosperare nel lungo termine.

Conclusione

L’IT Risk Management è molto più di una semplice pratica tecnica: è un elemento strategico essenziale per garantire la sicurezza, la continuità e la competitività di qualsiasi organizzazione. In un panorama in cui le minacce informatiche sono in costante evoluzione, un approccio proattivo alla gestione dei rischi può fare la differenza tra il successo e il fallimento aziendale.

Investire in una solida strategia di IT Risk Management significa proteggere il futuro dell’azienda, offrendo ai clienti e agli stakeholder la garanzia di affidabilità e sicurezza.

Se desideri implementare o migliorare la gestione dei rischi IT nella tua organizzazione, puoi affidarti ai nostri esperti qualificati in cyber security e IT Risk Management per costruire una strategia su misura.

[simple-author-box]

Scritto da Alessandro Cusinato
Amante della montagna, dei libri e dei bigoli all’anitra, nel tempo libero ha pensato bene di laurearsi in Cybersecurity! Il nostro IT Security Specialist fa anche il monitoraggio SOC/NOC.
Torna alle news

Cookie Policy

Pubblicata il 26/05/2026

Gentile utente, il presente documento descrive le tipologie, le finalità ed i tempi di persistenza dei cookie utilizzati e operanti sul sito web https://www.solunetgroup.it (di seguito "Portale" o "Sito"), oltre a consentire la selezione delle preferenze in merito al loro utilizzo

Definizione, caratteristiche e applicazione normativa

I cookie sono piccoli file di testo che i siti visitati dall'utente inviano e registrano sul suo computer o dispositivo mobile, per essere poi ritrasmessi agli stessi siti alla successiva visita. Proprio grazie ai cookie un sito ricorda le azioni e le preferenze dell'utente (come, ad esempio, i dati di login, la lingua prescelta, le dimensioni dei caratteri, ecc.) in modo che tali parametri non debbano essere impostati ad ogni nuova visita. I cookie, quindi, sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni riguardanti le attività degli utenti che accedono ad un sito e possono contenere anche un codice identificativo unico che consente di tenere traccia della navigazione dell'utente all'interno del sito stesso per finalità statistiche o pubblicitarie.

Alcune operazioni o funzionalità del Portale non potrebbero essere compiute o garantite senza l'uso dei cookie, che in certi casi sono quindi tecnicamente necessari per lo stesso funzionamento del Sito Web.

A seconda delle loro caratteristiche e funzioni, i cookie possono rimanere salvati nel computer dell'utente per periodi di tempo diversi: si hanno dunque c.d. cookie di sessione, che vengono automaticamente cancellati alla chiusura del browser e c.d. cookie persistenti, che permangono sull'apparecchiatura dell'utente fino ad una scadenza prestabilita, ovvero fino alla eventuale cancellazione manuale.

In base alla normativa applicabile, per l'utilizzo dei cookie non sempre è richiesto un espresso consenso dell'utente. In particolare, solitamente non richiedono tale consenso i "cookie tecnici", cioè quelli utilizzati al solo fine di garantire il corretto funzionamento del Sito Web, ovvero ad erogare un servizio esplicitamente richiesto dall'Utente.

Viceversa, per potere utilizzare cookie non strettamente necessari al corretto funzionamento del Portale, bensì funzionali alla raccolta di dati statistici, ovvero volti a creare profili relativi al visitatore, al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete, solitamente è richiesto un preventivo consenso dell'utente, secondo la normativa applicabile.

Tipologie di cookie

Di seguito si riportano per completezza le principali tipologie di cookie esistenti:

  • Cookie tecnici: strettamente necessari per il funzionamento del sito o per consentirti di usufruire dei contenuti e dei servizi richiesti;
  • Cookie analitici: sono invece quelli destinati a fornire al gestore del sito dati meramente statistici come, ad esempio, il numero totale di visitatori del sito e di ogni sua pagina per ciascuna determinata fascia oraria. possono essere assimilati ai cookie tecnici se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, Qualora, invece, l'elaborazione di tali analisi statistiche sia affidata a soggetti terzi, i dati degli utenti dovranno essere preventivamente minimizzati e non potranno essere combinati con altre elaborazioni né trasmessi ad ulteriori terzi.
  • Cookie di funzionalità: cioè utilizzati per attivare specifiche funzionalità del Sito e una serie di criteri selezionati (ad esempio, la lingua) al fine di migliorare il servizio reso;
  • Cookie di profilazione: sono quelli utilizzati per profilare l'utente in base al suo comportamento sul sito. Vengono generalmente sfruttati al fine di inviare all'utente messaggi pubblicitari in linea con le preferenze manifestate nell'ambito della navigazione in rete
  • Cookie di social network: si tratta dei cookie che consentono all'utente di condividere sui social network i contenuti del Sito, oppure di attivare le funzioni "Mi piace" o "Segui" dei social network. Queste funzioni consentono ai Social Network di identificare i propri utenti e raccogliere informazioni anche mentre navigano su altri siti.

Fonte di provenienza dei cookie

I cookie possono poi essere distinti in base alla fonte di provenienza degli stessi. Avremo dunque:

  • Cookie di prima parte (o proprietari): sono creati e utilizzati solo dal web server del Sito web e non sono trasferibili a terze parti. Questo tipo di cookie viene utilizzato generalmente per personalizzare l'esperienza di navigazione, automaticamente riconoscendo un Utente che ha già visitato il Sito Web, non risultando leggibili su un dominio differente da quello in cui sono stati creati.
  • Cookie di terze parti: sono cookie creati da domini diversi da quello del Sito Web che l'Utente sta visitando. I cookie di terza parte sono leggibili sia sul dominio su cui sono stati creati che su qualsiasi altro sito capace di leggere il codice del server che li ha prodotti. Le terze parti che impostano i cookie sul Sito web possono agire in qualità di autonomi Titolari del trattamento, nel perseguimento di finalità proprie, ovvero agire in veste di fornitori del proprietario del Sito Web, in qualità di Responsabili del trattamento.

Nel dettaglio, i cookie inviati tramite questo Portale sono indicati di seguito:

Nome Fornitore Prima o terza parte Categoria Durata
_gcl_au Google Analytics Prime parti Profilazione 2 mesi
_gid Simplifi Holdings LLC Prime parti Analitici 24 ore
_dc_gtm_UA-22860413-1 Prime parti Sconosciuto 1 minuto
_ga Google Analytics Prime parti Analitici 1 anno
_ga_XRDZ5TT6HK Google Analytics Prime parti Analitici 1 anno
SSID_7S-solunetit Prime parti Sconosciuto 1 minuto
SV_7S-solunetit Prime parti Sconosciuto 1 minuto
SSC_7S-solunetit Prime parti Sconosciuto 5 mesi
SN_7S-solunetit Prime parti Sconosciuto 5 mesi
SSA Terze parti Sconosciuto 5 mesi
oil_data Avacy CMP Prime parti Tecnico 6 mesi

Impostazioni relative ai cookie

Selezione e de-selezione: ad esclusione dei cookie strettamente necessari per il funzionamento del Sito Web e per l'erogazione dei servizi richiesti, l'Utente potrà impedire l'installazione dei cookie di terze parti sul Sito Web, bloccando uno o più fornitori operanti sul Portale, attraverso lo strumento di selezione delle preferenze sui cookie (raggiungibile al seguente link) Per quanto riguarda strumenti di tracciamento di terze parti operanti in qualità di autonomi Titolari del trattamento, gli utenti possono gestire le preferenze e revocare il consenso visitando il relativo link di opt out (qualora disponibile), utilizzando gli strumenti descritti nella privacy policy della terza parte o contattandola direttamente. Le scelte operate in riferimento ai cookie del Portale saranno a loro volta registrate in un apposito cookie. Tale cookie potrebbe, tuttavia, in alcune circostanze non funzionare correttamente: in tali casi, il Titolare suggerisce di cancellare i cookie non graditi e di inibirne l'utilizzo anche attraverso le funzionalità dei tuoi browser.

Gestione dei cookie tramite browser: è inoltre possibile rimuovere i cookie esistenti e bloccare l'installazione di nuovi cookie anche mediante le impostazioni del browser. Laddove gli utenti vogliano decidere di volta in volta se accettare o meno i cookie, possono anche configurare il proprio browser affinché generi un avviso ogni volta che viene salvato un cookie. I browser più diffusi prevedono la possibilità di bloccare esclusivamente i cookie di terze parti, accettando solo quelli propri del Sito. Per avere maggiori informazioni su come impostare le preferenze sull'uso dei cookie attraverso il browser, è possibile consultare le relative istruzioni:

Si ricorda, infine, che disabilitando o cancellando i cookie tecnici e/o di funzionalità il Portale potrebbe risultare non consultabile o alcuni servizi o determinate funzioni del Portale potrebbero risultare non disponibili o non funzionare correttamente e potrebbe risultare necessario modificare o inserire manualmente alcune informazioni o preferenze ad ogni visita.

Contatti del Titolare del trattamento

Per ulteriori dettagli sul Titolare del trattamento, l'utente può consultare la nostra Privacy Policy.

Powered by Avacy Logo

Privacy Policy

Pubblicata il 26/05/2026

Solunet Group S.p.A., con sede legale in Via Marconi 21,, San Pietro in Gu (PD) - 35010, C.F./P.IVA IT04152070282, (di seguito "Titolare del trattamento" o "Titolare") si impegna costantemente per tutelare la privacy on-line delle persone fisiche durante la navigazione e la fruizione dei servizi del sito web https://www.solunetgroup.it (di seguito "Portale" o "Sito Web").

Il presente documento descrive ogni aspetto relativo al trattamento dei Dati Personali degli utenti (di seguito "Interessati") operato attraverso il Sito Web, conformemente a quanto previsto dall'art. 13 del Regolamento UE n. 2016/679 (di seguito "Regolamento"). Secondo le norme del Regolamento, i trattamenti effettuati dal Titolare attraverso il Sito Web saranno improntati ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza.

1. Titolare del trattamento

Il Titolare dei trattamenti svolti attraverso il Portale è Solunet Group S.p.A. come sopra definito e contattabile nei modi indicati nella sezione "Contatti" (cfr. art. 10).

2. Categorie di Dati Personali trattati

Dati di navigazione / di utilizzo:

Informazioni raccolte durante la visita da parte dell'utente al Sito Web (es. indirizzo IP, indirizzi di notazione URI, cronologia di navigazione, informazioni relative alle interazioni con il sito, informazioni relative all'ambiente informatico dell'utente, tipo e lingua del browser, sistema operativo, posizione, data e ora della richiesta). Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti;

Dati volontariamente comunicati dall'utente:

informazioni personali rilasciate volontariamente dall'utente attraverso appositi moduli del Sito Web (es. iscrizione/registrazione, contatto, commenti, recensioni, post ecc.). Tali informazioni possono includere, a titolo esemplificativo: dati identificativi (nome, cognome, C.F., username, ID utente, password, luogo e data e luogo di nascita, ecc.), immagine personale, dati di contatto e localizzazione (indirizzo di residenza/domicilio, indirizzo e-mail, numero di telefono e indirizzo postale, ecc.);

Dati commerciali:

informazioni necessarie all'esecuzione degli adempimenti economici e fiscali connessi all'erogazione dei servizi del Sito Web (es. informazioni di pagamento, P.Iva, storico degli acquisti, informazioni sull'uso del prodotto o del servizio, informazioni di credito e fatturazione, richieste di assistenza, ecc.);

3. Finalità del trattamento

Il Titolare utilizza i Dati Personali raccolti tramite il presente Sito Web per l'esecuzione delle seguenti finalità:

Esecuzione del contratto:

Trattamento dei dati personali al fine di dare esecuzione ai contratti di cui l'utente è parte (es. contratti di fornitura di servizi, compravendita di prodotti, iscrizioni, registrazioni, partecipazione a servizi interattivi e simili). Tale finalità riguarda il trattamento dei dati necessari al fine di mantenere la relazione contrattuale con l'utente, fornire i servizi offerti dal Sito Web e adempiere agli obblighi da essa derivanti;

Conformità a obblighi di legge:

Trattamento dei dati personali al fine del rispetto di obblighi legali a cui il Titolare è soggetto (es. obblighi tributari, norme sulla sicurezza sul lavoro, normative sulla conservazione dei documenti, sul controllo antiriciclaggio, responsabilità civile, normativa sulla protezione dei dati, ecc.);

Adempimento di obblighi di legge:

Trattamento dei dati personali nel caso in cui ciò sia necessario all'adempimento degli obblighi legali di cui sopra citati;

Sicurezza e protezione antifrode:

Trattamento dei dati personali al fine di proteggere la sicurezza dei dati, dei sistemi informativi e della piattaforma tecnologica del Titolare, nonché per prevenire, rilevare e contrastare attività fraudolente, abusi, attacchi informatici e tutte le altre attività illecite;

Contatto con l'interessato:

Trattamento dei dati personali al fine di contattare l'utente attraverso diversi canali comunicativi (es. email, telefono, SMS, WhatsApp) per diverse finalità quali: richiesta di feedback, sondaggi di customer satisfaction, comunicazioni di servizio, aggiornamenti di account, assistenza tecnica, ecc.;

4. Base giuridica del trattamento

Il trattamento dei Dati Personali è lecito in virtù delle seguenti basi giuridiche, come previsto dall'art. 6 del Regolamento:

Esecuzione del contratto:

Art. 6(1)(b) del Regolamento – I dati sono necessari ai fini dell'esecuzione di un contratto di cui l'interessato è parte;

Interessi legittimi:

Art. 6(1)(f) del Regolamento – Il trattamento è necessario per il perseguimento dei legittimi interessi del Titolare;

Protezione interessi vitali:

Art. 6(1)(d) del Regolamento – Il trattamento è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica;

Compiti di interesse pubblico:

Art. 6(1)(e) del Regolamento – Il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri;

Consenso:

Art. 6(1)(a) del Regolamento – L'interessato ha prestato il consenso al trattamento dei propri dati personali;

5. Modalità di trattamento

Il trattamento viene effettuato attraverso modalità manuali e/o automatiche, anche tramite l'ausilio di tecnologie informatiche e telematiche (es. CRM, software gestionali e servizi di mailing list), previa applicazione di misure di scurezza tecniche e organizzative idonee a garantire la sicurezza, l'integrità e la riservatezza dei Dati Personali, in modo da ridurre al minimo i rischi di distruzione, perdita, accesso non consentito, modifica e divulgazione non autorizzata, nel rispetto di quanto previsto agli artt. 6, 32 del GDPR.

6. Trasferimento dei Dati Personali extra UE/SEE

Il Titolare non intende trasferire i Dati Personali al di fuori dello Spazio Economico Europeo. Qualora, tuttavia, per far fronte ad esigenze di natura organizzativa/produttiva, dovesse ravvisarne la necessità (a titolo esemplificativo e non esaustivo, avvalendosi di provider e/o servizi in cloud che presuppongano il trasferimento dei dati all'estero), saranno individuate garanzie adeguate per il trasferimento dei Dati Personali verso un Paese Terzo, che a seconda delle casistiche potranno essere: verifica dell'esistenza di decisioni di adeguatezza della Commissione Europea, sottoscrizione di clausole contrattuali standard e/o di norme vincolanti d'impresa, verifica dell'adozione di eventuali misure supplementari in recepimento della raccomandazione 01/2020 EDPB.

Nome Fornitore Descrizione Privacy Policy del fornitore
Google Analytics https://policies.google.com/privacy
Simplifi Holdings LLC https://simpli.fi/site-privacy-policy/
Avacy CMP https://jumpgroup.it/privacy-policy/

7. Periodi di conservazione

Il Titolare conserva i Dati Personali solo per i periodi di tempo necessari al perseguimento delle finalità indicate all'interno del presente documento, ovvero per le tempistiche previste da specifiche normative.

  • I Dati Personali trattati per la finalità di "Fornitura del servizio" saranno conservati per un periodo non superiore a 10 anni;
  • I dati personali trattati per la finalità di "Pagamenti e Fatturazione" saranno conservati per un periodo non superiore a 10 anni (art. 2220 c.c.)
  • I Dati Personali trattati per finalità di Marketing Diretto saranno conservati per un periodo non superiore a 2 anni, ovvero sino all'eventuale revoca del consenso al trattamento da parte dell'interessato.
  • La durata di persistenza dei singoli cookie è riportata all'interno della "Cookie Policy";
  • È fatta salva in ogni caso la possibilità per il Titolare di conservare i Dati Personali per il periodo di tempo previsto e ammesso dalla legge Italiana ai fini della "Tutela giudiziale" dei propri interessi (art. 2946 e 2947 c1, c.3 c.c.).

Decorsi tali periodi di conservazione i Dati Personali saranno cancellati o resi anonimi, se non detenuti per ulteriori finalità in forza di idonee basi giuridiche.

8. Destinatari

I Dati Personali raccolti dal Titolare del trattamento potranno essere comunicati o resi accessibili, per l'esecuzione delle finalità sopra indicate, alle seguenti categorie di soggetti:

  • Personale dipendente e collaboratori che coadiuvano il Titolare nelle operazioni di trattamento, previa espressa autorizzazione al trattamento ed eventuale sottoscrizione di accordi di riservatezza;
  • Soggetti che erogano servizi in out sourcing per conto del Titolare, in qualità di Responsabili del trattamento: fornitori di servizi informatici in cloud, liberi professionisti, società o studi professionali che prestano attività di assistenza e consulenza al Titolare del trattamento, ovvero soggetti delegati a svolgere attività di hosting e manutenzione tecnica, inclusa la manutenzione di software, degli apparati di rete e delle reti di comunicazione elettronica;
  • Autonomi titolari del trattamento a cui la comunicazione dei dati risulti necessaria ai fini dell'erogazione del servizio richiesto dall'interessato.
  • Autonomi titolari del trattamento nel perseguimento di finalità proprie (previo consenso dell'interessato);
  • Pubbliche autorità, nel caso in cui tale comunicazione risulti obbligatoria per legge.

Decorsi tali periodi di conservazione i Dati Personali saranno cancellati o resi anonimi, se non detenuti per ulteriori finalità in forza di idonee basi giuridiche.

9. Diritti dell'interessato

In ogni momento l'Interessato potrà accedere alle informazioni che lo riguardano e chiederne, la rettifica, la cancellazione, la limitazione del trattamento, e la portabilità. Potrà altresì opporsi in tutto o in parte al trattamento ed avere il diritto non essere soggetto ad un Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.

Per esercitare i diritti di cui agli articoli 15-22 del GDPR, l'Interessato potrà contattare il Titolare del trattamento nei modi indicati nella sezione "Contatti" (cfr. art. 10). Il Titolare del trattamento è tenuto entro 1 mese a dare risposta alla richiesta, o a comunicare un eventuale ritardo nella risposta in caso di richieste numerose e/o complesse (la proroga non può comunque superare i 2 mesi). In ogni caso l'Interessato ha sempre diritto di proporre reclamo all'Autorità di Controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell'art. 77 del Regolamento, qualora ritenga che il trattamento dei suoi Dati Personali sia contrario alla normativa in vigore.

Contatti

Per ulteriori informazioni circa il trattamento sui Dati Personali operato in esecuzione del contratto, ovvero per avanzare una richiesta di esercizio diritti, è possibile contattare il Titolare all'indirizzo e-mail: info@solunetgroup.it

Powered by Avacy Logo