Sicurezza e Crittografia

A Tornoconto, ci rendiamo conto che i dati finanziari personali rappresentano una delle categorie di informazioni più sensibili. Per questo motivo, la protezione della tua privacy e la sicurezza assoluta della nostra infrastruttura non sono semplici funzionalità, ma il pilastro fondante su cui si basa l'intera applicazione.

1. Come Proteggiamo la Tua Identità (Account)

Garantire che tu, e solo tu, possa accedere al tuo profilo è il nostro principale obiettivo.

• Gestione Password: Le tue password non vengono mai salvate in chiaro sui nostri server. Utilizziamo algoritmi di hashing crittografico unidirezionale (bcrypt con fattore di costo/salt round a 12), rendendo matematicamente impossibile a chiunque, compresi i nostri sviluppatori, conoscere o recuperare la tua password originale.
• Autenticazione a Due Fattori (2FA): Puoi proteggere ulteriormente il tuo account attivando la verifica in due passaggi (TOTP). Questo significa che, anche se qualcuno riuscisse a indovinare la tua password, non potrebbe accedere senza il tuo dispositivo mobile.
• Protezione contro Attacchi Brute-Force: I nostri sistemi bloccano automaticamente qualsiasi indirizzo IP o utente dopo 5 tentativi di accesso falliti consecutivi.
• Notifiche di Sicurezza Proattive: Riceverai comunicazioni immediate (via email/in-app) in caso di accessi da dispositivi mai visti in precedenza o modifiche critiche alle impostazioni del profilo.

2. Sicurezza dei Dati e dell'Infrastruttura

Adozione di standard di livello enterprise (Enterprise-Grade Security) per l'architettura dei server operanti il Servizio:

• Criptare End-to-End (Zero-Knowledge): Tutti i tuoi dati finanziari salvati presso i nostri database sono cifrati utilizzando lo standard crittografico avanzato AES-256. Ciononostante, la vera sicurezza deriva dalla nostra architettura "Zero-Knowledge": la chiave per decifrare questi dati risiede unicamente sul tuo dispositivo e deriva in modo irreversibile dalla tua Master Password. Noi forniamo il "seif", ma solo tu possiedi l'unica "cheia" per aprirlo.
• Dati in Transito (Cifratura TLS 1.3): Qualsiasi comunicazione tra il tuo smartphone/browser e i nostri server (incluso il momento della sincronizzazione dei dati cifrati) avviene all'interno di un tunnel crittografato mediante protocolli Transport Layer Security (TLS 1.3), che impedisce attacchi di tipo Man-in-the-Middle o intercettazioni su reti Wi-Fi pubbliche.
• AI e Scansione Scontrini (Zero Retention): Quando decidi di scansionare un documento cartaceo, l'immagine viene trasmessa ai server di OpenAI (fornitore del servizio AI) tramite comunicazioni anch'esse criptate ad alta sicurezza (TLS 1.3). OpenAI si limita a "leggere" e restituirti il testo del documento: l'immagine non viene mai archiviata in maniera definitiva né da noi né da OpenAI, e non viene mai utilizzata per addestrare modelli linguistici. Una volta estratto il dato testuale, il file immagine viene scartato per sempre per tutelare la tua confidenzialità.
• Nessun Collegamento Bancario a Rischio: A differenza delle applicazioni che si collegano automaticamente (tramite Open Banking o API) ai tuoi conti correnti, su Tornoconto ogni dato è inserito sotto il tuo rigido controllo. Non memorizziamo né ti chiediamo i dati di accesso della tua banca. I tuoi soldi reali sono totalmente separati e protetti.
• Server e Sovranità del Dato: I data center primari che ospitano l'applicazione Tornoconto si trovano fisicamente in Europa e possiedono la rigida certificazione ISO 27001 per la gestione della sicurezza delle informazioni.

3. Resilienza e Integrità Operativa

• Business Continuity e Disaster Recovery: Eseguiamo copie di backup istantanee dei database primari. I backup vengono a loro volta crittografati e archiviati in regioni geograficamente separate per far fronte a emergenze imprevedibili.
• Test e Auditing di Terze Parti (Penetration Test): L'applicazione viene sottoposta regolarmente a simulazioni di attacco (Penetration Test) da parte di esperti di sicurezza esterni per identificare in modalità anticipata eventuali vulnerabilità.

4. Programma Bug Bounty e Responsible Disclosure

Sei un ricercatore di sicurezza informatica o semplicemente un utente con l'occhio vigile e ritieni di aver individuato una potenziale faglia di sicurezza? Ti preghiamo di non divulgarla pubblicamente. Ti invitiamo invece a inviare prontamente le tue scoperte seguendo le nostre policy di Responsible Disclosure (divulgazione etica responsabile) all'indirizzo dedicato: info@tornoconto.it

Il nostro Security Response Team ti risponderà nel più breve tempo possibile (di norma entro 48 ore) per riconoscere il problema, valutarne la gravità e prenderne in carico la risoluzione.