Privacy & Security as a Service
Sicurezza e Crittografia
A Tornoconto, ci rendiamo conto che i dati finanziari personali rappresentano una delle categorie di
informazioni più sensibili. Per questo motivo, la protezione della tua privacy e la sicurezza assoluta della
nostra infrastruttura non sono semplici funzionalità, ma il pilastro fondante su cui si basa l'intera
applicazione.
1. Come Proteggiamo la Tua Identità (Account)
Garantire che tu, e solo tu, possa accedere al tuo profilo è il nostro principale obiettivo.
- Gestione Password: Le tue password non vengono mai salvate in chiaro sui nostri server.
Utilizziamo algoritmi di hashing crittografico unidirezionale (bcrypt con fattore di costo/salt
round a 12), rendendo matematicamente impossibile a chiunque, compresi i nostri sviluppatori, conoscere
o recuperare la tua password originale.
- Autenticazione a Due Fattori (2FA): Puoi proteggere ulteriormente il tuo account
attivando la verifica in due passaggi (TOTP). Questo significa che, anche se qualcuno riuscisse a
indovinare la tua password, non potrebbe accedere senza il tuo dispositivo mobile.
- Protezione contro Attacchi Brute-Force: I nostri sistemi bloccano automaticamente
qualsiasi indirizzo IP o utente dopo 5 tentativi di accesso falliti consecutivi.
- Notifiche di Sicurezza Proattive: Riceverai comunicazioni immediate (via email/in-app)
in caso di accessi da dispositivi mai visti in precedenza o modifiche critiche alle impostazioni del
profilo.
2. Sicurezza dei Dati e dell'Infrastruttura
Adozione di standard di livello enterprise (Enterprise-Grade Security) per l'architettura dei server operanti
il Servizio:
- Crittografia AES-256 a Riposo: Tutti i tuoi dati finanziari salvati presso i
nostri database sono cifrati utilizzando lo standard crittografico avanzato AES-256
sui server Supabase localizzati in Unione Europea (Francoforte). L'accesso ai dati è regolato da
Row Level Security (RLS): ogni utente può accedere esclusivamente ai propri dati.
Il personale autorizzato accede ai sistemi solo per assistenza tecnica documentata e tracciata.
- Dati in Transito (Cifratura TLS 1.3): Qualsiasi comunicazione tra il tuo
smartphone/browser e i nostri server avviene all'interno di un tunnel crittografato mediante protocolli
Transport Layer Security (TLS 1.3), che impedisce attacchi di tipo Man-in-the-Middle
o intercettazioni su reti Wi-Fi pubbliche.
- AI Assistant e Scansione Scontrini: Quando decidi di scansionare un documento
cartaceo o di interagire con l'AI Assistant, i contenuti vengono trasmessi ai server di
Anthropic PBC (provider del modello Claude) tramite comunicazioni criptate TLS 1.3.
Anthropic non utilizza i contenuti trasmessi tramite API per addestrare i propri modelli linguistici
(riferimento: termini commerciali Anthropic). Il trasferimento avviene in regime di Standard
Contractual Clauses (SCC) approvate dalla Commissione Europea.
- Nessun Collegamento Bancario a Rischio: A differenza delle applicazioni che si
collegano automaticamente (tramite Open Banking o API) ai tuoi conti correnti, su Tornoconto ogni dato è
inserito sotto il tuo rigido controllo. Non memorizziamo né ti chiediamo i dati di accesso della tua
banca. I tuoi soldi reali sono totalmente separati e protetti.
- Server e Sovranità del Dato: I data center primari che ospitano l'applicazione
Tornoconto si trovano fisicamente in Europa e possiedono la rigida certificazione
ISO 27001 per la gestione della sicurezza delle informazioni.
3. Resilienza e Integrità Operativa
- Business Continuity e Disaster Recovery: Eseguiamo copie di backup istantanee dei
database primari. I backup vengono a loro volta crittografati e archiviati in regioni geograficamente
separate per far fronte a emergenze imprevedibili.
- Test e Auditing di Terze Parti (Penetration Test): L'applicazione viene sottoposta
regolarmente a simulazioni di attacco (Penetration Test) da parte di esperti di sicurezza
esterni per identificare in modalità anticipata eventuali vulnerabilità.
4. Programma Bug Bounty e Responsible Disclosure
Sei un ricercatore di sicurezza informatica o semplicemente un utente con l'occhio vigile e ritieni di aver
individuato una potenziale faglia di sicurezza? Ti preghiamo di non divulgarla pubblicamente. Ti invitiamo
invece a inviare prontamente le tue scoperte seguendo le nostre policy di Responsible Disclosure
(divulgazione etica responsabile) all'indirizzo dedicato:
info@tornoconto.it
Il nostro Security Response Team ti risponderà nel più breve tempo possibile (di norma entro 48 ore) per
riconoscere il problema, valutarne la gravità e prenderne in carico la risoluzione.