🔐 Sicurezza e privacy

I tuoi dati restano tuoi.
E restano in Europa.

Datacenter nell'Unione Europea, crittografia di livello bancario, backup geografici, audit log, 2FA. La contabilità contiene i dati più sensibili della tua attività: li trattiamo con la cura che meritano.

Come proteggiamo i dati

Sicurezza a più livelli.

🇪🇺

Server in UE

Datacenter in Germania (Hetzner Falkenstein) e copie geografiche aggiuntive in Finlandia. Mai trasferimento extra-UE senza adeguate garanzie.

🔒

Crittografia AES-256

Dati a riposo cifrati con AES-256-GCM. Connessioni in TLS 1.3 con HSTS. Password hash con Argon2id.

💾

Backup 3-2-1

Tre copie, su due tipi di supporto, in tre datacenter UE. RPO 1 ora, RTO 4 ore, replica continua.

🔑

2FA e IP whitelist

Autenticazione a due fattori (TOTP), session management sicuro, IP whitelist sui piani Business.

📋

Audit log completo

Ogni modifica registrata: chi, cosa, quando, da quale IP. Esportabile e immutabile.

📦

Portabilità (GDPR art. 20)

Esporti tutti i tuoi dati in formato machine-readable con un click. Nessun lock-in: i dati sono tuoi.

Certificazioni e conformità

Standard riconosciuti a livello internazionale.

FattureNet aderisce a framework di sicurezza riconosciuti e tiene aggiornate le proprie certificazioni con audit annuali da parte di enti terzi indipendenti.

ISO

ISO/IEC 27001:2022

Sistema di gestione della sicurezza delle informazioni. Audit annuale da ente accreditato Accredia.

GDPR

Regolamento UE 2016/679

Conformità integrale al GDPR: DPO nominato, registro trattamenti, valutazione d'impatto (DPIA).

CSA

Cybersecurity Act UE

Allineamento al framework ENISA per la cybersecurity dei servizi cloud, livello "Substantial".

SOC

SOC 2 Type II

Controlli su sicurezza, disponibilità, riservatezza dei dati. Report annuale disponibile su NDA.

CAD

Codice Amm. Digitale

Conformità al D.Lgs. 82/2005 per fatturazione elettronica, conservazione, firma digitale.

DORA

EU Digital Op. Resilience Act

Allineamento ai requisiti di resilienza operativa digitale (Reg. 2022/2554) per fornitori ICT.

Crittografia

Cifratura end-to-end, su ogni livello.

Algoritmi standard, chiavi gestite con KMS dedicato, rotazione periodica. Niente compromessi di "fai-da-te" sulla crittografia: solo soluzioni provate, riconosciute e auditate.

💾

Dati a riposo

AES-256-GCM

Tutti i database, gli storage di file (fatture XML, PDF, allegati) e i backup sono cifrati a riposo con AES-256 in modalità GCM. Le chiavi sono gestite da AWS KMS in regione Frankfurt con rotazione semestrale.

🌐

Dati in transito

TLS 1.3 · HSTS

Tutte le connessioni in TLS 1.3 (TLS 1.2 minimo per client legacy). HSTS preload, OCSP stapling, certificati ECDSA P-256 da Let's Encrypt con rinnovo automatico ogni 60 giorni.

🔑

Password e segreti

Argon2id

Password hashate con Argon2id (memory cost 64MB, time cost 3, parallelism 4). Secret API key con prefisso identificativo (fnt_live_, fnt_test_) e rotazione su richiesta.

🪝

Webhook firmati

HMAC-SHA256

Ogni webhook è firmato con HMAC-SHA256 sul corpo + timestamp. Protezione anti-replay con tolleranza 5 minuti. Secret per endpoint, rotabili indipendentemente.

🔐

Sessioni

JWT RS256

Sessioni utente con JWT firmati RS256 (chiave asimmetrica), durata 24h, refresh token rotanti. Cookie HttpOnly + Secure + SameSite=Strict.

📡

SDI canale accreditato

SOAP + Cert client

Comunicazione col Sistema di Interscambio via canale SDIPB52 con certificato client X.509 a 2048 bit, autenticazione mTLS verso i web service AdE.

Backup e disaster recovery

I tuoi dati, al sicuro anche dall'imprevisto.

Strategia 3-2-1 con replica multiregione, ripristino testato trimestralmente. Se accade qualcosa al datacenter primario, il servizio riparte da una copia in pochi minuti.

💾
Regola del 3-2-1. 3 copie dei dati, su 2 tipi di supporto diversi (storage SSD primario + object storage S3-compatibile), in 3 location geografiche UE: Falkenstein (DE), Helsinki (FI), Nuremberg (DE) come backup freddo offsite.
⏱️
RPO 1 ora. Il Recovery Point Objective è di 1 ora: in caso di disastro, perderesti al massimo 60 minuti di dati. Le repliche del database avvengono in streaming continuo, gli snapshot oggetti ogni 15 minuti.
🚀
RTO 4 ore. Il Recovery Time Objective è di 4 ore: in caso di disastro completo del datacenter primario, il servizio riparte completamente operativo da quello secondario entro 4 ore. Test trimestrali documentati.
🗑️
Retention 90 giorni. Conserviamo backup giornalieri per 30 giorni, settimanali per 12 settimane, mensili per 12 mesi. Su richiesta del titolare, ripristino puntuale a qualsiasi istante degli ultimi 90 giorni (point-in-time recovery).
99,95%
SLA uptime annuo
1h
RPO max perdita dati
4h
RTO ripristino servizio
3
copie geografiche UE
Accessi e audit

Sapere chi ha fatto cosa.

📜

Audit log immutabile

Ogni operazione (login, creazione fattura, modifica anagrafica, esportazione dati, cambio impostazione) viene registrata in log immutabile con timestamp, utente, IP, user-agent. Storico minimo 24 mesi.

🔐

Autenticazione 2FA

2FA obbligatorio per ruoli amministratore. App TOTP (Google Authenticator, Authy, 1Password). Backup codes per emergenze. SSO SAML 2.0 sui piani Enterprise.

👥

Ruoli e permessi

10 ruoli predefiniti più ruoli custom. Permessi granulari per modulo (fatture, banca, prima nota, analisi). Restrizioni per ufficio, area geografica, importo limite.

🌐

IP whitelist

Sui piani Business in su, restringi l'accesso al gestionale solo a IP autorizzati (ufficio, VPN aziendale). Doppia conferma per accessi anomali.

Sessioni timeout

Session timeout configurabile (default 8 ore di inattività, max 24 ore assoluti). Logout forzato su tutti i dispositivi per cambio password o evento di sicurezza.

🚨

Alert anomalie

Notifica email su login da nuovo dispositivo/paese, esportazione massiva dati, tentativi falliti ripetuti, modifica di anagrafica con saldo aperto.

Conformità leggi italiane

In regola con tutta la normativa italiana.

FattureNet rispetta integralmente la normativa fiscale e privacy italiana ed europea. Tutte le funzionalità sono state validate da consulenti legali specializzati.

Norma di riferimentoAmbitoStato
Regolamento UE 2016/679 (GDPR)Trattamento dati personali — base giuridica art. 6, informativa art. 13, diritti capo III✓ Conforme
D.Lgs. 196/2003 e 101/2018 (Codice Privacy)Adeguamento italiano del GDPR — informativa e consenso✓ Conforme
D.Lgs. 82/2005 (CAD)Codice Amministrazione Digitale — firma elettronica, conservazione digitale✓ Conforme
DPR 633/72 (IVA)Disciplina IVA, registri obbligatori, fatturazione elettronica art. 21✓ Conforme
D.M. 17/06/2014Modalità di assolvimento obblighi fiscali in formato digitale✓ Conforme
Provv. AdE 30/04/2018Specifiche tecniche fatturazione elettronica SDI✓ Conforme
L. 633/41 (Diritto d'autore)Copyright sui contenuti utente — proprietà dell'utente✓ Conforme
D.Lgs. 231/01Responsabilità amministrativa enti — modello organizzativo✓ Conforme
Datacenter

Perché Hetzner Falkenstein.

La scelta del datacenter è una delle decisioni di sicurezza più importanti. Abbiamo scelto Hetzner Online GmbH in Falkenstein (Sassonia, Germania) per ragioni precise.

🇪🇺
Pieno controllo europeo. Hetzner è una società tedesca privata, controllata dai fondatori, senza partecipazioni statunitensi o asiatiche. Soggetta esclusivamente al GDPR e alla giurisdizione tedesca/UE. Non si applica il CLOUD Act USA.
Datacenter Tier IV equivalente. Falkenstein è un campus composto da 19 edifici con ridondanza N+1 su elettricità, raffreddamento e rete. Alimentazione al 100% da fonti rinnovabili. Certificazioni ISO 27001 e ISO 9001 vigenti.
🔋
Sostenibilità. 100% energia rinnovabile (idroelettrica e eolica), PUE 1,16 (eccellente, contro media industria 1,5+). FattureNet partecipa al programma "carbon-neutral hosting" di Hetzner senza costi aggiuntivi.
🌍
Latenza ottimizzata Italia. Da Cuneo (sede FattureNet) e dalle principali città italiane, la latenza media verso Falkenstein è 18-25 ms — paragonabile a datacenter in Italia centrale. Edge cache CDN aggiuntiva a Milano, Roma e Palermo.
Domande frequenti

FAQ sulla sicurezza.

I miei dati possono essere visti dai dipendenti di AVANET?

No. L'accesso ai dati cliente è limitato a un ristretto gruppo di operations engineer su base "need-to-know", richiede approvazione del DPO, viene registrato e archiviato per 24 mesi. La crittografia at-rest è progettata in modo che nessuno può leggere il database senza autorizzazione esplicita. L'assistenza tecnica vede sempre e solo metadati (es: "fattura n°123 del cliente X non si invia"), mai contenuti dei documenti.

Cosa succede se AVANET cessa l'attività?

Hai sempre la possibilità di esportare tutti i tuoi dati in formato XML/JSON/PDF con un click (art. 20 GDPR). Inoltre, esiste un escrow agreement: codice sorgente e backup completi sono depositati presso notaio indipendente, con clausola di rilascio automatico in caso di insolvenza o cessazione del servizio per più di 60 giorni. Garanzia ulteriore di continuità.

Posso richiedere l'accesso ai log del mio account?

Sì. Nei piani Business e superiori, hai accesso diretto in app all'audit log con filtri e ricerca. Sui piani inferiori puoi richiedere un export via supporto. In ogni caso, ai sensi dell'art. 15 GDPR (diritto di accesso), puoi richiedere una copia completa dei dati trattati entro 30 giorni.

Cosa succede se subisco un attacco al mio account?

Hai un meccanismo di emergenza: dalla pagina account puoi forzare il logout di tutte le sessioni, rigenerare le API key, attivare l'IP whitelist temporaneo. Inoltre, FattureNet ha un sistema di anomaly detection che blocca automaticamente comportamenti sospetti (es: 1.000 fatture create in 5 minuti, esportazione massiva dati a IP non visto prima, modifiche a IBAN nelle anagrafiche). In caso di breach reale, notifica al Garante entro 72 ore come da GDPR art. 33.

I dati sono cifrati in modo che neanche AVANET possa leggerli?

I dati sono cifrati at-rest con chiavi gestite da AVANET (necessarie per processarli). Per la "vera" end-to-end encryption servirebbe che le chiavi fossero solo client-side, ma renderebbe impossibili funzioni essenziali (ricerca, calcoli IVA, generazione XML, AI). È un trade-off ragionato: il modello attuale combina la massima usabilità con la massima sicurezza compatibile. Per esigenze enterprise particolari (es: HSM dedicato cliente), contattaci.

FattureNet usa AI: i miei dati vengono usati per addestrare modelli?

No, mai. I provider AI usati (Anthropic Claude, Mistral) sono configurati in modalità "no-training": i tuoi dati non entrano nei dataset di training. Le richieste sono effimere e cancellate dopo il completamento. Inoltre, per molte funzioni AI (es: parser PDF) usiamo provider con server UE per garantire GDPR. Dettagli sull'AI.

Affidaci i tuoi conti con fiducia.

7 giorni gratis, nessuna carta richiesta.

Iniziare gratis Leggi la privacy policy