SecuRising - Customer Terms & Conditions (B2B)

Ultimo aggiornamento: Marzo 2026

Sede Legale: Corso Castelfidardo, 30/a, 10129 Torino (TO), Italia.

I presenti Termini e Condizioni ("T&C per Clienti") regolano l'utilizzo della piattaforma SecuRising da parte delle Aziende ("Clienti") che intendono sottoporre le proprie infrastrutture, applicazioni web, mobile o sistemi ("Asset") a test di sicurezza informatica in crowdsourcing ("Programmi") da parte di ricercatori indipendenti ("Ricercatori").

1. Natura del Servizio e Autorizzazione ai Test (Manleva)

Pubblicando un Programma sulla Piattaforma SecuRising, il Cliente concede esplicitamente, a SecuRising e ai Ricercatori ammessi al Programma, l'autorizzazione formale a sondare, scansionare e testare la sicurezza degli Asset definiti nello Scope. Il Cliente riconosce che tali attività costituiscono "Ethical Hacking" e dichiara che non intraprenderà alcuna azione legale (né in sede civile né penale, es. ex Art. 615-ter c.p.) contro SecuRising o i Ricercatori per le attività svolte in stretta conformità con le Regole di Ingaggio (RoE) del Programma.

2. Garanzie e Obblighi del Cliente

Il Cliente dichiara e garantisce di:

  • Essere il legittimo proprietario degli Asset inseriti nel Programma o di possedere un'autorizzazione scritta, esplicita e valida da parte dei legittimi proprietari per sottoporre tali Asset a test di sicurezza (penetration test).
  • Definire in modo accurato e non ambiguo il perimetro dei test (In-Scope) e le aree escluse (Out-of-Scope).
  • Mantenere backup aggiornati e funzionanti di tutti i dati, codici e sistemi presenti negli Asset prima e durante l'esecuzione del Programma. SecuRising si riserva il diritto di sospendere o rimuovere qualsiasi Programma che violi le leggi vigenti o che esponga la Piattaforma a rischi ingiustificati.

3. Modello a Crediti, Validazione e Compensi (Bounty)

Il modello operativo ed economico di SecuRising si basa sull'acquisto di crediti da parte del Cliente, utilizzati per finanziare le ricompense (Bounty) destinate ai Ricercatori.

  • Acquisto Crediti: Per attivare un Programma, il Cliente deve acquistare preventivamente un pacchetto di crediti tramite la Piattaforma. Tali crediti costituiscono il fondo esclusivo da cui verranno scalati i compensi per le vulnerabilità identificate.
  • Triage e Validazione Interna: A differenza dei modelli tradizionali, il Cliente non è gravato dall'onere di validare tecnicamente le segnalazioni (Submissions). Ogni vulnerabilità inviata dai Ricercatori viene analizzata, verificata e validata esclusivamente dallo staff tecnico specializzato di SecuRising (Triage Interno).
  • Assegnazione dei Bounty: Una volta che lo staff di SecuRising conferma la validità tecnica e il livello di gravità (Severity) della vulnerabilità, SecuRising determinerà e liquiderà in autonomia il compenso al Ricercatore. Il relativo importo verrà scalato automaticamente dal saldo crediti del Cliente, in base alla severità della vulnerabilità determinata dal CVSSv3 vector.

4. Limitazione di Responsabilità

I servizi di penetration testing comportano rischi intrinseci per la stabilità e la disponibilità dei sistemi IT. SecuRising fornisce la piattaforma e l'accesso alla community di Ricercatori "COSÌ COM'È" (AS IS). Nella misura massima consentita dalla legge applicabile:

  • SecuRising non è responsabile per eventuali interruzioni di servizio (Downtime), perdita di dati, corruzione di database o danni indiretti (inclusi mancati profitti o danni d'immagine) derivanti dalle attività di test eseguite dai Ricercatori sugli Asset del Cliente.
  • La responsabilità aggregata di SecuRising nei confronti del Cliente, per qualsiasi reclamo derivante dal presente accordo, non supererà in nessun caso l'importo totale delle Platform Fee pagate dal Cliente a SecuRising nei dodici (12) mesi precedenti l'evento che ha generato il danno.

5. Riservatezza (NDA) e Gestione delle Vulnerabilità

Le parti concordano di mantenere la massima riservatezza su tutte le informazioni scambiate.

  • Segretezza delle Vulnerabilità: SecuRising impone ai propri Ricercatori rigidi accordi di non divulgazione (NDA). Tuttavia, SecuRising non può garantire in modo assoluto le azioni di terzi indipendenti. In caso di violazione dell'NDA da parte di un Ricercatore, SecuRising collaborerà con il Cliente fornendo i log e l'identità dei Ricercatori iscritti all'attività, per consentire al Cliente di tutelare i propri diritti nelle sedi opportune.
  • Divulgazione Pubblica (Public Disclosure): Il Cliente ha il controllo totale sulla divulgazione. Nessuna vulnerabilità sarà resa pubblica senza il previo consenso scritto del Cliente.

6. Protezione dei Dati Personali (Privacy)

Qualora durante un test i Ricercatori dovessero avere accesso accidentale a dati personali trattati dal Cliente, il Cliente rimane l'unico Titolare del Trattamento (Data Controller) ai sensi del GDPR (Regolamento UE 2016/679). SecuRising vieta espressamente ai Ricercatori l'esfiltrazione, il salvataggio o la copia di dati personali dai sistemi del Cliente.

7. Legge Applicabile e Foro Competente

I presenti T&C sono regolati e interpretati in conformità con la Legge Italiana. Per qualsiasi controversia derivante o connessa ai presenti T&C o all'utilizzo della Piattaforma da parte del Cliente, sarà competente in via esclusiva il Foro di Torino.