SecuRising - Researcher Terms & Conditions

Ultimo aggiornamento: Marzo 2026

Sede Legale: Corso Castelfidardo, 30/a, 10129 Torino (TO), Italia.

I presenti Termini e Condizioni ("T&C per Ricercatori") regolano l'accesso e la partecipazione dei ricercatori di sicurezza (penetration tester/ethical hacker) alla piattaforma SecuRising.

1. Definizioni

  • Asset: Un sistema ICT, rete, tecnologia, infrastruttura, applicazione o software comunicato da un'Azienda nel suo Programma, al fine di farne valutare la sicurezza dai Ricercatori.
  • Azienda (Company): Un cliente di SecuRising che utilizza la Piattaforma per connettersi ai Ricercatori tramite uno o più Programmi.
  • Bounty: Una ricompensa monetaria assegnata ai Ricercatori che segnalano con successo una Vulnerabilità valida nell'Asset dell'Azienda, inclusi gli importi previsti per le segnalazioni duplicate, secondo le soglie e i criteri tempo per tempo stabiliti dalla Piattaforma.
  • Piattaforma: L'infrastruttura web gestita da SecuRising.
  • Programma: L'iniziativa di sicurezza di un'Azienda pubblicata sulla Piattaforma, tramite la quale autorizza i Ricercatori a testare la sicurezza dell'Asset in scope.
  • Ricercatore (Researcher): Un ricercatore di sicurezza indipendente (ethical hacker) che partecipa a uno o più Programmi.
  • Submission (Segnalazione): La descrizione di una Vulnerabilità identificata da un Ricercatore in un Asset.
  • Vulnerabilità: Un bug, difetto, debolezza o errore di configurazione che compromette la sicurezza delle tecnologie dell'informazione dell'Azienda.

2. Ruolo della Piattaforma

SecuRising fornisce la Piattaforma come strumento di comunicazione e transazione tra Aziende e Ricercatori. SecuRising opera esclusivamente come coordinatore. I Ricercatori operano sulla Piattaforma in modo volontario e come contraenti indipendenti. SecuRising non è responsabile per le interazioni dirette tra Azienda e Ricercatore.

3. Registrazione e Account

Creando un account, confermi di:

  • Avere almeno 18 anni di età.
  • Non essere soggetto a restrizioni legali o contrattuali (es. con il tuo datore di lavoro) che ti impediscano di eseguire attività di Ethical Hacking. Il tuo account è strettamente personale e non cedibile. SecuRising si riserva il diritto di sospendere o disabilitare l'accesso in caso di abuso o violazione dei presenti T&C.

4. Partecipazione ai Programmi e Regole di Ingaggio (RoE)

Se decidi di partecipare a un Programma, accetti espressamente di:

  • Leggere attentamente e rispettare lo scope e le condizioni del Programma (Program Conditions) prima di accedere a qualsiasi Asset.
  • Utilizzare tecniche di Ethical Hacking esclusivamente per testare la sicurezza dell'Asset in scope.
  • Agire in conformità con le leggi applicabili, in particolare in materia di comunicazioni elettroniche, privacy e protezione dei dati.

Attenzione: Applicare tecniche di hacking al di fuori dello scope, o in violazione delle condizioni del Programma, costituisce reato ai sensi della legge italiana (es. Art. 615-ter del Codice Penale - Accesso abusivo a sistema informatico). Le Aziende e SecuRising si riservano il diritto di sporgere denuncia penale.

5. Azioni Proibite

Durante l'utilizzo della Piattaforma e l'analisi degli Asset, È SEVERAMENTE VIETATO:

  • Sfruttare una Vulnerabilità oltre quanto strettamente necessario per dimostrarne l'esistenza (Proof of Concept).
  • Eseguire attacchi di tipo (Distributed) Denial of Service (DoS o DDoS).
  • Eseguire attacchi di Social Engineering o Physical Security.
  • Installare o distribuire malware, backdoor o virus.
  • Modificare, cancellare o alterare in alcun modo i dati dell'Azienda.
  • Infiltrare sistemi di terze parti non inclusi nello scope. Se accade accidentalmente, l'attività deve essere interrotta e segnalata immediatamente.

6. Segnalazioni (Submissions)

Se individui una Vulnerabilità, devi segnalarla tempestivamente ed esclusivamente tramite la Piattaforma. La segnalazione deve essere chiara, concisa e contenere i passaggi esatti per la riproduzione (Steps to Reproduce).

7. Triage Interno, Duplicati e Pagamento dei Bounty

  • Triage e Validazione: Le segnalazioni (Submissions) inviate non vengono inoltrate direttamente o automaticamente all'Azienda. Ogni Vulnerabilità viene presa in carico, riprodotta e validata (Triage) esclusivamente dallo staff tecnico di SecuRising. La decisione dello staff di SecuRising in merito alla validità tecnica, all'impatto e al livello di gravità (Severity) della Vulnerabilità è insindacabile e finale.
  • Gestione dei Duplicati (Duplicates): SecuRising incentiva il lavoro della community premiando le segnalazioni valide anche qualora la stessa Vulnerabilità sia già stata scoperta da un altro utente. Il Bounty viene assegnato ai primi Ricercatori che inviano la medesima segnalazione, fino a un numero massimo limitato di duplicati. Il limite massimo di duplicati retribuibili e le relative percentuali di compenso scalari sono determinati in modo insindacabile dalle policy di SecuRising o dalle regole del singolo Programma, e possono essere modificati nel tempo senza preavviso.
  • Liquidazione dei Compensi: I Bounty confermati in fase di Triage vengono liquidati direttamente da SecuRising al Ricercatore. Il Ricercatore è l'unico responsabile per la dichiarazione e il pagamento di tutte le tasse, imposte e contributi previdenziali applicabili ai Bounty ricevuti in base alla propria giurisdizione fiscale e al proprio inquadramento professionale. Tutti i pagamenti avverranno in Euro.

8. Riservatezza (NDA) e Divulgazione

Tutte le informazioni, i dati aziendali (Company Data) e i dettagli delle Vulnerabilità scoperti tramite SecuRising sono considerati Informazioni Confidenziali.

  • È fatto divieto assoluto di divulgare tali informazioni a terzi.
  • La divulgazione pubblica (Public Disclosure) di una Vulnerabilità è consentita solo ed esclusivamente previo accordo scritto tra il Ricercatore e l'Azienda, tramite la Piattaforma. Il Ricercatore sarà ritenuto legalmente responsabile per eventuali danni derivanti dalla violazione di tale obbligo di riservatezza.

9. Protezione dei Dati Personali (GDPR)

Durante le attività di test, potresti entrare in contatto con dati personali. Sei tenuto a rispettare rigorosamente il Regolamento (UE) 2016/679 (GDPR).

  • Se l'accesso a dati personali (PII) dimostra una Vulnerabilità, devi interrompere immediatamente l'attività e inviare la segnalazione.
  • È vietato navigare nei dati aziendali, copiarli, scaricarli o esfiltrarli. L'acquisizione di prove (es. screenshot) deve essere limitata al minimo indispensabile per dimostrare l'impatto e i dati devono essere cancellati dai tuoi sistemi immediatamente dopo l'invio della segnalazione.

10. Proprietà Intellettuale

Il Ricercatore mantiene la proprietà intellettuale sulle proprie Segnalazioni. Tuttavia, inviando una Submission tramite SecuRising, il Ricercatore concede:

  • All'Azienda: una licenza irrevocabile, mondiale e gratuita per utilizzare, riprodurre e modificare la segnalazione al fine di risolvere la Vulnerabilità.
  • A SecuRising: una licenza irrevocabile, mondiale e gratuita per utilizzare la segnalazione al fine di gestire le operazioni della Piattaforma.

11. Limitazione di Responsabilità

SecuRising fornisce la Piattaforma "COSÌ COM'È" (AS IS). Nella misura massima consentita dalla legge, SecuRising declina ogni responsabilità per le azioni dei Ricercatori o delle Aziende. Il Ricercatore è direttamente responsabile nei confronti dell'Azienda per eventuali danni causati da negligenza, dolo o violazione delle presenti regole di ingaggio durante i test. In caso di disputa con un'Azienda, il Ricercatore manleva SecuRising da qualsiasi reclamo o richiesta di risarcimento.

12. Legge Applicabile e Foro Competente

I presenti T&C e qualsiasi disputa derivante dalla partecipazione ai Programmi tramite SecuRising sono regolati dalla Legge Italiana. Per qualsiasi controversia che non possa essere risolta amichevolmente, sarà competente in via esclusiva il Foro di Torino. Le parti riconoscono il pieno valore probatorio dei log della Piattaforma e delle comunicazioni digitali.