Conformità & Sicurezza
Aggiornato al 5 maggio 2026
Questa pagina chiarisce che cos'è SmartCQ, dove si colloca rispetto alla normativa di settore e quali misure tecniche e organizzative adottiamo per proteggere i dati. È pensata per decision maker di mediatori creditizi, agenti finanziari e società finanziarie che valutano la piattaforma per la propria operatività sul credito al consumo.
1. Cosa è (e cosa non è) SmartCQ
SmartCQ è un software-as-a-service verticale per il credito al consumo (cessione del quinto, delega di pagamento). È un strumento tecnologico usato da agenti, mediatori e società finanziarie nel proprio lavoro quotidiano. Non sostituisce ruoli, autorizzazioni e responsabilità che restano in capo al Cliente.
SmartCQ, in modo esplicito:
- Non è un soggetto vigilatoai sensi del Testo Unico Bancario (D.Lgs. 385/1993). Non eroga credito, non raccoglie risparmio, non è iscritta all'Albo unico degli intermediari finanziari ex art. 106 TUB.
- Non è iscritta all'OAM (Organismo Agenti e Mediatori) come agente in attività finanziaria né come mediatore creditizio. Non svolge attività riservate agli iscritti agli elenchi OAM ex artt. 128-quater e 128-sexies TUB.
- Non è un Trust Service Provider qualificato ai sensi del Regolamento eIDAS (UE 910/2014). Le funzionalità di firma elettronica integrate nei moduli SmartCQ si appoggiano a TSP terzi o a meccanismi di firma elettronica avanzata (FEA) gestiti dal Cliente.
- Non è un soggetto obbligato antiriciclaggio ai sensi del D.Lgs. 231/2007. Gli adempimenti di adeguata verifica della clientela, conservazione documentale AML e segnalazione operazioni sospette restano in capo al Cliente.
- Non consulta sistemi di informazione creditizia (CRIF, Experian, CTC). Non si applica il Codice di deontologia ex provvedimento Garante n. 141/2019. Eventuali consultazioni SIC restano in capo al Cliente, all'esterno della piattaforma.
SmartCQ è la infrastruttura digitale che il Cliente usa per gestire lead, comunicazioni, contatti commerciali, pratiche e documentazione legate alla propria attività di intermediazione o agenzia. La responsabilità dei contenuti caricati, dei contatti invitati, delle comunicazioni inviate e degli adempimenti regolatori resta integralmente del Cliente.
2. Catena delle responsabilità
Capire chi risponde a chi è cruciale in un settore regolato. Lo schema sotto vale come quadro di riferimento; il dettaglio contrattuale è nei Termini di Servizio e nel DPA.
2.1 GDPR — Ruoli sul trattamento dati
| Soggetto | Ruolo | Risponde di |
|---|---|---|
| Cliente finale (interessato) | Data Subject | — |
| Cliente SmartCQ (mediatore, agente, società finanziaria) | Titolare del trattamento | Base giuridica, informativa, raccolta consenso, obblighi verso interessato, scelta del fornitore tecnologico |
| SmartCQ (Mana Hub Srl) | Responsabile del trattamento (Processor) | Misure di sicurezza, riservatezza, sub-responsabili, assistenza al Titolare, notifica breach |
| Resend, Neon, Vercel | Sub-responsabili | Erogazione servizio infrastrutturale conforme al DPA SmartCQ |
Per Clienti che operano in monomandato per una banca o società finanziaria che si qualifica come Titolare del trattamento verso il consumatore, è disponibile una variante del DPA in cui il Cliente è Processor del Titolare originario e SmartCQ è Sub-Processor. Vedi DPA — variante monomandato.
2.2 Settore credito al consumo
- Banca d'Italia vigila gli intermediari ex art. 106 TUB. Se il Cliente SmartCQ è un intermediario vigilato, la documentazione di outsourcing (notifica preventiva ai sensi della Circ. 288/2015) può essere predisposta riusando i materiali messi a disposizione da SmartCQ: template di notifica.
- OAMvigila agenti in attività finanziaria e mediatori creditizi. SmartCQ non sostituisce l'iscrizione OAM, gli obblighi di formazione, l'adeguatezza dei locali, la tenuta dei registri o gli altri adempimenti previsti.
- Garante per la protezione dei dati personaliè il regolatore di riferimento per il GDPR. SmartCQ assiste il Cliente nell'evasione delle richieste degli interessati e nella notifica di eventuali violazioni di dati personali.
3. Misure di sicurezza tecniche e organizzative
Le misure adottate sono allineate all'art. 32 GDPR e sono formalizzate nell'Allegato 2 del Data Processing Agreement. Sintesi operativa:
3.1 Crittografia
- In transito: TLS 1.2+ obbligatorio per tutto il traffico HTTP (web, API, webhook). HSTS attivo sui domini principali.
- A riposo: encryption-at-rest sui database PostgreSQL gestiti (Neon) e sui filesystem dei provider cloud sottostanti. Per dati particolarmente sensibili a livello applicativo (es. eventuali codici fiscali, IBAN, dati reddituali in moduli avanzati) sono in roadmap controlli di crittografia aggiuntiva campo-per-campo.
- Token di disiscrizione: HMAC-SHA256 non reversibile, generati con secret dedicato.
- Suppression list: gli indirizzi cancellati sono conservati come hash SHA-256 per evitare ri-invio futuro senza mantenere il dato in chiaro.
3.2 Autenticazione e accesso
- Autenticazione email + password con requisiti minimi di lunghezza e complessità. Password salvate via hashing one-way (bcrypt).
- Sessioni gestite via cookie HttpOnly Secure, scadenza configurabile per tenant.
- Architettura multi-tenant con isolamento logico forte: ogni query al database filtra obbligatoriamente per
tenant_id. Non esistono percorsi che permettano cross-tenant data access. - Principio del minimo privilegio: il personale Mana Hub accede ai sistemi solo dove strettamente necessario, con accesso tracciato.
3.3 Audit log immutabile
- Le operazioni rilevanti (creazione/modifica contatti, invii campagne, modifiche policy, accessi amministrativi) sono registrate in un audit log con hash chain SHA-256: ogni record incorpora l'hash del precedente, rendendo impossibile la modifica retroattiva senza riscrivere l'intera catena.
- Conservazione: 2 anni in linea + archivio inalterato fino a 7 anni totali (allineato ai requisiti di tracciabilità tipici del settore finanziario).
- Possibilità di verifica integrità della catena su richiesta del Cliente (audit annuale ai sensi dell'art. 9 del DPA).
3.4 Gestione del consenso e disiscrizioni
- Per ogni contatto è tracciata la base giuridica (consenso esplicito, soft spam ex art. 130 c.4, esecuzione contrattuale), la data e la fonte della raccolta.
- Link di disiscrizione obbligatorio in tutte le email di marketing. Disiscrizione effettiva entro pochi secondi dal click.
- Soglie automatiche di deliverability (bounce, complaint, unsubscribe) con blocco preventivo invii in caso di superamento. Vedi Policy d'Uso Accettabile.
3.5 Resilienza e continuità operativa
- Database: Neon PostgreSQL con Point-In-Time Recovery, replicazione regionale (Frankfurt — UE).
- Hosting applicativo: Vercel con failover edge automatico, deploy atomici, rollback istantaneo in caso di regressioni.
- Backup audit: archive log mantenuto in tabella separata fino a 7 anni con verifica periodica integrità catena.
- Monitoraggio: endpoint
/api/healthper liveness/readiness; alerting interno su degradazioni materiali del servizio.
3.6 Notifica violazione dati personali
In caso di data breach SmartCQ notifica il Cliente Titolare entro 48 ore dalla scoperta, fornendo le informazioni necessarie per gli adempimenti del Cliente verso Garante (art. 33 GDPR) e interessati (art. 34 GDPR). Vedi art. 6 del DPA.
4. Sub-responsabili e trasferimenti internazionali
L'elenco corrente dei sub-responsabili autorizzati e dei relativi meccanismi di trasferimento è pubblicato su smartcq.it/sub-processor, versionato e aggiornato in tempo reale. Modifiche notificate al Cliente con 14 giorni di preavviso.
Per i fornitori USA (Resend, Vercel) il trasferimento avviene sulla base combinata di EU-US Data Privacy Framework e Standard Contractual Clauses (Decisione 2021/914), con valutazione di impatto Schrems II disponibile su richiesta motivata.
5. Diritti degli interessati
Le richieste degli interessati ai sensi degli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) vanno indirizzate al Cliente Titolare che ha raccolto i dati (es. l'agente o la società finanziaria che ti ha contattato). Se non sai chi è il Titolare o non riesci a contattarlo, scrivi a privacy@smartcq.it: inoltreremo la richiesta al Cliente competente assistendolo nell'evasione.
Vedi Diritti GDPR per la procedura completa.
6. Audit del Cliente
Il Cliente Titolare può verificare il rispetto degli obblighi del DPA attraverso audit alle condizioni dell'art. 9 del DPA: massimo 1 audit/anno, preavviso 30 giorni, compatibilità con riservatezza degli altri Clienti. In alternativa possiamo fornire report di conformità o certificazioni di terzi indipendenti quando disponibili.
7. Contatti compliance
- Privacy & richieste interessati: privacy@smartcq.it
- DPA & sub-responsabili: dpa@smartcq.it
- Sicurezza & vulnerabilità: security@smartcq.it
- Comunicazioni generali: info@smartcq.it
Sede legale: Mana Hub Srl, Via Rockefeller 54, 07100 Sassari (SS), Italia. P.IVA 02931700906.