SmartCQ

Template notifica outsourcing — Banca d'Italia

Aggiornato al 5 maggio 2026 · Documento informativo, non sostitutivo della valutazione di compliance del Cliente

Questa pagina mette a disposizione degli intermediari finanziari iscritti all'Albo unico ex art. 106 TUB un modello editabile per la notifica preventiva di esternalizzazione di funzioni operative importanti (FOI) verso SmartCQ, ai sensi della Circolare Banca d'Italia n. 288/2015 (Disposizioni di vigilanza per gli intermediari finanziari), Parte Prima, Titolo III, Capitolo 1 — Sistema dei controlli interni, Sezione VII — Esternalizzazione di funzioni aziendali.

Il template non sostituiscela valutazione che il Cliente deve compiere autonomamente o con il proprio consulente legale e di compliance, in particolare riguardo alla qualificazione della funzione esternalizzata come "importante" e all'analisi dei rischi associati. Per Clienti che operano come agenti o mediatori OAM e non come intermediari ex art. 106, la notifica a Banca d'Italia non è dovuta; gli adempimenti residuali sono quelli previsti dalla disciplina OAM e dalla normativa antiriciclaggio.

1. Dati identificativi del fornitore

DenominazioneMana Hub Srl (operante con il marchio SmartCQ)
Forma giuridicaSocietà a responsabilità limitata di diritto italiano
Sede legaleVia Rockefeller 54, 07100 Sassari (SS), Italia
P.IVA / Codice Fiscale02931700906
Iscrizione startup innovativaIncubatore CUBEACT — Università di Sassari (sezione speciale Registro Imprese)
Stabilimento principale del trattamento datiItalia (Sassari) + region cloud Frankfurt — UE
Riferimento contrattualeTermini di Servizio, Data Processing Agreement, DPA — variante monomandato (se applicabile)
Contatto compliancedpa@smartcq.it

2. Funzioni esternalizzate

A seconda dei moduli SmartCQ attivati per il Cliente, le funzioni oggetto di esternalizzazione possono comprendere:

  • Acquisizione e gestione lead commerciali (modulo Lead): archiviazione contatti, segmentazione, invio campagne email e gestione metriche di deliverability.
  • Gestione anagrafica clienti e CRM commerciale (modulo CRM): pipeline opportunità, attività, task, storico interazioni.
  • Gestione pratiche di credito al consumo (modulo Pratica): intake documentazione, gestione del fascicolo, tracciamento stato istruttoria, integrazione con firma elettronica (se prevista).
  • Simulazione e comparazione offerte(modulo Offerta): strumenti di calcolo a supporto dell'attività di consulenza del Cliente.
  • Reporting e analitica (modulo Insights): aggregazione dati cross-modulo per dashboard direzionali.

Il Cliente identifica nel proprio dossier interno quali fra queste funzioni qualifichino come "FOI" ai sensi della Circ. 288/2015 e adegua la notifica di conseguenza.

3. Misure di tutela e presidi di rischio

Le misure tecniche e organizzative adottate da SmartCQ sono formalizzate nell'Allegato 2 del DPA e nella pagina Conformità & Sicurezza. In sintesi:

  • Crittografia in transito (TLS 1.2+) e a riposo (encryption provider cloud);
  • Architettura multi-tenant con isolamento logico per tenant_id;
  • Audit log immutabile con hash chain SHA-256, conservazione 2 anni in linea + archivio fino a 7 anni;
  • Notifica violazione dati personali entro 48 ore dalla scoperta (art. 6 DPA);
  • Lista sub-responsabili pubblica e versionata (/sub-processor);
  • Diritti di audit del Cliente (art. 9 DPA) estendibili al Titolare originario nella variante monomandato.

4. Continuità operativa e exit strategy

  • Database: PostgreSQL gestito (Neon) con Point-In-Time Recovery e replicazione regionale UE.
  • Hosting applicativo: Vercel con deploy atomici e rollback istantaneo.
  • Esportazione dati: il Cliente può esportare in ogni momento contatti e pratiche in formati strutturati (CSV / JSON), conservando la propria capacità di portare i dati su fornitori alternativi.
  • Restituzione/cancellazione alla cessazione: art. 10 DPA, su istruzione del Cliente, entro 90 giorni dalla terminazione del contratto.

5. Modello di nota informativa (testo editabile)

Il Cliente può copiare, adattare al proprio contesto e integrare nel proprio dossier di outsourcing il testo che segue. Le sezioni in corsivo sono da personalizzare.

Spett.le Banca d'Italia Servizio Vigilanza Bancaria e Finanziaria Oggetto: Notifica di esternalizzazione di funzioni operative importanti ai sensi della Circolare n. 288/2015, Parte I, Tit. III, Cap. 1, Sez. VII. [Denominazione intermediario], iscritto all'Albo unico degli intermediari finanziari ex art. 106 TUB al n. [..], comunica l'esternalizzazione delle funzioni di seguito indicate verso il fornitore Mana Hub Srl (P.IVA 02931700906) operante con il marchio SmartCQ. 1. Funzione esternalizzata [descrivere: es. "gestione lead commerciali e comunicazione email transazionale e di marketing", "gestione delle pratiche di credito al consumo - cessione del quinto - in ambiente CRM"] 2. Qualificazione FOI La funzione è qualificata come [importante / non importante] sulla base dei criteri di cui alla Sez. VII, par. 2. 3. Fornitore Mana Hub Srl, sede legale Via Rockefeller 54 - 07100 Sassari (SS), P.IVA 02931700906. Forma giuridica: Srl di diritto italiano. 4. Decorrenza [data prevista di avvio dell'esternalizzazione] 5. Misure di tutela - Contratto di servizio: Termini di Servizio SmartCQ + Data Processing Agreement art. 28 GDPR (testo integrale allegato). - Misure tecniche di sicurezza: cfr. Allegato 2 DPA (crittografia, isolamento multi-tenant, audit log immutabile, retention 7 anni). - Sub-responsabili: lista versionata pubblica con preavviso 14 giorni (smartcq.it/sub-processor). - Notifica violazione dati personali entro 48 ore (art. 6 DPA). - Diritti di audit annuali (art. 9 DPA). 6. Continuità operativa - Database Neon con PITR; hosting Vercel con failover edge. - Esportazione strutturata dei dati attivabile dall'intermediario tramite la piattaforma. - Restituzione/cancellazione dati alla cessazione (art. 10 DPA). 7. Localizzazione del trattamento Italia (sede SmartCQ) + region cloud Frankfurt (UE) per il database. Trasferimenti extra-UE limitati a fornitori cloud USA (Vercel, Resend) con EU-US Data Privacy Framework e Standard Contractual Clauses. 8. Referente interno [denominazione intermediario] [Nome, ruolo, email, telefono] Distinti saluti, [firma legale rappresentante] [data]

6. Documentazione di supporto fornita da SmartCQ

Su richiesta motivata a dpa@smartcq.it, SmartCQ fornisce:

  • copia firmata del DPA e degli allegati;
  • certificato di iscrizione al Registro Imprese;
  • dichiarazione di sede principale del trattamento e localizzazione dei dati;
  • report sintetico delle misure di sicurezza con riferimenti alla documentazione tecnica;
  • riferimenti alla Transfer Impact Assessment per i trasferimenti extra-UE (Schrems II).

7. Documenti collegati

Per richieste di personalizzazione del modello, valutazioni congiunte di rischio o supporto al pre-assessment Banca d'Italia: dpa@smartcq.it.

← Torna alla home