|

IT

|

Codice etico

MAGELLANO TECH SOLUTIONS SRL

P.IVA 16801361003 — Via dei Due Macelli 60, 00187 Roma

CODICE ETICO

Revisione 02 — 24 maggio 2026 Integrazione con gli standard del Sistema di Gestione Integrato in materia di Ambiente, Salute e Sicurezza sul Lavoro, Diversità, Equità e Inclusione, Continuità Operativa e Gestione Servizi IT ISO 9001:2015 — ISO 14001:2015 — ISO 45001:2023 — ISO/IEC 27001:2022 ISO/IEC 27017 — ISO/IEC 27018 — ISO/IEC 27701 — ISO/IEC 42001:2023 ISO/IEC 20000-1 — ISO 22301 — ISO 37001:2025 UNI/PdR 125:2022 — UNI/PdR 159:2024 — UNI/PdR 192:2026 — ISO 30415 Reg. (UE) 2024/1689 (AI Act) — L. 132/2025 — D.Lgs. 231/2001
Approvato da Consiglio di Amministrazione
Predisposto da CTO/CISO Alessandro Santandrea + DPO Francesco Paolucci
Verificato da RGSI Barbara Murri
Classificazione Diffusione obbligatoria a tutti i destinatari

1. Oggetto, finalità e natura vincolante

Il presente Codice Etico (di seguito, il “Codice”) disciplina in modo puntuale e non equivoco i principi, le regole di condotta e gli standard operativi cui devono attenersi Magellano Tech S.r.l. (di seguito, “Magellano” o la “Società”) e tutti i soggetti che operano nell’interesse della Società o possono influenzarne l’attività, le decisioni, la reputazione o il rischio. Il Codice ha cinque finalità principali: (i) orientare le decisioni e i comportamenti quotidiani verso criteri di legalità, integrità e responsabilità; (ii) prevenire condotte improprie o illecite, riducendo i rischi legali, reputazionali e operativi; (iii) definire regole chiare in settori a elevata esposizione (IT, dati, contenuti, AI, marketing, rapporti istituzionali); (iv) costituire il quadro etico di riferimento per il Sistema di Gestione Integrato della Società, che abbraccia qualità, sicurezza delle informazioni, ambiente, salute e sicurezza sul lavoro, intelligenza artificiale, continuità operativa, gestione dei servizi IT, anticorruzione, diversità, equità e inclusione; (v) rendere tracciabili e verificabili le scelte aziendali, specie quando coinvolgono clienti, fornitori, Pubblica Amministrazione, autorità e soggetti terzi. Il Codice non è una dichiarazione di intenti: contiene obblighi di comportamento. Ogni deroga è vietata salvo autorizzazione formale, motivata e tracciata, nei limiti di legge e senza pregiudizio per i principi inderogabili di legalità, correttezza e tutela di terzi.

2. Destinatari e obbligo di conoscenza

Il Codice si applica a: soci, amministratori, dirigenti, dipendenti, collaboratori, consulenti, professionisti esterni, partner, fornitori e a qualunque soggetto terzo che operi in nome o per conto di Magellano o che, di fatto, possa influenzarne attività, decisioni, reputazione o rischio. Tutti i destinatari hanno l’obbligo di: (i) leggere e comprendere il Codice; (ii) rispettarlo integralmente; (iii) richiedere chiarimenti in caso di dubbio prima di agire; (iv) segnalare tempestivamente violazioni o situazioni di rischio; (v) collaborare in modo leale a verifiche e controlli.

3. Principi inderogabili

Legalità

Ogni attività deve essere svolta nel pieno rispetto delle leggi e delle normative applicabili. Nessun obiettivo economico o commerciale può giustificare la violazione di norme, provvedimenti, autorizzazioni, licenze o obblighi contrattuali.

Integrità sostanziale

È vietato ogni comportamento formalmente corretto ma sostanzialmente scorretto, elusivo o idoneo a ingannare clienti, partner, istituzioni, utenti finali o il mercato. Si richiede trasparenza reale, non di facciata.

Trasparenza e verificabilità

Le informazioni rilevanti (tecniche, economiche, commerciali, editoriali) devono essere rappresentate in modo veritiero, completo e verificabile. Le decisioni rilevanti devono essere tracciate e riconducibili a responsabilità definite.

Competenza e qualità

Magellano opera con standard tecnici elevati e orientamento alla qualità concreta. Sono vietate promesse non supportate da analisi, metriche, evidenze, test o competenze adeguate.

Riservatezza e tutela dei dati

Le informazioni riservate e i dati personali vanno trattati con rigore, minimizzazione, sicurezza e rispetto delle autorizzazioni. Ogni utilizzo non autorizzato è vietato.

Responsabilità, proporzionalità e supervisione umana

Ogni attività deve essere proporzionata al rischio; quando il rischio aumenta, devono aumentare anche controlli, autorizzazioni, tracciabilità e misure di mitigazione. Questo principio si applica con particolare rigore ai sistemi di intelligenza artificiale, per i quali è sempre garantita una forma di supervisione umana proporzionata al livello di rischio.

Sostenibilità ambientale

Magellano riconosce la responsabilità di minimizzare l’impatto ambientale delle proprie attività e si impegna a operare secondo principi di prevenzione dell’inquinamento, uso efficiente delle risorse, riduzione dei rifiuti e delle emissioni. Ogni decisione operativa e di acquisto deve considerare gli effetti sull’ambiente e privilegiare, a parità di condizioni, le soluzioni a minor impatto ambientale. Il principio si estende alla catena di fornitura: è vietato trasferire a terzi oneri ambientali che la Società ha il dovere di gestire direttamente.

Salute e sicurezza sul lavoro

La tutela della salute e della sicurezza delle persone che operano per Magellano o nei suoi luoghi di lavoro è valore inderogabile e prioritario rispetto a qualsiasi esigenza produttiva, commerciale o di budget. Magellano si impegna a identificare, valutare e ridurre i rischi per la salute e la sicurezza, a garantire luoghi di lavoro sicuri e salubri, e a promuovere una cultura della prevenzione partecipata. Ogni persona ha il diritto e il dovere di segnalare condizioni di pericolo senza timore di ritorsioni.

Inclusione, diversità e parità

Magellano promuove un ambiente di lavoro fondato sul rispetto della dignità di ogni persona, sulla valorizzazione delle differenze e sull’eliminazione di ogni forma di discriminazione. La parità di genere, la conciliazione tra vita professionale e familiare, l’accessibilità per le persone con disabilità e l’equità retributiva sono impegni concreti, non dichiarazioni di principio. I processi di selezione, valutazione, sviluppo e retribuzione devono essere basati esclusivamente su competenze, risultati e potenziale, senza alcuna discriminazione diretta o indiretta.

4. Obblighi specifici per amministratori, dirigenti e figure apicali

Per “figure apicali” si intendono amministratori, dirigenti, responsabili di funzione e, in generale, chiunque eserciti poteri di rappresentanza, direzione o gestione, anche di fatto.

Obbligo di “tone from the top”

Le figure apicali devono essere il primo presidio etico e operativo: il loro comportamento costituisce standard per l’organizzazione. È vietato richiedere, tollerare o incentivare condotte scorrette, anche indirettamente.

Obbligo di organizzazione e controllo

Le figure apicali devono predisporre e mantenere un sistema di procedure coerente con i rischi aziendali: deleghe chiare, segregazione dei compiti ove necessario, livelli autorizzativi, controlli, registrazioni e conservazione documentale. È vietato creare aree di opacità o assenza di controllo.

Obbligo di tracciabilità delle decisioni rilevanti

Ogni decisione significativa deve essere documentata, motivata e approvata secondo i processi interni.

Obbligo di prevenzione dei conflitti di interesse

Le figure apicali devono prevenire conflitti attuali o potenziali. Ogni possibile conflitto deve essere dichiarato prima che produca effetti.

Obbligo di presidio reputazionale e informativo

Le figure apicali devono garantire che comunicazioni, claim commerciali, contenuti editoriali e pubblicitari rispettino criteri di verità, trasparenza e conformità normativa.

Obbligo di presidio cyber e dati

Le figure apicali devono assicurare risorse, competenze e priorità adeguate a sicurezza informatica, continuità operativa e protezione dati.

Obbligo di segnalazione e reazione

Ogni anomalia rilevante deve essere segnalata tempestivamente e gestita con azioni tracciate. Omettere o ritardare è violazione grave.

5. Rapporti con clienti: regole operative non negoziabili

Chiarezza dell’offerta e fattibilità

Ogni offerta deve indicare in modo chiaro scopo, perimetro, deliverable, tempi, vincoli, dipendenze e responsabilità. È vietato vendere servizi senza aver valutato fattibilità tecnica, requisiti, vincoli normativi e risorse.

Contratti coerenti con il lavoro reale

Il contratto deve rappresentare ciò che verrà effettivamente erogato. Sono vietate clausole o promesse “di facciata” non sostenute dall’operatività.

Gestione corretta delle varianti

Ogni variazione di scope, requisiti, tempi o costi deve essere formalizzata e approvata. È vietato “assorbire” varianti rilevanti senza tracciarle.

Tutela di dati e asset del cliente

Accessi, credenziali, dati, codice, documentazione e know-how del cliente devono essere trattati con regole di sicurezza e riservatezza. È vietata ogni riproduzione, riutilizzo o diffusione non autorizzata.

Gestione dei reclami

I reclami vanno trattati con serietà, tempi certi, tracciamento e responsabilità. È vietato negare l’evidenza o scaricare responsabilità senza analisi.

6. Rapporti con fornitori, partner e consulenti

Selezione basata su criteri oggettivi

La scelta di fornitori e partner deve basarsi su competenza, affidabilità, sostenibilità economica e ambientale, sicurezza, conformità normativa e capacità di erogazione. È vietato selezionare sulla base di favoritismi, utilità personali, pressioni o scambi impropri.

Due diligence proporzionata al rischio

Per fornitori che trattano dati, gestiscono sistemi, producono contenuti o rappresentano la Società verso terzi, è obbligatoria una valutazione preventiva del rischio e l’inserimento di clausole contrattuali adeguate.

Due diligence specifica per fornitori di servizi AI

Per i fornitori di modelli foundation, dataset, servizi di compute e infrastruttura AI, la valutazione preventiva deve includere: (i) dichiarazione di conformità al Regolamento (UE) 2024/1689 (AI Act) e alla L. 132/2025; (ii) presenza di Data Processing Agreement; (iii) misure di sicurezza AI-specifiche; (iv) politiche di data retention e cancellazione; (v) trasparenza sulle fonti dei dati di addestramento.

Due diligence ambientale

Per i fornitori di servizi cloud, hosting, infrastruttura IT e servizi a impatto energetico rilevante, la valutazione preventiva deve includere: (i) politica ambientale o certificazione ISO 14001 ove disponibile; (ii) dati su efficienza energetica dei data center (PUE) e utilizzo di energia da fonti rinnovabili; (iii) impegno documentato alla riduzione delle emissioni di gas serra; (iv) conformità alla normativa ambientale applicabile. Per i fornitori di beni e servizi in sede, si valutano: gestione rifiuti, utilizzo di materiali sostenibili, conformità alle normative su sostanze pericolose.

Due diligence per la sicurezza sul lavoro

Per i fornitori che operano presso la sede di Magellano o svolgono attività che possono generare rischi per la salute e la sicurezza, è obbligatoria la verifica di: (i) idoneità tecnico-professionale ai sensi dell’art. 26 D.Lgs. 81/2008; (ii) regolarità contributiva (DURC); (iii) copertura assicurativa; (iv) formazione dei lavoratori impiegati. Ove previsto, si predispone il Documento Unico di Valutazione dei Rischi da Interferenze (DUVRI).

Pagamenti e condizioni trasparenti

Sono vietati pagamenti non tracciati, condizioni occulte, fatturazioni non coerenti con le prestazioni, triangolazioni sospette e accordi verbali non formalizzati.

Regali, ospitalità e utilità

Sono consentiti solo se: modesti, occasionali, trasparenti, non finalizzati a influenzare decisioni, conformi alle procedure interne. È vietato offrire o accettare utilità che possano anche solo apparire come scambio di favore.

7. Rapporti con Pubblica Amministrazione, Autorità e soggetti pubblici

I rapporti con PA e Autorità devono essere improntati a correttezza assoluta e tracciabilità. È vietato: (i) promettere, offrire o erogare denaro o utilità indebite, direttamente o indirettamente; (ii) esercitare pressioni improprie; (iii) utilizzare intermediari con finalità illecite; (iv) presentare dichiarazioni o documenti non veritieri; (v) ostacolare controlli. Ogni interazione con soggetti pubblici rilevante deve essere registrata e gestita da personale autorizzato. Eventuali sponsorizzazioni, contributi, liberalità o iniziative con ricadute su soggetti pubblici devono seguire processi autorizzativi formalizzati e motivati.

8. Regole etiche per le attività digitali della Società (IT, web, marketing, editoria, pubblicità, formazione)

Magellano opera su attività digitali ad alto impatto su utenti, clienti e mercato. Per questa ragione, oltre ai principi generali valgono regole specifiche, qui indicate in forma operativa.

8.1 Consulenza informatica e sviluppo/gestione sistemi

È obbligatorio adottare pratiche professionali adeguate: analisi requisiti, gestione change, versioning, test, ambienti separati, documentazione minima, controllo accessi, backup e ripristino. È vietato introdurre deliberatamente vulnerabilità, backdoor, accessi non autorizzati o usare strumenti illeciti.

8.2 SEO, web marketing, performance e analytics

È vietato utilizzare pratiche ingannevoli, fraudolente o in violazione di norme. Le metriche devono essere presentate in modo fedele e non manipolato, distinguendo risultati organici e a pagamento.

8.3 Editoria elettronica e contenuti

È obbligatorio assicurare: accuratezza ragionevole, verificabilità interna, correttezza delle attribuzioni, rispetto dei diritti d’autore, assenza di plagi, chiarezza su contenuti sponsorizzati. È vietato pubblicare contenuti deliberatamente falsi, fuorvianti o manipolativi.

8.4 Concessionaria di pubblicità e contenuti promozionali

È obbligatorio distinguere in modo chiaro contenuto editoriale e pubblicitario, rispettare regole su trasparenza, comunicazioni commerciali, comparazioni e claim. È vietata qualsiasi comunicazione ingannevole o non dimostrabile.

8.5 Produzione e montaggio video, contenuti multimediali

È obbligatorio rispettare diritti d’immagine, licenze, liberatorie, privacy e copyright. È vietato utilizzare materiale non autorizzato o alterare contenuti in modo da generare falsificazioni dannose.

8.6 Formazione e corsi

È obbligatorio erogare formazione coerente con le competenze dichiarate e con programmi trasparenti. È vietato promettere certificazioni o risultati non garantibili o non previsti.

8-bis. Principi etici per l’uso e lo sviluppo di sistemi di intelligenza artificiale

Magellano sviluppa, fornisce e utilizza sistemi di intelligenza artificiale nell’ambito della propria attività aziendale. In qualità di Provider ai sensi del Regolamento (UE) 2024/1689 (AI Act) per il servizio Concierge24 Genius, e di Deployer per i sistemi AI di terzi utilizzati internamente, la Società adotta i seguenti principi vincolanti.

8-bis.1 Divieto assoluto di pratiche AI vietate

Magellano vieta espressamente — a sé, ai propri dipendenti, collaboratori, consulenti, clienti e fornitori — l’utilizzo dei propri sistemi AI e dei sistemi AI di terzi nell’ambito dell’attività lavorativa per le pratiche vietate dall’art. 5 del Regolamento (UE) 2024/1689, ivi incluse:
  1. tecniche subliminali, manipolative o ingannevoli che distorcano il comportamento di una persona in modo da causare o poter causare un danno significativo;
  2. sfruttamento delle vulnerabilità di gruppi specifici (età, disabilità, condizione sociale o economica) per distorcerne il comportamento;
  3. social scoring: classificazione di persone fisiche basata sul comportamento sociale o su caratteristiche personali con conseguenze pregiudizievoli sproporzionate;
  4. valutazione predittiva del rischio di commissione di reati basata unicamente su profilazione o tratti della personalità;
  5. creazione o espansione di banche dati di riconoscimento facciale mediante scraping non mirato di immagini da internet o da sistemi di videosorveglianza;
  6. riconoscimento delle emozioni in contesti lavorativi e di istruzione, salvo per motivi medici o di sicurezza;
  7. categorizzazione biometrica per dedurre attributi sensibili (razza, opinioni politiche, appartenenza sindacale, convinzioni religiose, orientamento sessuale);
  8. identificazione biometrica remota in tempo reale in spazi accessibili al pubblico (salvo le eccezioni tassative di legge);
  9. generazione di deepfake lesivi ai sensi dell’art. 613-quater c.p.
La violazione di questo divieto costituisce infrazione gravissima e comporta la risoluzione immediata del rapporto con Magellano e l’attivazione di azioni legali.

8-bis.2 Trasparenza e diritto all’informazione

Ogni persona che interagisce con un sistema AI di Magellano deve essere informata di tale interazione, in conformità con l’art. 50 dell’AI Act. Per il servizio Concierge24 Genius, la comunicazione avviene in conformità alla documentazione contrattuale e ai testi modello predisposti dalla Società.

8-bis.3 Supervisione umana e responsabilità personale

Nessun sistema AI utilizzato o sviluppato da Magellano opera in regime di completa autonomia decisionale. Per ogni sistema AI è garantita una forma di supervisione umana proporzionata al livello di rischio. Per i sistemi che impattano direttamente persone fisiche è sempre prevista la possibilità di intervento umano.

8-bis.4 Equità, non discriminazione e tutela dei gruppi vulnerabili

I sistemi AI di Magellano non devono produrre output che discriminino persone fisiche sulla base di caratteristiche protette dal diritto dell’Unione europea e dalla Costituzione italiana (sesso, età, etnia, religione, opinioni politiche, condizioni di salute, disabilità, orientamento sessuale, origine sociale). È obbligatorio eseguire test periodici di fairness.

8-bis.5 Privacy by design e protezione dei dati nel contesto AI

I sistemi AI sono progettati secondo i principi di privacy by design e by default. Il trattamento dei dati personali è ridotto al minimo strettamente necessario. Per il servizio Concierge24 Genius, i dati delle sessioni di interazione sono soggetti a cancellazione automatica al completamento del servizio, nel rispetto del principio di minimizzazione e delle policy di data retention definite contrattualmente.

8-bis.6 Valutazione di impatto e gestione del rischio AI

Per ogni sistema AI sviluppato o fornito da Magellano, prima della sua immissione in produzione, è eseguita una valutazione di impatto (AI System Impact Assessment — AIIA) secondo la procedura ISMS-PR-AI-02. La valutazione copre impatti su individui (inclusi gruppi vulnerabili), gruppi protetti e società.

8-bis.7 Uso di sistemi AI di terzi

L’uso di sistemi AI di terzi (LLM, copilot, assistenti generativi) nell’attività lavorativa di Magellano è consentito esclusivamente nel rispetto della Procedura ISMS-PR-AI-05 e della relativa whitelist. È vietato: (i) utilizzare versioni consumer o free tier per attività lavorative; (ii) inserire informazioni riservate, dati personali o codice proprietario in sistemi AI di terzi non approvati; (iii) fare affidamento esclusivo su output AI senza verifica umana.

8-bis.8 Formazione e alfabetizzazione AI

In adempimento dell’art. 4 dell’AI Act, Magellano garantisce un livello adeguato di alfabetizzazione AI per tutto il personale che interagisce con sistemi AI. Il completamento del Modulo M7 “AI Literacy e uso responsabile” (≥3 ore) è condizione necessaria per l’utilizzo strutturato di sistemi AI nell’attività lavorativa.

8-ter. Responsabilità ambientale

Magellano è consapevole che anche un’azienda di servizi digitali genera impatti ambientali significativi, in particolare attraverso il consumo energetico delle infrastrutture IT, la gestione dei rifiuti elettronici e le emissioni associate alla mobilità e agli spostamenti. La Società adotta un Sistema di Gestione Ambientale conforme alla norma ISO 14001:2015 e si impegna al miglioramento continuo delle proprie prestazioni ambientali.

8-ter.1 Efficienza energetica e transizione climatica

Magellano si impegna a ridurre progressivamente il consumo energetico della sede e dell’infrastruttura cloud, a privilegiare fornitori di hosting e data center alimentati da fonti rinnovabili certificate (Garanzie di Origine), e a monitorare la propria impronta carbonica con l’obiettivo di ridurla nel tempo. Ogni decisione di approvvigionamento IT deve considerare l’efficienza energetica tra i criteri di valutazione.

8-ter.2 Gestione dei rifiuti e RAEE

La Società applica i principi di riduzione, riutilizzo e riciclo. I rifiuti di apparecchiature elettriche ed elettroniche (RAEE) sono gestiti in conformità al D.Lgs. 49/2014 e conferiti esclusivamente a centri di raccolta autorizzati. È vietato lo smaltimento improprio di apparecchiature elettroniche, batterie, toner e materiali di consumo. La raccolta differenziata è obbligatoria in tutti gli ambienti di lavoro.

8-ter.3 Prevenzione dell’inquinamento e conformità

Magellano si impegna a rispettare tutte le normative ambientali applicabili, incluse quelle relative ai gas fluorurati a effetto serra (Reg. UE 2024/573) per gli impianti di climatizzazione, alla gestione delle sostanze pericolose e alla tutela delle risorse idriche. Qualsiasi non conformità ambientale rilevata deve essere segnalata, registrata e gestita con azioni correttive tracciate.

8-ter.4 Sensibilizzazione e formazione ambientale

Tutto il personale riceve formazione sugli aspetti ambientali significativi dell’attività aziendale e sulle buone pratiche di sostenibilità. La consapevolezza ambientale è parte integrante dell’onboarding e del percorso formativo periodico. La Società promuove comportamenti virtuosi attraverso iniziative concrete, quali l’eliminazione della plastica monouso e l’adozione di borracce e tazze riutilizzabili.

8-quater. Salute e sicurezza sul lavoro

Magellano adotta un Sistema di Gestione per la Salute e Sicurezza sul Lavoro conforme alla norma ISO 45001:2023, integrato nel Sistema di Gestione della Società. La tutela delle persone non è un adempimento burocratico ma un impegno concreto, quotidiano e verificabile.

8-quater.1 Valutazione dei rischi e misure di prevenzione

La Società identifica, valuta e gestisce i rischi per la salute e la sicurezza attraverso il Documento di Valutazione dei Rischi (DVR), aggiornato ad ogni variazione significativa dell’organizzazione, delle attrezzature, dei processi o della sede. Le misure di prevenzione e protezione sono definite secondo la gerarchia dei controlli prevista dalla norma e dalla legislazione vigente (D.Lgs. 81/2008).

8-quater.2 Emergenze e gestione degli incidenti

La Società mantiene un Piano di Emergenza aggiornato con l’identificazione delle vie di esodo, dei punti di raccolta, degli addetti alle emergenze (antincendio e primo soccorso) e delle procedure di evacuazione. Ogni incidente, infortunio, near-miss o situazione di pericolo deve essere segnalato immediatamente e registrato. È vietato minimizzare, occultare o ritardare la segnalazione di eventi che coinvolgono la sicurezza delle persone.

8-quater.3 Consultazione e partecipazione dei lavoratori

Magellano garantisce la consultazione e la partecipazione dei lavoratori e dei loro rappresentanti (RLS) in materia di salute e sicurezza, come previsto dall’art. 50 del D.Lgs. 81/2008. I lavoratori hanno il diritto di segnalare rischi, proporre miglioramenti e rifiutare attività che comportino pericolo grave e immediato, senza alcuna ritorsione.

8-quater.4 Sorveglianza sanitaria e idoneità

Per i lavoratori soggetti a sorveglianza sanitaria, la Società garantisce le visite mediche periodiche da parte del Medico Competente e il rispetto dei giudizi di idoneità, con particolare attenzione ai rischi da videoterminale per il personale che supera le 20 ore settimanali di utilizzo.

8-quater.5 Smart working e lavoro da remoto

La Società consente il lavoro da remoto e lo smart working nel rispetto della normativa sulla salute e sicurezza. I lavoratori in smart working ricevono un’informativa specifica sui rischi connessi alla postazione domestica e sulle buone pratiche ergonomiche. L’obbligo di segnalazione di incidenti e near-miss si estende anche al lavoro da remoto.

8-quinquies. Diversità, equità e inclusione

Magellano ha adottato un sistema di politiche e procedure per la promozione della diversità, dell’equità e dell’inclusione (DEI), in conformità con le norme UNI/PdR 125:2022 (Parità di genere), UNI/PdR 192:2026 (Conciliazione vita-lavoro), UNI/PdR 159:2024 (Lavoro inclusivo per le persone con disabilità) e ISO 30415 (Diversità e inclusione). Il Comitato Guida DEI, organo interno con competenze consultive e di monitoraggio, sovrintende all’attuazione delle politiche DEI.

8-quinquies.1 Parità di genere e retributiva

Magellano si impegna a garantire pari opportunità di accesso, carriera e retribuzione a prescindere dal genere. È obbligatorio condurre periodicamente un audit retributivo per verificare l’assenza di divari ingiustificati. I processi di selezione, valutazione e promozione devono essere basati esclusivamente su competenze, risultati e potenziale, documentati e verificabili. È vietata ogni forma di discriminazione diretta o indiretta basata sul genere, sullo stato di gravidanza, sulla maternità o paternità.

8-quinquies.2 Conciliazione tra vita professionale e familiare

La Società promuove attivamente la conciliazione tra vita professionale e vita familiare attraverso modalità di lavoro flessibili, smart working, e attenzione alle esigenze di cura familiare. I congedi parentali, i permessi per caregiver e le richieste di flessibilità oraria sono gestiti con criteri di equità e senza penalizzazioni nella valutazione della prestazione o nelle opportunità di crescita professionale. La Società facilita il reinserimento dopo periodi di assenza prolungata con percorsi di aggiornamento dedicati.

8-quinquies.3 Inclusione delle persone con disabilità

Magellano si impegna a garantire un ambiente di lavoro accessibile e inclusivo per le persone con disabilità, adottando accomodamenti ragionevoli proporzionati alle esigenze individuali e alle possibilità organizzative. Le richieste di accomodamento sono gestite con riservatezza, tempestività e registrate nel Registro Accomodamenti Ragionevoli. L’accessibilità digitale dei sistemi e degli strumenti di lavoro è considerata un requisito progettuale, non un adattamento successivo.

8-quinquies.4 Linguaggio inclusivo e comunicazione

La comunicazione interna ed esterna di Magellano utilizza un linguaggio rispettoso, inclusivo e privo di stereotipi. Le comunicazioni istituzionali, le offerte di lavoro, i materiali formativi e i contenuti aziendali devono evitare formulazioni discriminatorie o escludenti. La Società promuove la consapevolezza linguistica come parte del percorso formativo DEI.

8-quinquies.5 Monitoraggio e rendicontazione

La Società monitora periodicamente gli indicatori chiave di performance DEI (KPI) relativi a composizione di genere, divario retributivo, fruizione dei congedi, richieste di accomodamento, segnalazioni di discriminazione e partecipazione alla formazione. I risultati sono esaminati dal Comitato Guida DEI e confluiscono nel Riesame della Direzione.

8-sexies. Continuità operativa e gestione dei servizi IT

8-sexies.1 Continuità operativa

Magellano adotta un Sistema di Gestione per la Continuità Operativa conforme alla norma ISO 22301. La Società identifica le attività critiche, valuta le minacce e gli impatti potenziali, e mantiene piani di continuità e di ripristino testati e aggiornati. Ogni persona che opera per Magellano ha il dovere di conoscere il proprio ruolo nei piani di continuità e di partecipare alle esercitazioni periodiche. È vietato compromettere deliberatamente la disponibilità dei sistemi o dei servizi aziendali.

8-sexies.2 Gestione dei servizi IT

La Società eroga e gestisce servizi IT in conformità alla norma ISO/IEC 20000-1. I livelli di servizio concordati con i clienti devono essere realistici, misurabili e rispettati. La gestione degli incidenti, dei problemi, delle modifiche e dei rilasci segue processi strutturati, tracciabili e orientati al miglioramento continuo. È vietato assumere impegni di servizio che la Società non è in grado di sostenere, o occultare indisponibilità, degradi o malfunzionamenti ai clienti e agli stakeholder.

9. Rischi reputazionali: prevenzione, regole e gestione delle crisi

Per “rischio reputazionale” si intende qualsiasi evento, contenuto, comportamento o omissione che possa compromettere la fiducia di clienti, partner, istituzioni, utenti finali o del pubblico nei confronti di Magellano.

Fonti tipiche di rischio reputazionale per una società digitale

In particolare, generano rischio elevato: (i) claim commerciali non dimostrabili o promesse eccessive; (ii) contenuti editoriali fuorvianti o percepiti come manipolativi; (iii) commistione non trasparente tra informazione e pubblicità; (iv) gestione inadeguata di dati personali o incidenti di sicurezza; (v) uso non trasparente o discriminatorio di sistemi AI; (vi) output AI offensivi, falsi o lesivi prodotti da sistemi di Magellano; (vii) incidenti ambientali o violazioni della normativa SSL; (viii) condotte discriminatorie o lesive della dignità delle persone.

Regole preventive obbligatorie

(1) Ogni messaggio esterno rilevante deve essere coerente con fatti, contratti e capacità operative. (2) Ogni contenuto promozionale deve essere chiaramente identificabile e distinguibile. (3) Per i contenuti che possono influenzare decisioni rilevanti di terzi è necessaria verifica interna preventiva.

Social media e comportamento pubblico

Chi parla a nome della Società o è riconoscibile come rappresentante deve mantenere condotta professionale e prudente: è vietato divulgare informazioni riservate, attaccare clienti/partner, alimentare polemiche che possano ricadere su Magellano, diffondere contenuti non verificati.

Gestione delle crisi reputazionali

Quando si verifica un evento potenzialmente reputazionale, è obbligatorio: (i) attivare un canale interno di escalation; (ii) raccogliere fatti e prove; (iii) congelare modifiche non tracciate; (iv) definire una risposta condivisa; (v) comunicare solo dopo verifica dei fatti.

10. Rischi informatici e protezione delle informazioni: standard minimi obbligatori

Per “rischio informatico” si intende qualunque minaccia a confidenzialità, integrità e disponibilità di dati e sistemi (es. accessi abusivi, malware, ransomware, data leak, interruzioni di servizio, manipolazioni di contenuti, frodi digitali). Ai rischi informatici tradizionali si aggiungono le minacce specifiche dei sistemi di intelligenza artificiale, che includono: prompt injection, data poisoning, model inversion, adversarial examples, supply chain attacks sui modelli, e abuso di API AI. Tali minacce richiedono misure di mitigazione dedicate.

Principi di sicurezza

La sicurezza è responsabilità di tutti. Si applicano almeno: minimizzazione degli accessi, principio del minimo privilegio, separazione ambienti, hardening, patching, logging, backup, piani di continuità.

Gestione degli accessi e credenziali

È obbligatorio: (i) utilizzare credenziali uniche; (ii) proteggere password e token; (iii) abilitare, dove possibile, autenticazione forte; (iv) revocare immediatamente gli accessi alla cessazione di incarichi; (v) vietare condivisioni informali di credenziali.

Sicurezza operativa e supply chain digitale

L’uso di fornitori IT, cloud, tool di terze parti, plugin, componenti software e servizi esterni deve essere valutato per rischio e conformità. È vietato introdurre componenti non autorizzati in ambienti produttivi. Devono esistere criteri minimi per aggiornamenti, patch e gestione vulnerabilità.

Protezione dati e documenti

È obbligatorio classificare e proteggere le informazioni in base a sensibilità. È vietato trasferire dati su canali non autorizzati o archiviare informazioni riservate su dispositivi o account personali senza autorizzazione.

Incident management

Qualsiasi incidente o sospetto incidente deve essere segnalato immediatamente secondo le procedure. È obbligatorio conservare evidenze tecniche, evitare interventi improvvisati che cancellino tracce e attivare i canali di escalation.

Formazione

La Società deve garantire formazione periodica su rischi cyber e data protection; i destinatari devono partecipare e applicare le regole. La negligenza ripetuta su aspetti di sicurezza costituisce violazione grave.

11. Risorse umane, ambiente di lavoro e regole di condotta interna

Magellano promuove un ambiente di lavoro basato su rispetto, collaborazione, responsabilità, merito e valorizzazione delle diversità. È vietata ogni forma di discriminazione, molestia, intimidazione o comportamento lesivo della dignità personale, sia in presenza sia in modalità di lavoro da remoto. La Società adotta una politica di tolleranza zero verso le molestie sessuali, il mobbing e qualsiasi forma di violenza verbale o psicologica. Il dissenso professionale è ammesso e gestito con metodi civili e tracciabili. La Società tutela la salute e sicurezza sul lavoro in conformità al D.Lgs. 81/2008 e alla norma ISO 45001, promuove la conciliazione tra vita professionale e familiare, garantisce pari opportunità indipendentemente da genere, età, origine, orientamento sessuale, disabilità o qualsiasi altra caratteristica protetta, e investe nella formazione continua come strumento di crescita professionale e di prevenzione dei rischi. Ogni destinatario deve evitare comportamenti che compromettano la qualità del lavoro o la fiducia reciproca (es. falsificazione di timesheet, alterazione report, appropriazione indebita di materiali, sabotaggi, abuso di permessi).

12. Utilizzo dei beni aziendali e tutela del patrimonio

I beni materiali e immateriali (hardware, software, licenze, account, archivi, documentazione, know-how, database, codici, contenuti) devono essere usati esclusivamente per finalità professionali e nel rispetto delle autorizzazioni. È vietato: (i) installare software non autorizzato; (ii) utilizzare risorse aziendali per attività personali ad alto rischio o illegittime; (iii) esportare dati o codici senza titolo; (iv) utilizzare licenze in modo non conforme; (v) compromettere integrità di sistemi.

13. Segnalazioni, tutela del segnalante e controlli

Magellano promuove la segnalazione responsabile di violazioni o rischi, garantendo riservatezza, tutela del segnalante e divieto assoluto di ritorsioni. Le segnalazioni devono essere circostanziate e in buona fede. Sono vietate segnalazioni calunniose o strumentali. La Società si impegna a valutare le segnalazioni con tempestività, a documentare le verifiche e ad adottare misure correttive. I canali di segnalazione disponibili includono: la piattaforma whistleblowing (magellanotech.it/whistleblowing/, ex D.Lgs. 24/2023), il canale etico AI (aiethics@magellanotech.it), il Comitato Guida DEI (dei@magellanotech.it) per segnalazioni relative a discriminazione o molestie, e il Referente Ambiente e SSL per segnalazioni in materia di sicurezza e ambiente.

14. Violazioni e conseguenze

La violazione del Codice comporta conseguenze proporzionate alla gravità: richiami, misure disciplinari, risoluzione del rapporto, azioni di rivalsa e, quando necessario, segnalazione alle autorità competenti. Sono considerate violazioni gravi: corruzione o tentativi, frodi, falsificazioni documentali, violazioni intenzionali di sicurezza, uso illecito di dati, occultamento di incidenti, conflitti di interesse non dichiarati, manipolazioni comunicative ingannevoli, utilizzo di sistemi AI per pratiche vietate dall’art. 5 AI Act, violazioni deliberate della normativa ambientale o delle procedure di gestione rifiuti, omissione o occultamento di incidenti sul lavoro o near-miss, discriminazione o molestie nei confronti di colleghi, collaboratori o terzi, mancato rispetto delle misure di prevenzione e protezione per la salute e sicurezza.

15. Adozione, diffusione e aggiornamento

Il Codice è approvato dall’organo amministrativo, diffuso a tutti i destinatari e aggiornato quando mutano normative, organizzazione o rischi. La Società garantisce strumenti di informazione e formazione per assicurare applicazione effettiva. Il presente Codice è pubblicato sul sito istituzionale magellanotech.it. La presa visione del Codice è documentata nel modulo ISMS-MOD-30 (Presa Visione Politiche SGI) e nelle prese visione specifiche di ciascun ambito del Sistema di Gestione Integrato (SGA-PV-01 per l’ambiente, SGSL-PV-01 per la salute e sicurezza, SGI-PV-DEI-01 per la diversità, equità e inclusione). La presa visione del Codice costituisce condizione per l’accesso ai sistemi aziendali. I principi enunciati nel presente Codice trovano attuazione operativa nelle politiche, procedure e istruzioni del Sistema di Gestione Integrato adottato dalla Società. Il corpus documentale del SGI — accessibile a tutti i destinatari secondo le modalità previste — declina in chiave gestionale e tecnica gli obblighi etici qui stabiliti, assicurandone la coerenza con gli standard internazionali cui la Società aderisce.

Versione per uso interno — documento ufficiale con firme disponibile presso la sede della Società