Codice etico

Il presente Codice Etico (di seguito, il “Codice”) disciplina in modo puntuale e non equivoco i principi, le regole di condotta e gli standard operativi cui devono attenersi Magellano Tech S.r.l. (di seguito, “Magellano” o la “Società”) e tutti i soggetti che operano nell’interesse della Società o per suo conto. Il Codice è parte integrante del sistema di governo aziendale e costituisce criterio primario di valutazione della condotta individuale e della correttezza dei processi organizzativi.

Il Codice ha quattro finalità principali: (i) orientare le decisioni e i comportamenti quotidiani verso criteri di legalità, integrità e responsabilità; (ii) prevenire condotte improprie o illecite, riducendo i rischi legali, reputazionali e operativi; (iii) definire regole chiare in settori a elevata esposizione (digitale, informazione, pubblicità, dati, cybersecurity); (iv) rendere tracciabili e verificabili le scelte aziendali, specie quando coinvolgono clienti, fornitori, Pubblica Amministrazione, autorità e soggetti terzi.

Il Codice non è una dichiarazione di intenti: contiene obblighi di comportamento. Ogni deroga è vietata salvo autorizzazione formale, motivata e tracciata, nei limiti di legge e senza pregiudizio per i principi inderogabili di legalità, correttezza e tutela di terzi.

Il Codice si applica a: soci, amministratori, dirigenti, dipendenti, collaboratori, consulenti, professionisti esterni, partner, fornitori e a qualunque soggetto terzo che operi in nome o per conto di Magellano o che, di fatto, possa influenzarne attività, decisioni, reputazione o rischio.

Tutti i destinatari hanno l’obbligo di: (i) leggere e comprendere il Codice; (ii) rispettarlo integralmente; (iii) richiedere chiarimenti in caso di dubbio prima di agire; (iv) segnalare tempestivamente violazioni o situazioni di rischio; (v) collaborare in modo leale a verifiche e controlli.

Legalità. Ogni attività deve essere svolta nel pieno rispetto delle leggi e delle normative applicabili. Nessun obiettivo economico o commerciale può giustificare la violazione di norme, provvedimenti, autorizzazioni, licenze o obblighi contrattuali.

Integrità sostanziale. È vietato ogni comportamento formalmente corretto ma sostanzialmente scorretto, elusivo o idoneo a ingannare clienti, partner, istituzioni, utenti finali o il mercato. Si richiede trasparenza reale, non di facciata.

Trasparenza e verificabilità. Le informazioni rilevanti (tecniche, economiche, commerciali, editoriali) devono essere rappresentate in modo veritiero, completo e verificabile. Le decisioni rilevanti devono essere tracciate e riconducibili a responsabilità definite.

Competenza e qualità. Magellano opera con standard tecnici elevati e orientamento alla qualità concreta. Sono vietate promesse non supportate da analisi, metriche, evidenze, test o competenze adeguate.

Riservatezza e tutela dei dati. Le informazioni riservate e i dati personali vanno trattati con rigore, minimizzazione, sicurezza e rispetto delle autorizzazioni. Ogni utilizzo non autorizzato è vietato.

Responsabilità e proporzionalità. Ogni attività deve essere proporzionata al rischio; quando il rischio aumenta, devono aumentare anche controlli, autorizzazioni, tracciabilità e misure di mitigazione.

Per “figure apicali” si intendono amministratori, dirigenti, responsabili di funzione e, in generale, chiunque eserciti poteri di rappresentanza, direzione o gestione, anche di fatto.

Obbligo di “tone from the top”. Le figure apicali devono essere il primo presidio etico e operativo: il loro comportamento costituisce standard per l’organizzazione. È vietato richiedere, tollerare o incentivare condotte scorrette, anche indirettamente (pressioni su tempi, budget, risultati, comunicazioni).

Obbligo di organizzazione e controllo. Le figure apicali devono predisporre e mantenere un sistema di procedure coerente con i rischi aziendali: deleghe chiare, segregazione dei compiti ove necessario, livelli autorizzativi, controlli, registrazioni e conservazione documentale. È vietato creare aree “senza regole” o processi informali non tracciabili.

Obbligo di tracciabilità delle decisioni rilevanti. Ogni decisione significativa (contratti, forniture, incarichi, budget, campagne pubblicitarie, linee editoriali, scelte tecnologiche ad alto rischio, accessi privilegiati, gestione incidenti) deve essere documentata, motivata e approvata secondo i poteri assegnati. La tracciabilità deve consentire ricostruzione ex post: chi ha deciso, su quali informazioni, con quali alternative valutate, con quali controlli.

Obbligo di prevenzione dei conflitti di interesse. Le figure apicali devono prevenire conflitti attuali o potenziali: rapporti personali con clienti/fornitori, partecipazioni, interessi economici, incarichi esterni, favoritismi. Ogni possibile conflitto deve essere dichiarato prima che produca effetti e gestito con misure formali (astensione, doppia approvazione, sostituzione, audit).

Obbligo di presidio reputazionale e informativo. Le figure apicali devono garantire che comunicazioni, claim commerciali, contenuti editoriali e pubblicitari rispettino criteri di verità, trasparenza e conformità normativa. È vietato “forzare” la comunicazione per ragioni di vendita o visibilità.

Obbligo di presidio cyber e dati. Le figure apicali devono assicurare risorse, competenze e priorità adeguate a sicurezza informatica, continuità operativa e protezione dati; non è ammesso subordinare la sicurezza a mere esigenze di velocità o cost saving quando ciò aumenta rischi rilevanti.

Obbligo di segnalazione e reazione. Ogni anomalia rilevante (frodi, incidenti cyber, violazioni dati, contestazioni per pubblicità ingannevole, rischi reputazionali, pressioni indebite, rapporti anomali con PA/autorità) deve essere segnalata tempestivamente e gestita con azioni tracciate. Omettere o occultare informazioni costituisce violazione grave.

Chiarezza dell’offerta e fattibilità. Ogni offerta deve indicare in modo chiaro scopo, perimetro, deliverable, tempi, vincoli, dipendenze e responsabilità. È vietato vendere servizi senza aver valutato fattibilità tecnica, requisiti, vincoli normativi e risorse.

Contratti coerenti con il lavoro reale. Il contratto deve rappresentare ciò che verrà effettivamente erogato. Sono vietate clausole o promesse “di facciata” non sostenute dall’operatività.

Gestione corretta delle varianti. Ogni variazione di scope, requisiti, tempi o costi deve essere formalizzata e approvata. È vietato “assorbire” varianti rilevanti senza tracciarle, generando rischio di contestazioni o qualità scadente.

Tutela di dati e asset del cliente. Accessi, credenziali, dati, codice, documentazione e know-how del cliente devono essere trattati con regole di sicurezza e riservatezza. È vietata ogni riproduzione, riutilizzo o diffusione non autorizzata.

Gestione dei reclami. I reclami vanno trattati con serietà, tempi certi, tracciamento e responsabilità. È vietato negare l’evidenza o scaricare responsabilità senza analisi.

Selezione basata su criteri oggettivi. La scelta di fornitori/partner deve basarsi su competenza, affidabilità, sostenibilità economica, sicurezza, conformità normativa e capacità di erogazione. È vietato selezionare sulla base di favoritismi, utilità personali, pressioni o scambi impropri.

Due diligence proporzionata al rischio. Per fornitori che trattano dati, gestiscono sistemi, producono contenuti o rappresentano la Società verso terzi, è obbligatoria una valutazione preventiva del rischio (reputazionale, informatico, legale) e l’inserimento di clausole contrattuali adeguate (riservatezza, sicurezza, diritti IP, subforniture, audit, responsabilità).

Pagamenti e condizioni trasparenti. Sono vietati pagamenti non tracciati, condizioni occulte, fatturazioni non coerenti con le prestazioni, triangolazioni sospette e accordi verbali non formalizzati.

Regali, ospitalità e utilità. Sono consentiti solo se: modesti, occasionali, trasparenti, non finalizzati a influenzare decisioni, conformi alle procedure interne. È vietato offrire o accettare utilità che possano anche solo apparire come scambio di favore.

I rapporti con PA e Autorità devono essere improntati a correttezza assoluta e tracciabilità.

È vietato: (i) promettere, offrire o erogare denaro o utilità indebite, direttamente o indirettamente; (ii) esercitare pressioni improprie; (iii) utilizzare intermediari con finalità illecite; (iv) presentare dichiarazioni o documenti non veritieri; (v) ostacolare controlli.

Ogni interazione con soggetti pubblici rilevante deve essere registrata e gestita da personale autorizzato. Eventuali sponsorizzazioni, contributi, liberalità o iniziative con ricadute su soggetti pubblici devono seguire processi autorizzativi formalizzati e motivati.

Magellano opera su attività digitali ad alto impatto su utenti, clienti e mercato. Per questa ragione, oltre ai principi generali valgono regole specifiche, qui indicate in forma operativa.

Consulenza informatica e sviluppo/gestione sistemi. È obbligatorio adottare pratiche professionali adeguate: analisi requisiti, gestione change, versioning, test, ambienti separati, documentazione minima, controllo accessi, backup e ripristino. È vietato introdurre deliberatamente vulnerabilità, backdoor, accessi non autorizzati o usare strumenti illegittimi. L’uso di componenti terze (librerie, plugin, modelli, template) deve rispettare licenze, sicurezza e compatibilità.

SEO, web marketing, performance e analytics. È vietato utilizzare pratiche ingannevoli, fraudolente o in violazione di norme (manipolazioni scorrette, tecniche che violano diritti altrui, acquisizione dati senza base legale, tracciamenti non conformi). Le metriche devono essere presentate in modo fedele e non manipolato, distinguendo risultati, ipotesi e proiezioni.

Editoria elettronica e contenuti. È obbligatorio assicurare: accuratezza ragionevole, verificabilità interna, correttezza delle attribuzioni, rispetto dei diritti d’autore, assenza di plagi, chiarezza su contenuti sponsorizzati. È vietato pubblicare contenuti deliberatamente falsi, fuorvianti o manipolativi.

Concessionaria di pubblicità e contenuti promozionali. È obbligatorio distinguere in modo chiaro contenuto editoriale e pubblicitario, rispettare regole su trasparenza, comunicazioni commerciali, comparazioni e claim. È vietata qualsiasi comunicazione ingannevole o non dimostrabile.

Produzione e montaggio video, contenuti multimediali. È obbligatorio rispettare diritti d’immagine, licenze, liberatorie, privacy e copyright. È vietato utilizzare materiale non autorizzato o alterare contenuti in modo da generare falsificazioni dannose.

Formazione e corsi. È obbligatorio erogare formazione coerente con le competenze dichiarate e con programmi trasparenti. È vietato promettere certificazioni o risultati non garantibili o non previsti.

Per “rischio reputazionale” si intende qualsiasi evento, contenuto, comportamento o omissione che possa compromettere la fiducia di clienti, partner, istituzioni, utenti finali o del pubblico nei confronti di Magellano.

Fonti tipiche di rischio reputazionale per una società digitale. In particolare, generano rischio elevato: (i) claim commerciali non dimostrabili o promesse eccessive; (ii) contenuti editoriali fuorvianti o percepiti come manipolativi; (iii) commistione non trasparente tra informazione e pubblicità; (iv) gestione inadeguata di dati personali o incidenti di sicurezza; (v) comunicazioni pubbliche incoerenti o contraddittorie; (vi) condotte scorrette di partner/fornitori percepite come imputabili alla Società.

Regole preventive obbligatorie. (1) Ogni messaggio esterno rilevante (commerciale, istituzionale, editoriale ad alto impatto, comunicazioni su incidenti) deve essere coerente con fatti, contratti e capacità operative. (2) Ogni contenuto promozionale deve essere chiaramente identificabile e distinguibile. (3) Per i contenuti che possono influenzare decisioni economiche o reputazione di terzi, è richiesta una verifica interna proporzionata al rischio. (4) È vietato utilizzare artifici comunicativi idonei a creare aspettative irrealistiche.

Social media e comportamento pubblico. Chi parla a nome della Società o è riconoscibile come rappresentante deve mantenere condotta professionale e prudente: è vietato divulgare informazioni riservate, attaccare clienti/partner, alimentare polemiche che possano ricadere su Magellano, diffondere contenuti non verificati.

Gestione delle crisi reputazionali. Quando si verifica un evento potenzialmente reputazionale (contestazioni pubbliche, accuse, incidenti cyber, errori editoriali, campagne contestate), è obbligatorio: (i) attivare un canale interno di escalation; (ii) raccogliere fatti e prove; (iii) congelare modifiche non tracciate; (iv) definire una linea comunicativa unica e veritiera; (v) adottare misure correttive documentate. È vietato negare, occultare o minimizzare senza verifica.

Per “rischio informatico” si intende qualunque minaccia a confidenzialità, integrità e disponibilità di dati e sistemi (es. accessi abusivi, malware, ransomware, data leak, interruzioni di servizio, manipolazioni di contenuti, frodi digitali).

Principi di sicurezza. La sicurezza è responsabilità di tutti. Si applicano almeno: minimizzazione degli accessi, principio del minimo privilegio, separazione ambienti, hardening, patching, logging, backup, piani di continuità.

Gestione degli accessi e credenziali. È obbligatorio: (i) utilizzare credenziali uniche; (ii) proteggere password e token; (iii) abilitare, dove possibile, autenticazione forte; (iv) revocare immediatamente gli accessi alla cessazione di incarichi; (v) vietare condivisioni informali di credenziali.

Sicurezza operativa e supply chain digitale. L’uso di fornitori IT, cloud, tool di terze parti, plugin, componenti software e servizi esterni deve essere valutato per rischio e conformità. È vietato introdurre componenti non autorizzati in ambienti produttivi. Devono esistere criteri minimi per aggiornamenti, patch e gestione vulnerabilità.

Protezione dati e documenti. È obbligatorio classificare e proteggere le informazioni in base a sensibilità (riservatezza, valore, obblighi contrattuali). È vietato trasferire dati su canali non autorizzati o archiviare informazioni riservate su dispositivi o account personali senza autorizzazione.

Incident management. Qualsiasi incidente o sospetto incidente (phishing riuscito, perdita device, accessi anomali, data leak, defacement, indisponibilità) deve essere segnalato immediatamente secondo le procedure. È obbligatorio conservare evidenze tecniche, evitare interventi improvvisati che cancellino tracce e attivare misure di contenimento e ripristino con tracciabilità.

Formazione. La Società deve garantire formazione periodica su rischi cyber e data protection; i destinatari devono partecipare e applicare le regole. La negligenza ripetuta su aspetti di sicurezza costituisce violazione grave.

Magellano promuove un ambiente di lavoro basato su rispetto, collaborazione, responsabilità e merito.

È vietata ogni forma di discriminazione, molestia, intimidazione o comportamento lesivo della dignità personale. Il dissenso professionale è ammesso e gestito con metodi civili e tracciabili. La Società tutela la salute e sicurezza sul lavoro, richiedendo a tutti comportamenti prudenti e conformi alle procedure.

Ogni destinatario deve evitare comportamenti che compromettano la qualità del lavoro o la fiducia reciproca (es. falsificazione di timesheet, alterazione report, appropriazione indebita di materiali, sabotaggi, abuso di permessi).

I beni materiali e immateriali (hardware, software, licenze, account, archivi, documentazione, know-how, database, codici, contenuti) devono essere usati esclusivamente per finalità professionali e nel rispetto delle autorizzazioni.

È vietato: (i) installare software non autorizzato; (ii) utilizzare risorse aziendali per attività personali ad alto rischio o illegittime; (iii) esportare dati o codici senza titolo; (iv) utilizzare licenze in modo non conforme; (v) compromettere integrità di sistemi.

Magellano promuove la segnalazione responsabile di violazioni o rischi, garantendo riservatezza, tutela del segnalante e divieto assoluto di ritorsioni.

Le segnalazioni devono essere circostanziate e in buona fede. Sono vietate segnalazioni calunniose o strumentali. La Società si impegna a valutare le segnalazioni con tempestività, a documentare le verifiche e ad adottare misure correttive.

La violazione del Codice comporta conseguenze proporzionate alla gravità: richiami, misure disciplinari, risoluzione del rapporto, azioni di rivalsa e, quando necessario, segnalazione alle autorità competenti.

Sono considerate violazioni gravi: corruzione o tentativi, frodi, falsificazioni documentali, violazioni intenzionali di sicurezza, uso illecito di dati, occultamento di incidenti, conflitti di interesse non dichiarati, manipolazioni comunicative ingannevoli.

Il Codice è approvato dall’organo amministrativo, diffuso a tutti i destinatari e aggiornato quando mutano normative, organizzazione o rischi. La Società garantisce strumenti di informazione e formazione per assicurare applicazione effettiva.