Codice etico
MAGELLANO TECH SOLUTIONS SRL
Sistema di Gestione IntegratoCODICE ETICO E DI CONDOTTA
Revisione 03 — 13 Giugno 2026 Edizione definitiva, integrata con il Sistema di Gestione Integrato certificato e con l'architettura di governance,controllo e compliance della Società| Codice documento | MT-SGI-CE |
| Revisione | 03 del 13 giugno 2026 |
| Approvazione | Consiglio di Amministrazione, seduta del 13 giugno 2026, ore 11:00 |
| Verificato da | Responsabile del Sistema di Gestione Integrato, Barbara Murri |
| Vigilanza sull'attuazione | Organismo di Vigilanza |
| Classificazione | Documento pubblico, diffusione obbligatoria a tutti i destinatari |
| Collocazione | Parte integrante del Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 e del Sistema di Gestione Integrato |
0. Premessa, contesto e architettura di governance
Magellano Tech S.r.l. (di seguito, “Magellano” o la “Società”), con sede legale in Roma, Via dei Due Macelli 60, è una società attiva nello sviluppo di soluzioni software custom e di piattaforme SaaS proprietarie, incluse soluzioni di intelligenza artificiale, nella consulenza informatica e ICT, nei servizi cloud e di hosting, nei servizi di concessionaria pubblicitaria e nelle soluzioni digitali per l’editoria. La Società è soggetta a direzione e coordinamento di Victoria Holding S.r.l. ai sensi dell’art. 2497-bis c.c. Il presente Codice opera all’interno di un solido sistema di governo, controllo e conformità, di cui costituisce il fondamento valoriale e che qui si richiama per intero a fini di contesto.Certificazioni conseguite
La Società ha conseguito e mantiene le certificazioni UNI EN ISO 9001:2015 (qualità), ISO/IEC 27001:2022 con estensione dei controlli delle linee guida ISO/IEC 27017:2015 (cloud security) e ISO/IEC 27018:2025 (cloud privacy) (sicurezza delle informazioni), UNI EN ISO 14001:2015 (ambiente), UNI EN ISO 45001:2023 (salute e sicurezza sul lavoro), UNI/PdR 125:2022 (parità di genere), ISO/IEC 20000-1:2018 (gestione dei servizi IT), UNI EN ISO 22301:2019 (continuità operativa) e UNI CEI ISO/IEC 42001:2024 (sistema di gestione per l’intelligenza artificiale). La Società dispone altresì di un’attestazione di aderenza alla linea guida ISO 30415:2021 (diversità e inclusione).Norme in acquisizione e linee guida osservate
Sono in corso di acquisizione la certificazione UNI ISO 37001 (prevenzione della corruzione) e le prassi UNI/PdR 159:2024 (lavoro inclusivo per le persone con disabilità) e UNI/PdR 192:2026 (conciliazione vita-lavoro). La Società osserva inoltre le linee guida della norma ISO/IEC 27701 (sistema di gestione delle informazioni sulla privacy), di cui sta attivamente perseguendo l’acquisizione.Riferimenti normativi rilevanti
Tra gli altri, il D.Lgs. 231/2001, il Regolamento (UE) 2016/679 (GDPR), il Regolamento (UE) 2024/1689 (AI Act) e la Legge 132/2025, il D.Lgs. 81/2008, il D.Lgs. 24/2023 (whistleblowing) e la Legge 190/2012.Posizionamenti e qualifiche
La Società ha presentato all’Autorità Garante della Concorrenza e del Mercato l’istanza per il conseguimento del Rating di Legalità, attualmente in corso di istruttoria. La Società è inoltre censita al Portale dei servizi dell’Agenzia per la Cybersicurezza Nazionale per i servizi Cloud (ai fini del Regolamento ACN n. 21007/2024), NCC e NIS; in relazione ai servizi NIS ha reso la dichiarazione DNISA00057512, con autovalutazione Fuori Ambito ai sensi dell’art. 6 del D.Lgs. 138/2024.Organi e funzioni di governance, controllo e vigilanza
La Società è amministrata da un Consiglio di Amministrazione, il cui Presidente riveste anche la carica di Amministratore Delegato. Magellano si è dotata di un Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 e di un Organismo di Vigilanza in composizione collegiale; di un Sistema di Gestione per la Prevenzione e il Contrasto della Corruzione e di un Responsabile della Prevenzione della Corruzione esterno; di un Responsabile della Protezione dei Dati (DPO); di un Medico Competente, di un Responsabile del Servizio di Prevenzione e Protezione esterno e di un Referente Ambiente e Salute e Sicurezza sul Lavoro; di un Comitato di Governance dell’Intelligenza Artificiale; di un Comitato Guida per la Diversità, l’Equità e l’Inclusione; di un Responsabile del Sistema di Gestione Integrato; ed è assoggettata a revisione legale dei conti affidata a PricewaterhouseCoopers S.p.A. I destinatari sono tenuti a collaborare con tali organi e funzioni e a non ostacolarne l’attività.1. Oggetto, finalità e natura vincolante
Il presente Codice Etico (di seguito, il “Codice”) disciplina in modo puntuale e non equivoco i principi, le regole di condotta e gli standard operativi cui devono attenersi Magellano e tutti i soggetti che operano nell’interesse della Società o possono influenzarne l’attività, le decisioni, la reputazione o il rischio. Il Codice ha cinque finalità principali: orientare le decisioni e i comportamenti quotidiani verso criteri di legalità, integrità e responsabilità; prevenire condotte improprie o illecite, riducendo i rischi legali, reputazionali e operativi; definire regole chiare nei settori a elevata esposizione (IT, dati, contenuti, AI, marketing, rapporti istituzionali); costituire il quadro etico di riferimento per il Sistema di Gestione Integrato della Società, che abbraccia qualità, sicurezza delle informazioni, ambiente, salute e sicurezza sul lavoro, intelligenza artificiale, continuità operativa, gestione dei servizi IT, anticorruzione, diversità, equità e inclusione; rendere tracciabili e verificabili le scelte aziendali, specie quando coinvolgono clienti, fornitori, Pubblica Amministrazione, autorità e soggetti terzi. Il Codice non è una dichiarazione di intenti: contiene obblighi di comportamento. Ogni deroga è vietata salvo autorizzazione formale, motivata e tracciata, nei limiti di legge e senza pregiudizio per i principi inderogabili di legalità, correttezza e tutela di terzi. Il Codice è parte integrante del Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001.2. Destinatari e obbligo di conoscenza
Il Codice si applica a soci, amministratori, dirigenti, dipendenti, collaboratori, consulenti, professionisti esterni, partner, fornitori e a qualunque soggetto terzo che operi in nome o per conto di Magellano o che, di fatto, possa influenzarne attività, decisioni, reputazione o rischio. Tutti i destinatari hanno l’obbligo di leggere e comprendere il Codice, di rispettarlo integralmente, di richiedere chiarimenti in caso di dubbio prima di agire, di segnalare tempestivamente violazioni o situazioni di rischio e di collaborare in modo leale a verifiche e controlli.3. Principi inderogabili
Legalità
Ogni attività deve essere svolta nel pieno rispetto delle leggi e delle normative applicabili. Nessun obiettivo economico o commerciale può giustificare la violazione di norme, provvedimenti, autorizzazioni, licenze o obblighi contrattuali.Integrità sostanziale
È vietato ogni comportamento formalmente corretto ma sostanzialmente scorretto, elusivo o idoneo a ingannare clienti, partner, istituzioni, utenti finali o il mercato. Si richiede trasparenza reale, non di facciata.Trasparenza e verificabilità
Le informazioni rilevanti (tecniche, economiche, commerciali, editoriali) devono essere rappresentate in modo veritiero, completo e verificabile. Le decisioni rilevanti devono essere tracciate e riconducibili a responsabilità definite.Competenza e qualità
Magellano opera con standard tecnici elevati e orientamento alla qualità concreta. Sono vietate promesse non supportate da analisi, metriche, evidenze, test o competenze adeguate.Riservatezza e tutela dei dati
Le informazioni riservate e i dati personali vanno trattati con rigore, minimizzazione, sicurezza e rispetto delle autorizzazioni. Ogni utilizzo non autorizzato è vietato.Responsabilità, proporzionalità e supervisione umana
Ogni attività deve essere proporzionata al rischio; quando il rischio aumenta, devono aumentare anche controlli, autorizzazioni, tracciabilità e misure di mitigazione. Questo principio si applica con particolare rigore ai sistemi di intelligenza artificiale, per i quali è sempre garantita una forma di supervisione umana proporzionata al livello di rischio.Sostenibilità ambientale
Magellano riconosce la responsabilità di minimizzare l’impatto ambientale delle proprie attività e si impegna a operare secondo principi di prevenzione dell’inquinamento, uso efficiente delle risorse, riduzione dei rifiuti e delle emissioni. Ogni decisione operativa e di acquisto deve considerare gli effetti sull’ambiente e privilegiare, a parità di condizioni, le soluzioni a minor impatto. Il principio si estende alla catena di fornitura: è vietato trasferire a terzi oneri ambientali che la Società ha il dovere di gestire direttamente.Salute e sicurezza sul lavoro
La tutela della salute e della sicurezza delle persone che operano per Magellano o nei suoi luoghi di lavoro è valore inderogabile e prioritario rispetto a qualsiasi esigenza produttiva, commerciale o di budget. Ogni persona ha il diritto e il dovere di segnalare condizioni di pericolo senza timore di ritorsioni.Inclusione, diversità e parità
Magellano promuove un ambiente di lavoro fondato sul rispetto della dignità di ogni persona, sulla valorizzazione delle differenze e sull’eliminazione di ogni discriminazione. La parità di genere, la conciliazione tra vita professionale e familiare, l’accessibilità per le persone con disabilità e l’equità retributiva sono impegni concreti. I processi di selezione, valutazione, sviluppo e retribuzione devono basarsi esclusivamente su competenze, risultati e potenziale, senza alcuna discriminazione diretta o indiretta.4. Obblighi specifici per amministratori, dirigenti e figure apicali
Per “figure apicali” si intendono amministratori, dirigenti, responsabili di funzione e, in generale, chiunque eserciti poteri di rappresentanza, direzione o gestione, anche di fatto.Tone from the top
Le figure apicali devono essere il primo presidio etico e operativo: il loro comportamento costituisce standard per l’organizzazione. È vietato richiedere, tollerare o incentivare condotte scorrette, anche indirettamente.Organizzazione e controllo
Le figure apicali devono predisporre e mantenere un sistema di procedure coerente con i rischi aziendali: deleghe chiare, segregazione dei compiti ove necessario, livelli autorizzativi, controlli, registrazioni e conservazione documentale. È vietato creare aree di opacità o assenza di controllo.Tracciabilità delle decisioni rilevanti
Ogni decisione significativa deve essere documentata, motivata e approvata secondo i processi interni e i poteri assegnati.Prevenzione dei conflitti di interesse
Le figure apicali devono prevenire conflitti attuali o potenziali. Ogni possibile conflitto deve essere dichiarato prima che produca effetti e gestito con misure formali.Presidio reputazionale e informativo
Le figure apicali devono garantire che comunicazioni, claim commerciali, contenuti editoriali e pubblicitari rispettino criteri di verità, trasparenza e conformità normativa.Presidio cyber e dati
Le figure apicali devono assicurare risorse, competenze e priorità adeguate a sicurezza informatica, continuità operativa e protezione dei dati.Segnalazione e reazione
Ogni anomalia rilevante deve essere segnalata tempestivamente e gestita con azioni tracciate. Omettere o ritardare è violazione grave.5. Rapporti con clienti: regole operative non negoziabili
Chiarezza dell’offerta e fattibilità
Ogni offerta deve indicare in modo chiaro scopo, perimetro, deliverable, tempi, vincoli, dipendenze e responsabilità. È vietato vendere servizi senza aver valutato fattibilità tecnica, requisiti, vincoli normativi e risorse.Contratti coerenti con il lavoro reale
Il contratto deve rappresentare ciò che verrà effettivamente erogato. Sono vietate clausole o promesse di facciata non sostenute dall’operatività.Gestione corretta delle varianti
Ogni variazione di scope, requisiti, tempi o costi deve essere formalizzata e approvata. È vietato assorbire varianti rilevanti senza tracciarle.Tutela di dati e asset del cliente
Accessi, credenziali, dati, codice, documentazione e know-how del cliente devono essere trattati con regole di sicurezza e riservatezza. È vietata ogni riproduzione, riutilizzo o diffusione non autorizzata.Gestione dei reclami
I reclami vanno trattati con serietà, tempi certi, tracciamento e responsabilità. È vietato negare l’evidenza o scaricare responsabilità senza analisi.6. Rapporti con fornitori, partner e consulenti
Selezione basata su criteri oggettivi
La scelta di fornitori e partner deve basarsi su competenza, affidabilità, sostenibilità economica e ambientale, sicurezza, conformità normativa e capacità di erogazione, e non su favoritismi, utilità personali, pressioni o scambi impropri.Due diligence proporzionata al rischio
Per i fornitori che trattano dati, gestiscono sistemi, producono contenuti o rappresentano la Società verso terzi, è obbligatoria una valutazione preventiva del rischio e l’inserimento di clausole contrattuali adeguate.Due diligence specifica per fornitori di servizi AI
Per i fornitori di modelli foundation, dataset, servizi di compute e infrastruttura AI, la valutazione deve includere la dichiarazione di conformità al Regolamento (UE) 2024/1689 (AI Act) e alla Legge 132/2025, la presenza di un Data Processing Agreement, misure di sicurezza specifiche per l’AI, politiche di data retention e cancellazione, e trasparenza sulle fonti dei dati di addestramento.Due diligence ambientale
Per i fornitori di servizi cloud, hosting, infrastruttura IT e servizi a impatto energetico rilevante, la valutazione deve includere la politica ambientale o la certificazione ISO 14001 ove disponibile, i dati di efficienza energetica dei data center e l’utilizzo di energia da fonti rinnovabili, l’impegno documentato alla riduzione delle emissioni e la conformità ambientale. Per i fornitori di beni e servizi in sede si valutano la gestione dei rifiuti, l’utilizzo di materiali sostenibili e la conformità alle normative su sostanze pericolose.Due diligence per la sicurezza sul lavoro
Per i fornitori che operano presso la sede di Magellano o svolgono attività che possono generare rischi per la salute e la sicurezza, è obbligatoria la verifica dell’idoneità tecnico-professionale ai sensi dell’art. 26 del D.Lgs. 81/2008, della regolarità contributiva (DURC), della copertura assicurativa e della formazione dei lavoratori impiegati. Ove previsto, si predispone il Documento Unico di Valutazione dei Rischi da Interferenze (DUVRI).Pagamenti e condizioni trasparenti
Sono vietati pagamenti non tracciati, condizioni occulte, fatturazioni non coerenti con le prestazioni, triangolazioni sospette e accordi verbali non formalizzati.Regali, ospitalità e utilità
Sono consentiti solo se modesti, occasionali, trasparenti, non finalizzati a influenzare decisioni e conformi alle procedure interne. È vietato offrire o accettare utilità che possano anche solo apparire come scambio di favore.7. Rapporti con Pubblica Amministrazione, Autorità e soggetti pubblici
I rapporti con la Pubblica Amministrazione e le Autorità devono essere improntati a correttezza assoluta e tracciabilità. È vietato promettere, offrire o erogare denaro o utilità indebite, direttamente o indirettamente; esercitare pressioni improprie; utilizzare intermediari con finalità illecite; presentare dichiarazioni o documenti non veritieri; ostacolare i controlli. Ogni interazione rilevante con soggetti pubblici deve essere registrata e gestita da personale autorizzato. Eventuali sponsorizzazioni, contributi, liberalità o iniziative con ricadute su soggetti pubblici devono seguire processi autorizzativi formalizzati e motivati.Contributi politici e liberalità
La Società non eroga contributi, diretti o indiretti, a partiti, movimenti, comitati e organizzazioni politiche o sindacali, né a loro rappresentanti o candidati. Eventuali liberalità, sponsorizzazioni e contributi a favore di enti, associazioni o iniziative sono ammessi solo se rispondenti a finalità istituzionali, sociali o culturali, di importo proporzionato, deliberati dagli organi competenti, documentati e tracciabili, e mai utilizzati per eludere il divieto di corruzione.8. Regole etiche per le attività digitali della Società
Magellano opera su attività digitali ad alto impatto su utenti, clienti e mercato (IT, web, marketing, editoria, pubblicità, formazione). Per questa ragione, oltre ai principi generali, valgono le seguenti regole operative.8.1 Consulenza informatica e sviluppo o gestione dei sistemi
È obbligatorio adottare pratiche professionali adeguate: analisi dei requisiti, gestione del change, versioning, test, ambienti separati, documentazione minima, controllo accessi, backup e ripristino. È vietato introdurre deliberatamente vulnerabilità, backdoor, accessi non autorizzati o usare strumenti illeciti.8.2 SEO, web marketing, performance e analytics
È vietato utilizzare pratiche ingannevoli, fraudolente o in violazione di norme. Le metriche devono essere presentate in modo fedele e non manipolato, distinguendo risultati organici e a pagamento.8.3 Editoria elettronica e contenuti
È obbligatorio assicurare accuratezza ragionevole, verificabilità interna, correttezza delle attribuzioni, rispetto dei diritti d’autore, assenza di plagi e chiarezza sui contenuti sponsorizzati. È vietato pubblicare contenuti deliberatamente falsi, fuorvianti o manipolativi.8.4 Concessionaria di pubblicità e contenuti promozionali
È obbligatorio distinguere in modo chiaro contenuto editoriale e pubblicitario e rispettare le regole su trasparenza, comunicazioni commerciali, comparazioni e claim. È vietata qualsiasi comunicazione ingannevole o non dimostrabile.8.5 Produzione e montaggio video, contenuti multimediali
È obbligatorio rispettare diritti di immagine, licenze, liberatorie, privacy e copyright. È vietato utilizzare materiale non autorizzato o alterare contenuti in modo da generare falsificazioni dannose.8.6 Formazione e corsi
È obbligatorio erogare formazione coerente con le competenze dichiarate e con programmi trasparenti. È vietato promettere certificazioni o risultati non garantibili o non previsti.9. Principi etici per l’uso e lo sviluppo di sistemi di intelligenza artificiale
Magellano sviluppa, fornisce e utilizza sistemi di intelligenza artificiale nell’ambito della propria attività, con la supervisione del Comitato di Governance dell’Intelligenza Artificiale e in coerenza con il sistema di gestione conforme alla norma UNI CEI ISO/IEC 42001:2024. In qualità di fornitore (provider) ai sensi del Regolamento (UE) 2024/1689 (AI Act) per il servizio Concierge24 Genius, e di deployer per i sistemi AI di terzi utilizzati internamente, la Società adotta i seguenti principi vincolanti.9.1 Divieto assoluto di pratiche AI vietate
Magellano vieta espressamente — a sé, ai propri dipendenti, collaboratori, consulenti, clienti e fornitori — l’utilizzo dei propri sistemi AI e dei sistemi AI di terzi nell’ambito dell’attività lavorativa per le pratiche vietate dall’art. 5 del Regolamento (UE) 2024/1689, ivi incluse:- tecniche subliminali, manipolative o ingannevoli che distorcano il comportamento di una persona in modo da causare o poter causare un danno significativo;
- sfruttamento delle vulnerabilità di gruppi specifici (età, disabilità, condizione sociale o economica) per distorcerne il comportamento;
- social scoring, ovvero classificazione di persone fisiche basata sul comportamento sociale o su caratteristiche personali con conseguenze pregiudizievoli sproporzionate;
- valutazione predittiva del rischio di commissione di reati basata unicamente su profilazione o tratti della personalità;
- creazione o espansione di banche dati di riconoscimento facciale mediante scraping non mirato di immagini da internet o da sistemi di videosorveglianza;
- riconoscimento delle emozioni in contesti lavorativi e di istruzione, salvo per motivi medici o di sicurezza;
- categorizzazione biometrica per dedurre attributi sensibili (origine etnica, opinioni politiche, appartenenza sindacale, convinzioni religiose, orientamento sessuale);
- identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, salvo le eccezioni tassative di legge;
- generazione di deepfake lesivi ai sensi dell’art. 613-quater c.p.
9.2 Trasparenza e diritto all’informazione
Ogni persona che interagisce con un sistema AI di Magellano deve essere informata di tale interazione, in conformità all’art. 50 dell’AI Act. Per il servizio Concierge24 Genius, la comunicazione avviene in conformità alla documentazione contrattuale e ai testi modello predisposti dalla Società.9.3 Supervisione umana e responsabilità personale
Nessun sistema AI utilizzato o sviluppato da Magellano opera in regime di completa autonomia decisionale. Per ogni sistema AI è garantita una forma di supervisione umana proporzionata al livello di rischio. Per i sistemi che impattano direttamente persone fisiche è sempre prevista la possibilità di intervento umano.9.4 Equità, non discriminazione e tutela dei gruppi vulnerabili
I sistemi AI di Magellano non devono produrre output che discriminino persone fisiche sulla base di caratteristiche protette dal diritto dell’Unione europea e dalla Costituzione italiana (sesso, età, etnia, religione, opinioni politiche, condizioni di salute, disabilità, orientamento sessuale, origine sociale). È obbligatorio eseguire test periodici di fairness.9.5 Privacy by design e protezione dei dati nel contesto AI
I sistemi AI sono progettati secondo i principi di privacy by design e by default. Il trattamento dei dati personali è ridotto al minimo strettamente necessario. Per il servizio Concierge24 Genius, i dati delle sessioni di interazione sono soggetti a cancellazione automatica al completamento del servizio, nel rispetto del principio di minimizzazione e delle policy di data retention definite contrattualmente.9.6 Valutazione di impatto e gestione del rischio AI
Per ogni sistema AI sviluppato o fornito da Magellano, prima dell’immissione in produzione, è eseguita una valutazione di impatto (AI System Impact Assessment) secondo la procedura ISMS-PR-AI-02. La valutazione copre gli impatti su individui, inclusi i gruppi vulnerabili, sui gruppi protetti e sulla società.9.7 Uso di sistemi AI di terzi
L’uso di sistemi AI di terzi (modelli linguistici, copilot, assistenti generativi) nell’attività lavorativa è consentito esclusivamente nel rispetto della procedura ISMS-PR-AI-05 e della relativa whitelist. È vietato utilizzare versioni consumer o free tier per attività lavorative, inserire informazioni riservate, dati personali o codice proprietario in sistemi AI di terzi non approvati, e fare affidamento esclusivo su output AI senza verifica umana.9.8 Formazione e alfabetizzazione AI
In adempimento dell’art. 4 del Regolamento (UE) 2024/1689 (AI Act), e in considerazione del fatto che l’intelligenza artificiale è parte integrante dell’attività e dell’identità della Società, Magellano garantisce un livello di alfabetizzazione AI elevato e in costante aggiornamento per tutto il personale che interagisce con sistemi AI, ben oltre il requisito minimo previsto dalla legge. Il completamento del modulo formativo dedicato all’AI literacy e all’uso responsabile è condizione necessaria per l’utilizzo strutturato di sistemi AI nell’attività lavorativa; la governance di tale impegno è presidiata dal Comitato di Governance dell’Intelligenza Artificiale. Coerentemente con questo posizionamento, la Società non si limita alla formazione interna: ha sviluppato un programma di 48 corsi dedicati all’alfabetizzazione e all’uso responsabile dell’intelligenza artificiale, che eroga a terzi, professionisti e imprese, contribuendo alla diffusione sul mercato di una cultura dell’intelligenza artificiale consapevole, sicura e responsabile.10. Responsabilità ambientale
Magellano è consapevole che anche un’azienda di servizi digitali genera impatti ambientali significativi, in particolare attraverso il consumo energetico delle infrastrutture IT, la gestione dei rifiuti elettronici e le emissioni associate alla mobilità. La Società adotta un Sistema di Gestione Ambientale conforme alla norma UNI EN ISO 14001:2015 e si impegna al miglioramento continuo delle proprie prestazioni ambientali.10.1 Efficienza energetica e transizione climatica
Magellano si impegna a ridurre progressivamente il consumo energetico della sede e dell’infrastruttura cloud, a privilegiare fornitori di hosting e data center alimentati da fonti rinnovabili certificate (Garanzie di Origine) e a monitorare la propria impronta carbonica con l’obiettivo di ridurla nel tempo. Ogni decisione di approvvigionamento IT deve considerare l’efficienza energetica tra i criteri di valutazione.10.2 Gestione dei rifiuti e RAEE
La Società applica i principi di riduzione, riutilizzo e riciclo. I rifiuti di apparecchiature elettriche ed elettroniche (RAEE) sono gestiti in conformità al D.Lgs. 49/2014 e conferiti esclusivamente a centri di raccolta autorizzati. È vietato lo smaltimento improprio di apparecchiature elettroniche, batterie, toner e materiali di consumo. La raccolta differenziata è obbligatoria in tutti gli ambienti di lavoro.10.3 Prevenzione dell’inquinamento e conformità
Magellano si impegna a rispettare tutte le normative ambientali applicabili, incluse quelle relative ai gas fluorurati a effetto serra (Regolamento UE 2024/573) per gli impianti di climatizzazione, alla gestione delle sostanze pericolose e alla tutela delle risorse idriche. Qualsiasi non conformità ambientale rilevata deve essere segnalata, registrata e gestita con azioni correttive tracciate.10.4 Sensibilizzazione e formazione ambientale
Tutto il personale riceve formazione sugli aspetti ambientali significativi dell’attività e sulle buone pratiche di sostenibilità. La consapevolezza ambientale è parte integrante dell’onboarding e del percorso formativo periodico. La Società promuove comportamenti virtuosi attraverso iniziative concrete, quali l’eliminazione della plastica monouso e l’adozione di borracce e tazze riutilizzabili.11. Salute e sicurezza sul lavoro
Magellano adotta un Sistema di Gestione per la Salute e Sicurezza sul Lavoro conforme alla norma UNI EN ISO 45001:2023, integrato nel Sistema di Gestione della Società e attuato ai sensi del D.Lgs. 81/2008. La tutela delle persone non è un adempimento burocratico ma un impegno concreto, quotidiano e verificabile, presidiato dal Responsabile del Servizio di Prevenzione e Protezione esterno, dal Medico Competente e dal Referente Ambiente e Salute e Sicurezza sul Lavoro.11.1 Valutazione dei rischi e misure di prevenzione
La Società identifica, valuta e gestisce i rischi attraverso il Documento di Valutazione dei Rischi, aggiornato a ogni variazione significativa dell’organizzazione, delle attrezzature, dei processi o della sede. Le misure di prevenzione e protezione sono definite secondo la gerarchia dei controlli prevista dalla norma e dalla legislazione vigente.11.2 Emergenze e gestione degli incidenti
La Società mantiene un Piano di Emergenza aggiornato con l’identificazione delle vie di esodo, dei punti di raccolta, degli addetti alle emergenze (antincendio e primo soccorso) e delle procedure di evacuazione. Ogni incidente, infortunio, near miss o situazione di pericolo deve essere segnalato immediatamente e registrato. È vietato minimizzare, occultare o ritardare la segnalazione di eventi che coinvolgono la sicurezza delle persone.11.3 Consultazione e partecipazione dei lavoratori
Magellano garantisce la consultazione e la partecipazione dei lavoratori e dei loro rappresentanti in materia di salute e sicurezza, come previsto dall’art. 50 del D.Lgs. 81/2008. I lavoratori hanno il diritto di segnalare rischi, proporre miglioramenti e rifiutare attività che comportino pericolo grave e immediato, senza alcuna ritorsione.11.4 Sorveglianza sanitaria e idoneità
Per i lavoratori soggetti a sorveglianza sanitaria, la Società garantisce le visite mediche periodiche da parte del Medico Competente e il rispetto dei giudizi di idoneità, con particolare attenzione ai rischi da videoterminale per il personale che supera le venti ore settimanali di utilizzo.11.5 Smart working e lavoro da remoto
La Società consente il lavoro da remoto e lo smart working nel rispetto della normativa sulla salute e sicurezza. I lavoratori in smart working ricevono un’informativa specifica sui rischi connessi alla postazione domestica e sulle buone pratiche ergonomiche. L’obbligo di segnalazione di incidenti e near miss si estende anche al lavoro da remoto.12. Diversità, equità e inclusione
Magellano ha adottato un sistema di politiche e procedure per la promozione della diversità, dell’equità e dell’inclusione, in conformità con la norma UNI/PdR 125:2022 (parità di genere) e con le linee guida ISO 30415 (diversità e inclusione), e con osservanza delle prassi UNI/PdR 192:2026 (conciliazione vita-lavoro) e UNI/PdR 159:2024 (lavoro inclusivo per le persone con disabilità), in corso di acquisizione. Il Comitato Guida per la Diversità, l’Equità e l’Inclusione, organo interno con competenze consultive e di monitoraggio, sovrintende all’attuazione delle politiche.12.1 Parità di genere e retributiva
Magellano si impegna a garantire pari opportunità di accesso, carriera e retribuzione a prescindere dal genere. È obbligatorio condurre periodicamente un audit retributivo per verificare l’assenza di divari ingiustificati. I processi di selezione, valutazione e promozione devono basarsi esclusivamente su competenze, risultati e potenziale, documentati e verificabili. È vietata ogni forma di discriminazione diretta o indiretta basata sul genere, sullo stato di gravidanza, sulla maternità o paternità.12.2 Conciliazione tra vita professionale e familiare
La Società promuove attivamente la conciliazione tra vita professionale e vita familiare attraverso modalità di lavoro flessibili, smart working e attenzione alle esigenze di cura familiare. I congedi parentali, i permessi per caregiver e le richieste di flessibilità oraria sono gestiti con criteri di equità e senza penalizzazioni nella valutazione della prestazione o nelle opportunità di crescita. La Società facilita il reinserimento dopo periodi di assenza prolungata con percorsi di aggiornamento dedicati.12.3 Inclusione delle persone con disabilità
Magellano si impegna a garantire un ambiente di lavoro accessibile e inclusivo per le persone con disabilità, adottando accomodamenti ragionevoli proporzionati alle esigenze individuali e alle possibilità organizzative. Le richieste di accomodamento sono gestite con riservatezza, tempestività e registrazione. L’accessibilità digitale dei sistemi e degli strumenti di lavoro è considerata un requisito progettuale, non un adattamento successivo.12.4 Linguaggio inclusivo e comunicazione
La comunicazione interna ed esterna di Magellano utilizza un linguaggio rispettoso, inclusivo e privo di stereotipi. Le comunicazioni istituzionali, le offerte di lavoro, i materiali formativi e i contenuti aziendali devono evitare formulazioni discriminatorie o escludenti.12.5 Monitoraggio e rendicontazione
La Società monitora periodicamente gli indicatori chiave di performance relativi a composizione di genere, divario retributivo, fruizione dei congedi, richieste di accomodamento, segnalazioni di discriminazione e partecipazione alla formazione. I risultati sono esaminati dal Comitato Guida e confluiscono nel Riesame della Direzione.13. Continuità operativa e gestione dei servizi IT
13.1 Continuità operativa
Magellano adotta un Sistema di Gestione per la Continuità Operativa conforme alla norma UNI EN ISO 22301:2019. La Società identifica le attività critiche, valuta le minacce e gli impatti potenziali e mantiene piani di continuità e di ripristino testati e aggiornati. Ogni persona ha il dovere di conoscere il proprio ruolo nei piani di continuità e di partecipare alle esercitazioni periodiche. È vietato compromettere deliberatamente la disponibilità dei sistemi o dei servizi aziendali.13.2 Gestione dei servizi IT
La Società eroga e gestisce servizi IT in conformità alla norma ISO/IEC 20000-1:2018. I livelli di servizio concordati con i clienti devono essere realistici, misurabili e rispettati. La gestione degli incidenti, dei problemi, delle modifiche e dei rilasci segue processi strutturati, tracciabili e orientati al miglioramento continuo. È vietato assumere impegni di servizio non sostenibili o occultare indisponibilità, degradi o malfunzionamenti ai clienti e agli stakeholder.14. Prevenzione della corruzione e responsabilità degli enti
Magellano adotta un principio di tolleranza zero verso ogni forma di corruzione, attiva o passiva, nei rapporti con soggetti pubblici e privati, in attuazione del proprio Sistema di Gestione per la Prevenzione e il Contrasto della Corruzione, presidiato dal Responsabile della Prevenzione della Corruzione, in coerenza con la norma UNI ISO 37001 in corso di acquisizione e con l’istanza per il Rating di Legalità presentata all’AGCM, in corso di istruttoria. Sono vietati i pagamenti di facilitazione. Omaggi, ospitalità e spese di rappresentanza sono ammessi solo se di modico valore, occasionali, trasparenti e conformi alle procedure interne. È richiesta la tracciabilità integrale dei flussi finanziari e la registrazione delle operazioni a rischio. Il quadro di riferimento include gli articoli 318 e seguenti del Codice Penale, gli articoli 2635 e 2635-bis del Codice Civile, la Legge 190/2012 e le convenzioni internazionali in materia.Divieto di pagamenti e incassi in contanti
Magellano non esegue né riceve pagamenti in contanti. Tale divieto, osservato rigorosamente sin dalla costituzione della Società e ininterrottamente fino a oggi, costituisce un presidio strutturale di tracciabilità: tutti i flussi finanziari, in entrata e in uscita, transitano esclusivamente attraverso strumenti tracciabili e per il tramite di intermediari finanziari, a garanzia della piena trasparenza e della prevenzione di ogni rischio corruttivo o di riciclaggio.Prevenzione del riciclaggio e dei reati finanziari
La Società previene con rigore il riciclaggio, l’autoriciclaggio e l’impiego di denaro, beni o utilità di provenienza illecita. Tutte le operazioni finanziarie e commerciali devono avere causale lecita, documentata e coerente con l’attività. Sono vietati i rapporti con controparti di cui non sia verificata l’identità e l’affidabilità, i pagamenti verso o da soggetti, conti o Paesi diversi da quelli contrattualmente previsti, le operazioni prive di razionalità economica e ogni forma di frazionamento o triangolazione idonea a occultare l’origine dei fondi. La Società verifica le controparti in funzione del rischio, conserva la documentazione e segnala internamente le operazioni anomale, in coerenza con la disciplina antiriciclaggio applicabile e con gli articoli 648-bis, 648-ter e 648-ter.1 del Codice Penale. La Società ha adottato un Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001 e ha nominato un Organismo di Vigilanza in composizione collegiale. Il presente Codice è parte integrante del Modello e ne costituisce il fondamento valoriale; la sua violazione può integrare violazione del Modello, con le relative conseguenze. Tutti i destinatari sono tenuti a collaborare con l’Organismo di Vigilanza.15. Rischi reputazionali: prevenzione e gestione delle crisi
Per rischio reputazionale si intende qualsiasi evento, contenuto, comportamento o omissione che possa compromettere la fiducia di clienti, partner, istituzioni, utenti finali o del pubblico nei confronti di Magellano. Generano rischio elevato, in particolare, i claim non dimostrabili, i contenuti fuorvianti, la commistione non trasparente tra informazione e pubblicità, la gestione inadeguata di dati o incidenti, l’uso non trasparente o discriminatorio di sistemi AI, gli output AI offensivi o lesivi, gli incidenti ambientali o le violazioni in materia di salute e sicurezza, e le condotte discriminatorie o lesive della dignità delle persone. Ogni messaggio esterno rilevante deve essere coerente con fatti, contratti e capacità operative; ogni contenuto promozionale deve essere chiaramente identificabile; per i contenuti che possono influenzare decisioni rilevanti di terzi è necessaria una verifica interna preventiva. Chi parla a nome della Società mantiene condotta professionale e prudente. Al verificarsi di un evento potenzialmente reputazionale è obbligatorio attivare l’escalation interna, raccogliere fatti e prove, congelare le modifiche non tracciate, definire una risposta condivisa e veritiera e comunicare solo dopo la verifica dei fatti. È vietato negare, occultare o minimizzare senza verifica.16. Rischi informatici e protezione delle informazioni
Per rischio informatico si intende qualunque minaccia a confidenzialità, integrità e disponibilità di dati e sistemi. Ai rischi informatici tradizionali si aggiungono le minacce specifiche dei sistemi di intelligenza artificiale, quali prompt injection, data poisoning, model inversion, adversarial examples, attacchi alla supply chain dei modelli e abuso di API AI, che richiedono misure di mitigazione dedicate. La protezione dei dati personali e la sicurezza delle informazioni sono presidiate dal sistema conforme alla norma ISO/IEC 27001:2022, integrato dai controlli delle linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2025 per i servizi cloud, dall’osservanza delle linee guida ISO/IEC 27701 in corso di acquisizione, e dalla funzione del Responsabile della Protezione dei Dati, nel rispetto del Regolamento (UE) 2016/679.Principi e accessi
Si applicano almeno la minimizzazione degli accessi e il principio del minimo privilegio, la separazione degli ambienti, l’hardening, il patching, il logging, il backup e i piani di continuità. È obbligatorio utilizzare credenziali uniche, proteggere password e token, abilitare ove possibile l’autenticazione forte, revocare gli accessi alla cessazione degli incarichi e non condividere credenziali in modo informale.Supply chain e protezione dati
L’uso di fornitori IT, cloud, tool di terze parti, plugin e componenti software deve essere valutato per rischio e conformità; è vietato introdurre componenti non autorizzati in ambienti produttivi. È obbligatorio classificare e proteggere le informazioni in base alla sensibilità; è vietato trasferire dati su canali non autorizzati o archiviare informazioni riservate su dispositivi o account personali senza autorizzazione.Gestione degli incidenti e formazione
Qualsiasi incidente o sospetto incidente deve essere segnalato immediatamente secondo le procedure, conservando le evidenze tecniche ed evitando interventi che cancellino tracce. La Società garantisce formazione periodica su rischi cyber e data protection; la negligenza ripetuta su aspetti di sicurezza costituisce violazione grave.17. Risorse umane, ambiente di lavoro e regole di condotta interna
Magellano promuove un ambiente di lavoro basato su rispetto, collaborazione, responsabilità, merito e valorizzazione delle diversità. È vietata ogni forma di discriminazione, molestia, intimidazione o comportamento lesivo della dignità personale, sia in presenza sia in modalità di lavoro da remoto. La Società adotta una politica di tolleranza zero verso le molestie sessuali, il mobbing e qualsiasi forma di violenza verbale o psicologica. Il dissenso professionale è ammesso e gestito con metodi civili e tracciabili. Ogni destinatario deve evitare comportamenti che compromettano la qualità del lavoro o la fiducia reciproca, quali la falsificazione di timesheet, l’alterazione di report, l’appropriazione indebita di materiali, i sabotaggi o l’abuso di permessi.18. Utilizzo dei beni aziendali e tutela del patrimonio
I beni materiali e immateriali (hardware, software, licenze, account, archivi, documentazione, know-how, database, codici, contenuti) devono essere usati esclusivamente per finalità professionali e nel rispetto delle autorizzazioni. È vietato installare software non autorizzato, utilizzare risorse aziendali per attività personali ad alto rischio o illegittime, esportare dati o codici senza titolo, utilizzare licenze in modo non conforme e compromettere l’integrità dei sistemi.19. Conflitti di interesse e operazioni infragruppo
I destinatari devono prevenire e dichiarare ogni situazione di conflitto di interesse, attuale o potenziale. Particolare attenzione è richiesta nelle operazioni infragruppo, data l’appartenenza della Società al gruppo facente capo a Victoria Holding S.r.l. e la presenza di amministratori che rivestono cariche in più società del gruppo. Le operazioni infragruppo devono avvenire a condizioni di mercato, essere adeguatamente documentate e motivate e rispettare le regole sui conflitti di interesse e sulla direzione e coordinamento ai sensi degli articoli 2497 e seguenti del Codice Civile.20. Segnalazioni, tutela del segnalante e controlli
Magellano promuove la segnalazione responsabile di violazioni o rischi, garantendo riservatezza, tutela del segnalante e divieto assoluto di ritorsioni, in coerenza con il D.Lgs. 24/2023. Le segnalazioni devono essere circostanziate e in buona fede; sono vietate segnalazioni calunniose o strumentali. La Società valuta le segnalazioni con tempestività, documenta le verifiche e adotta le misure correttive necessarie. I canali di segnalazione disponibili includono la piattaforma whistleblowing della Società (magellanotech.it/whistleblowing/) ai sensi del D.Lgs. 24/2023, il canale etico dedicato all’intelligenza artificiale (aiethics@magellanotech.it), il Comitato Guida per la Diversità, l’Equità e l’Inclusione (dei@magellanotech.it) per le segnalazioni relative a discriminazione o molestie, e il Referente Ambiente e Salute e Sicurezza sul Lavoro per le segnalazioni in materia di sicurezza e ambiente. Le segnalazioni rilevanti sono indirizzate, per i profili di competenza, all’Organismo di Vigilanza.21. Violazioni e conseguenze
La violazione del Codice comporta conseguenze proporzionate alla gravità: richiami, misure disciplinari nel rispetto delle norme di legge e di contratto, risoluzione del rapporto, azioni di rivalsa e, quando necessario, segnalazione alle autorità competenti. Sono considerate violazioni gravi, tra le altre: la corruzione o i relativi tentativi, le frodi, le falsificazioni documentali, le violazioni intenzionali di sicurezza, l’uso illecito di dati, l’occultamento di incidenti, i conflitti di interesse non dichiarati, le manipolazioni comunicative ingannevoli, l’utilizzo di sistemi AI per pratiche vietate dall’art. 5 dell’AI Act, le violazioni deliberate della normativa ambientale o delle procedure di gestione dei rifiuti, l’omissione o l’occultamento di incidenti sul lavoro o di near miss, la discriminazione o le molestie nei confronti di colleghi, collaboratori o terzi e il mancato rispetto delle misure di prevenzione e protezione per la salute e la sicurezza. Il sistema sanzionatorio è parte del Modello di organizzazione, gestione e controllo ed è applicato in modo coerente con esso.22. Adozione, diffusione, aggiornamento ed entrata in vigore
Il presente Codice, nella sua revisione 03, è stato approvato dal Consiglio di Amministrazione di Magellano Tech S.r.l. nella seduta del 13 giugno 2026 e sostituisce ogni precedente edizione. Il Codice è parte integrante del Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001; la vigilanza sulla sua attuazione è affidata all’Organismo di Vigilanza. Il Codice è pubblicato sul sito istituzionale magellanotech.it ed è diffuso a tutti i destinatari. La presa visione del Codice è documentata nei moduli del Sistema di Gestione Integrato e costituisce condizione per l’accesso ai sistemi aziendali. I principi enunciati trovano attuazione operativa nelle politiche, procedure e istruzioni del Sistema di Gestione Integrato, che ne declinano in chiave gestionale e tecnica gli obblighi. Il Codice è aggiornato quando mutano le normative, l’organizzazione, i sistemi di gestione o i rischi, ed entra in vigore dalla data di approvazione.23. Approvazione e registro delle revisioni
Approvato dal Consiglio di Amministrazione di Magellano Tech S.r.l. nella seduta del 13 giugno 2026.Versione per uso interno — documento ufficiale con firme disponibile presso la sede della Società