🔒 Cookie e Privacy Policy

La tua privacy è importante per noi

Ultimo aggiornamento: 30 Ottobre 2025

            📌 In breve: RimborsoSpesa.it raccoglie solo i dati essenziali per fornirti il servizio di cashback, non li condivide con terzi senza consenso, e puoi cancellarli in qualsiasi momento.
        

1. Titolare del Trattamento

RimborsoSpesa.it
Email: mail@rimborsospesa.it
Sito web: https://rimborsospesa.it

2. Dati Raccolti

2.1 Dati forniti volontariamente

Registrazione: Username, email, password (crittografata), nome e cognome (opzionali)
Contatti: Messaggi inviati tramite form di contatto
Feedback: Commenti e segnalazioni sulle offerte

2.2 Dati raccolti automaticamente

Log accessi: IP, browser, data/ora per sicurezza
Sessioni: Token temporanei per mantenere il login
Cookies tecnici: Solo per funzionalità essenziali

3. Finalità del Trattamento

🎯 Servizio cashback: Gestire account, offerte, rimborsi
🔒 Sicurezza: Prevenire accessi non autorizzati e frodi
📧 Newsletter: Invio newsletter settimanale con nuove offerte (solo con consenso esplicito double opt-in). Puoi disiscriverti in qualsiasi momento cliccando il link nelle email
✉️ Email transazionali: Conferme iscrizione, reset password, notifiche importanti
📊 Miglioramento: Statistiche anonime per ottimizzare il servizio
⚖️ Obblighi legali: Adempimenti fiscali e normativi

3.1 Sistema Newsletter - Double Opt-In GDPR

🎯 Come funziona l'iscrizione:

Inserisci la tua email nel form di iscrizione
Ricevi un'email di verifica da noreply@rimborsospesa.it
Clicchi sul link di conferma → iscrizione attivata
Inizi a ricevere la newsletter settimanale con le nuove offerte (ogni lunedì mattina)

📧 Disiscrizione immediata: In ogni email trovi il link "Disiscriviti" in fondo. Oppure puoi gestire le preferenze dalla tua dashboard se sei registrato.

Frequenza email: Newsletter settimanale (ogni lunedì). Utenti registrati possono attivare anche la newsletter giornaliera dalle Impostazioni.

4. Base Giuridica

Consenso: Per newsletter e marketing (quando implementato)
Contratto: Per erogare il servizio richiesto
Interesse legittimo: Per sicurezza e prevenzione frodi
Obbligo legale: Per adempimenti normativi

5. Conservazione dei Dati

Account attivo: Fino alla cancellazione dell'account
Log sicurezza: 12 mesi per prevenzione frodi
Obblighi fiscali: 10 anni (se applicabile)
Marketing: Fino a revoca consenso

6. Condivisione dei Dati

Non vendiamo mai i tuoi dati. Condividiamo informazioni solo quando:

🏢 Partner cashback: Dati necessari per elaborare rimborsi
🔧 Fornitori tecnici: Hosting, email (con accordi privacy)
📧 Brevo (Sendinblue): Servizio email marketing per newsletter settimanale e giornaliera (opzionale). I dati trasmessi: email, nome (se fornito), stato iscrizione. Privacy: Brevo Privacy Policy
🔒 Google (reCAPTCHA v3): Protezione anti-spam. I dati trasmessi: IP, browser, interazioni con la pagina. Privacy: Google Privacy Policy
📊 Google Analytics: Analisi traffico e statistiche (solo con consenso). I dati trasmessi: pagine visitate, tempo permanenza, dispositivo, posizione approssimativa. IP anonimizzato. Privacy: Google Privacy Policy
⚖️ Autorità: Se richiesto per legge
✅ Consenso esplicito: Solo con tua autorizzazione

7. I Tuoi Diritti

👁️ Accesso: Vedere tutti i tuoi dati
✏️ Rettifica: Correggere informazioni errate
🗑️ Cancellazione: Eliminare l'account e tutti i dati
📦 Portabilità: Esportare i tuoi dati
⏸️ Limitazione: Bloccare alcuni trattamenti
❌ Opposizione: Rifiutare marketing

            🎯 Cancellazione facile: Puoi eliminare il tuo account in qualsiasi momento dalla dashboard. La cancellazione è immediata e definitiva.
        

8. Sicurezza dei Dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati personali, in conformità all'Art. 32 del GDPR, inclusi ma non limitati a:

8.1 Misure Tecniche Implementate

🔐 Crittografia Dati Sensibili (AES-256-GCM)

IBAN e Codici Fiscali sono crittografati utilizzando l'algoritmo AES-256-GCM (Advanced Encryption Standard con Galois/Counter Mode), lo stesso standard utilizzato da istituzioni bancarie, agenzie governative e forze armate.

Caratteristiche:

Chiave di cifratura a 256 bit (2^256 combinazioni possibili)
IV (Initialization Vector) univoco per ogni dato cifrato
Tag di autenticazione per prevenire manomissioni
Chiavi di cifratura conservate separatamente dal database

Implicazioni per la sicurezza: Anche in caso di accesso non autorizzato al database, i dati bancari risulterebbero completamente illeggibili senza la chiave di decifratura.

🔒 Crittografia delle Comunicazioni

HTTPS/TLS: Tutte le comunicazioni tra il tuo browser e i nostri server sono cifrate con certificati SSL/TLS
HSTS (HTTP Strict Transport Security): Forzatura connessioni HTTPS per 1 anno

🛡️ Security Headers HTTP

Implementiamo header di sicurezza avanzati per proteggere da attacchi comuni:

Content-Security-Policy (CSP): Controlla quali risorse possono essere caricate ed eseguite
X-Frame-Options: Protezione da Clickjacking (impedisce incorporamento in iframe malevoli)
X-Content-Type-Options: Prevenzione MIME Sniffing
X-XSS-Protection: Protezione Cross-Site Scripting

✋ Protezione CSRF (Cross-Site Request Forgery)

Token di sicurezza univoci per ogni sessione
Validazione su tutte le operazioni di scrittura (POST/PUT/DELETE)
Protezione su 100% degli endpoint critici

🛑 Protezione SQL Injection

Utilizzo esclusivo di Prepared Statements PDO per tutte le query database
Sanitizzazione input utente
Validazione lato server su tutti i campi

🔑 Gestione Password

Password hashate con bcrypt (algoritmo resistente a bruteforce)
Protezione brute force: blocco account dopo 5 tentativi falliti
Reset password con token temporanei univoci (validità 1 ora)

8.2 Limitazione Accesso

I dati personali sono accessibili solo a:

Personale autorizzato con necessità operativa e vincolo di riservatezza
Sistemi automatici con accesso limitato e loggato
Processori dati (fornitori terzi) vincolati da Data Processing Agreement (DPA)

8.3 Conservazione Chiavi Crittografiche

Chiavi di cifratura conservate in variabili d'ambiente protette (.env)
Mai memorizzate nel database o in file accessibili pubblicamente
Accessibili solo all'applicazione tramite sistema di configurazione sicuro

8.4 Audit e Monitoring

Log di accesso ai dati sensibili
Monitoring automatico di attività sospette
Review periodiche delle misure di sicurezza
Test di penetrazione e vulnerability assessment

8.5 Violazione dei Dati (Data Breach)

In caso di violazione dei dati personali che presenti un rischio per i diritti e le libertà degli interessati, ci impegniamo a:

Notificare il Garante Privacy entro 72 ore dalla scoperta (Art. 33 GDPR)
Comunicare agli interessati senza ingiustificato ritardo se il rischio è elevato (Art. 34 GDPR)
Documentare la violazione, le sue conseguenze e i rimedi adottati
Assistenza gratuita agli utenti coinvolti

Nota: La crittografia AES-256 dei dati sensibili riduce significativamente il rischio di danno in caso di accesso non autorizzato, rendendo i dati incomprensibili senza la chiave di decifratura.

📖 Maggiori Informazioni sulla Sicurezza

Per dettagli tecnici completi sulle nostre misure di sicurezza, consulta la pagina dedicata: Come Proteggiamo i Tuoi Dati

9. Cookie e Tecnologie di Sicurezza

Utilizziamo cookies tecnici essenziali e cookies di terze parti per sicurezza e funzionalità del sito.

9.1 Cookie Tecnici (nostri)

Sessione (PHPSESSID): Mantiene il login e la sessione utente (necessario)
Ricordami (remember_me): Login automatico se selezionato, durata 30 giorni (opzionale)
Preferenze utente: Salva impostazioni personali (opzionale)
Cookie consent: Ricorda le tue preferenze sui cookie per 12 mesi (necessario GDPR)

9.2 Cookie di Terze Parti - Google reCAPTCHA v3

Per proteggere il sito da bot e attività di spam, utilizziamo Google reCAPTCHA v3:

📍 Dove lo usiamo: Form iscrizione newsletter, form di contatto, registrazione account
🎯 Finalità: Prevenzione spam, bot, abusi e attività fraudolente
🍪 Cookie installati: _GRECAPTCHA (temporaneo, durata ~6 mesi)
📊 Dati trasmessi a Google: Indirizzo IP, tipo di browser, movimenti mouse, interazioni con la pagina
⏱️ Conservazione: Google conserva i dati secondo la propria privacy policy (vedi link)
📋 Info: Privacy Policy Google | Termini Servizio reCAPTCHA

9.3 Cookie di Terze Parti - Google Analytics

Per capire come gli utenti utilizzano il sito e migliorare l'esperienza, utilizziamo Google Analytics 4 (GA4):

📊 Finalità: Analisi traffico, comportamento utenti, performance del sito, statistiche anonime
🍪 Cookie installati:

_ga - Distingue utenti unici (durata: 2 anni)
_ga_* - Mantiene stato sessione (durata: 2 anni)
_gid - Distingue utenti (durata: 24 ore)

📈 Dati raccolti: Pagine visitate, tempo di permanenza, sorgente traffico, dispositivo, browser, posizione geografica approssimativa (città/regione)
🔒 Anonimizzazione IP: Attiva - Google Analytics non riceve il tuo IP completo
⏱️ Conservazione: I dati vengono conservati per 14 mesi, poi eliminati automaticamente
📋 Info: Privacy Policy Google | Come GA usa i cookie

⚙️ Controllo: Puoi rifiutare Google Analytics dal banner cookie. Il sito funzionerà normalmente anche senza.

9.4 Gestione Consenso Cookie

Al primo accesso visualizziamo un banner informativo dove puoi scegliere:

✅ Accetta tutti: Abilita tutti i cookie (tecnici + reCAPTCHA + Google Analytics)
⚙️ Solo essenziali: Disabilita reCAPTCHA e Google Analytics

Conseguenze rifiuto:

❌ Alcuni form potrebbero non funzionare (reCAPTCHA necessario per sicurezza)
❌ Non raccoglieremo statistiche anonime (Google Analytics)
✅ Il sito funzionerà comunque per navigazione e visualizzazione offerte

La tua scelta viene salvata per 12 mesi. Puoi modificarla in qualsiasi momento contattandoci.

10. Minori

Il servizio è rivolto a maggiorenni. Non raccogliamo consapevolmente dati di minori di 18 anni.

11. Modifiche alla Privacy Policy

Eventuali modifiche saranno comunicate via email e pubblicate sul sito. L'uso continuato implica accettazione.

12. Contatti

Per esercitare i tuoi diritti o per domande:
📧 Email: mail@rimborsospesa.it
📝 Form: Pagina Contatti
⏰ Tempo di risposta: Entro 30 giorni

← Torna alla Homepage