ELTEK S.P.A., Politica di divulgazione delle vulnerabilità
Data di entrata in vigore: 10/02/2026
Eltek S.p.A. si impegna a fornire ai propri clienti dispositivi IoT sicuri. La sicurezza è una priorità assoluta per Eltek S.p.A. Apprezziamo il contributo della comunità di ricerca nel campo della sicurezza. La presente politica descrive il modo in cui Eltek S.p.A. gestisce le segnalazioni di potenziali vulnerabilità nei prodotti IoT, il processo di divulgazione responsabile e le misure che vengono adottate per mitigare i rischi e proteggere gli utenti.
Nei prodotti IoT di Eltek S.p.A., una vulnerabilità è una debolezza logica che può essere sfruttata da una minaccia consentendo a un soggetto esterno non autorizzato di violare il perimetro digitale del dispositivo e causare un danno o compromettere la sicurezza. In pratica, si tratta di una debolezza che rende il prodotto suscettibile agli attacchi e consente a un soggetto malintenzionato di ottenere l’accesso non autorizzato al dispositivo, assumerne il controllo, accedere alle informazioni personali o utilizzare il dispositivo per scopi diversi da quelli previsti.

1. Ambito di applicazione della politica
La presente politica si applica esclusivamente ai dispositivi IoT progettati e prodotti da Eltek S.p.A.

2. Processo di divulgazione responsabile
Incoraggiamo una divulgazione responsabile delle vulnerabilità per garantire che vengano risolte in modo rapido e sicuro.
Incoraggiamo tutte le persone a segnalare eventuali vulnerabilità scoperte, indipendentemente dalla fase del ciclo di vita del prodotto. Condividiamo le preoccupazioni di coloro che effettuano le segnalazioni e ci impegniamo ad affrontare qualsiasi vulnerabilità che sia ragionevolmente collegata ai nostri prodotti. Consigliamo vivamente a chi effettua le segnalazioni di seguire un processo di divulgazione responsabile, poiché la divulgazione prematura di informazioni potrebbe esporre i sistemi dei nostri clienti a rischi inutili.
Si prega di seguire i passaggi riportati di seguito per segnalare eventuali vulnerabilità potenziali.

Passaggio 1: segnalare la vulnerabilità
Si prega di inviare le segnalazioni di vulnerabilità al nostro team di sicurezza compilando il modulo disponibile al pulsante “segnala una vulnerabilità” presente in fondo a questa pagina.

Per consentirci di valutare e rispondere rapidamente al problema, si prega di includere le seguenti informazioni nella segnalazione:
• Descrizione della vulnerabilità: una descrizione chiara e dettagliata del problema.
• Dispositivi interessati: i dispositivi IoT specifici interessati.
• Passaggi per riprodurre il problema: un metodo dettagliato e riproducibile per testare la vulnerabilità.
• Impatto: una valutazione del rischio e del potenziale impatto della vulnerabilità (ad esempio, accesso non autorizzato, fuga di dati, esecuzione di codice remoto).
• Informazioni aggiuntive: eventuali registri, screenshot, allegati o dati che possano essere utili alle indagini.
• I recapiti per eventuali follow-up.

Fase 2: Conferma di ricezione
Confermeremo la ricezione della segnalazione entro 48 ore. Il nostro team addetto alla sicurezza potrebbe ricontattarti per ulteriori domande o richieste di chiarimenti.

Fase 3: Indagine e risoluzione
Una volta confermata la vulnerabilità, il nostro team esaminerà il problema, lo classificherà in base al suo impatto e lavorerà alla risoluzione. Vi terremo informati sui nostri progressi e su tutte le azioni intraprese. Testeremo accuratamente tutte le soluzioni per assicurarci che non introducano nuovi problemi o regressioni.

Fase 4: Divulgazione pubblica
Una volta risolta o mitigata la vulnerabilità, informeremo via e-mail il mittente della segnalazione in merito al completamento dell’attività.
Il messaggio includerà:
• Una descrizione della vulnerabilità e del suo impatto.
• Le azioni intraprese per risolvere il problema.
• Eventuali avvisi di sicurezza o ulteriori indicazioni per gli utenti al fine di garantire la sicurezza dei dispositivi.

3. Cosa ci aspettiamo dai segnalatori
Inviando una segnalazione di vulnerabilità a Eltek S.p.A., l’utente accetta di:
• Agire in buona fede: non sfruttare o aggravare la vulnerabilità scoperta, non tentare di accedere o rubare dati sensibili, interrompere i servizi o danneggiare gli utenti.
• Segnalare in modo responsabile: non divulgare pubblicamente la vulnerabilità fino a quando non avremo avuto la possibilità di indagare e risolvere il problema.
• Rispettare la privacy: non accedere a informazioni private o personali identificabili.
• Collaborare: se richiesto, con il nostro team nel caso in cui siano necessarie ulteriori informazioni per risolvere il problema.
• Legalità: non violare alcuna legge penale, non causare danni a Eltek S.p.A., ai nostri clienti o ad altri.

4. Vulnerabilità fuori dall’ambito di applicazione
Pur apprezzando il contributo della comunità alla sicurezza, alcune vulnerabilità sono considerate fuori dall’ambito di applicazione di questo programma. Queste includono:
• Problemi a basso impatto che non presentano rischi significativi per la sicurezza, come piccoli problemi di usabilità.
• Qualsiasi altro problema che non può essere classificato come vulnerabilità.

5. Protezione legale
Ci impegniamo a fornire protezione legale ai ricercatori che seguono questa politica. Se ci segnalate una vulnerabilità in buona fede e seguite le linee guida qui descritte, non intraprenderemo alcuna azione legale nei vostri confronti.
Tuttavia, se violate queste linee guida (ad esempio, accedendo a sistemi o dati non autorizzati), ELTEK S.p.A. si riserva di intraprendere azioni legali appropriate. Assicuratevi sempre che le vostre azioni siano conformi alle leggi applicabili e agli standard etici.
La presente politica è regolata dalle leggi italiane.

6. Aggiornamenti della politica
ELTEK S.p.A. si riserva il diritto di aggiornare la presente Politica di divulgazione delle vulnerabilità secondo necessità, al fine di riflettere eventuali modifiche dei nostri processi, prodotti o al panorama della sicurezza. Pubblicheremo eventuali aggiornamenti su questa pagina e vi invitiamo a consultarla regolarmente.

Informazioni di contatto:
• E-mail del team di sicurezza: vulnerability@eltekgroup.it
• Link sulla vulnerabilità:

Segnala una vulnerabilità

Grazie per averci aiutato a rendere più sicuri i nostri dispositivi e servizi IoT.