Termini di Servizio

I presenti Termini di Servizio (i "Termini") regolano l'accesso e l'uso del sito web zerohunt.ai, dell'appliance Zero Hunt (hardware + software) e di qualsiasi servizio associato (collettivamente, la "Piattaforma"), forniti da Over Holding Srl, con sede legale in Viale Tricesimo n.200, 33100 Udine, Italia, P.IVA IT02945890305 ("Zero Hunt", "noi"). La Piattaforma è un prodotto di cybersecurity regolato e i presenti Termini si applicano in aggiunta al Contratto di Licenza firmato con ciascun cliente.

Accedendo alla Piattaforma o a qualsiasi parte della superficie di servizio Zero Hunt, accetti di essere vincolato dai presenti Termini, dalla nostra Privacy Policy e dal nostro Trust Center. Se non sei d'accordo con qualsiasi parte dei presenti Termini, non accedere né usare la Piattaforma. L'uso continuato dopo modifiche sostanziali costituisce accettazione.

Zero Hunt è un'appliance autonoma di cybersecurity AI on-premise che combina:

• Penetration testing generativo via uno sciame AI multi-agente che gira localmente sulla GPU dell'appliance;
• Analisi deep-packet AI del traffico in tempo reale sui segmenti customer selezionati dal cliente;
• Assemblaggio continuo di evidenze di compliance su 32+ framework con artefatti firmati crittograficamente.

L'appliance è installata on-premise nell'infrastruttura del cliente. Per default, nessun dato cliente, telemetria o output analitico lascia il perimetro cliente durante l'operazione normale. La Piattaforma è destinata esclusivamente a testing di sicurezza e detection autorizzati, su sistemi di proprietà del cliente o per i quali il cliente ha documentata autorizzazione scritta a testare.

Soggetto al Contratto di Licenza e ai presenti Termini, Zero Hunt concede al cliente una licenza non esclusiva, non trasferibile, non sublicenziabile, revocabile, di usare la Piattaforma nell'ambito e per la durata specificati nel Contratto di Licenza. La licenza NON permette:

• Reverse engineering, decompilazione o tentativi di derivare il codice sorgente o i pesi dei modelli AI;
• Rimozione o modifica del kill-switch, del logging o dei controlli di supervisione umana richiesti dall'AI Act UE;
• Rivendita, leasing, o fornitura come servizio gestito a terzi senza un accordo di canale autorizzato (vedi Programma Partner);
• Uso della Piattaforma fuori dallo scope di engagement, dalle rules of engagement o dai target esplicitamente autorizzati per iscritto dall'accountable owner lato cliente;
• Uso per aggirare, bypassare o sconfiggere i controlli di sicurezza di qualsiasi sistema o servizio terzo, salvo che come parte di un engagement di sicurezza autorizzato su sistemi di proprietà del cliente o per i quali il cliente è contrattualmente incaricato di testare.

La Piattaforma esegue operazioni offensive di sicurezza. Ogni cliente, prima di configurare una qualsiasi campagna, deve stabilire e mantenere:

• Registro autorizzazioni: autorizzazione scritta documentata per ogni sistema target, firmata dall'accountable owner del sistema. L'autorizzazione deve precedere la prima campagna.
• Rules of Engagement (RoE): scope definito, tecniche consentite, finestre temporali, cap di blast-radius, contatti di escalation, policy del kill-switch. Le RoE vanno riviste prima di ogni nuova categoria di campagna.
• Documento di scope-of-engagement: target in scope esplicitamente enumerati; sistemi fuori scope esplicitamente esclusi. Scope wildcard o open-ended non sono permessi salvo coperti da ownership enterprise-wide.
• Accountable Security Officer: una persona nominata lato cliente, con autorità di autorizzare, sospendere o revocare campagne.

L'uso autorizzato è limitato a: (a) testing di sicurezza su sistemi di proprietà del cliente; (b) testing di sicurezza su sistemi per cui il cliente è incaricato di testare sotto autorizzazione documentata; (c) monitoraggio difensivo all'interno del perimetro autorizzato del cliente; (d) valutazione di compliance per la propria organizzazione del cliente o per i suoi clienti.

La Piattaforma NON deve MAI essere usata per, o in connessione con:

• Accesso, attacco, disruption, sorveglianza o estrazione dati non autorizzati su qualsiasi sistema non incluso nel perimetro autorizzato del cliente;
• Infrastrutture critiche (energia, acqua, trasporti, sanità, infrastrutture di mercato finanziario) non di proprietà del cliente o non sotto autorizzazione scritta esplicita;
• Generazione, distribuzione o testing di malware, ransomware o payload distruttivi fuori dall'ambiente di esecuzione sandboxed della Piattaforma;
• Attività mirata contro persone fisiche (cyber-stalking, molestie, sorveglianza, dox'ing) — la Piattaforma è per security a livello di sistema, non per targeting umano;
• Attività che violi il Reg. UE 2021/821 sui beni dual-use, US ITAR/EAR o regimi sanzionatori (UE, OFAC, UK OFSI, Consiglio di Sicurezza ONU);
• Attività in o diretta verso giurisdizioni sanzionate o entità sanzionate;
• Misrappresentazione dell'output della Piattaforma come attestazione, certificazione o assurance di terza parte — l'output Zero Hunt è evidenza interna del cliente e va presentato come tale;
• Aggiramento o modifica del kill-switch, dell'audit logging o dei controlli di supervisione umana AI Act;
• Qualsiasi attività che violi la legge applicabile, inclusi senza limitazione gli artt. 615-ter (accesso abusivo), 615-quater (detenzione e diffusione abusiva di codici di accesso), 617-quater (intercettazione illecita) del Codice Penale italiano, il UK Computer Misuse Act 1990, lo US Computer Fraud and Abuse Act, o equivalente legislazione nazionale.

Il cliente dichiara e garantisce, su base continuativa, che:

• Ha piena autorità di usare la Piattaforma contro ogni target che configura;
• Ha, prima di qualsiasi campagna, ottenuto le autorizzazioni scritte e le RoE richieste dalla Sezione 5;
• Mantiene supervisione umana efficace di tutte le operazioni della Piattaforma, in linea con l'art. 14 AI Act (vedi Sezione 8);
• Non abiliterà, incoraggerà o permetterà consapevolmente alcun uso proibito ex Sezione 6;
• Manterrà l'appliance aggiornata entro 30 giorni dal rilascio di una notifica di update security-relevant da parte di Zero Hunt;
• Conserverà log di audit e artefatti di evidenza firmati per il periodo richiesto dalla legge applicabile (NIS2, DORA, GDPR, settoriale) e non meno di 24 mesi;
• Notificherà Zero Hunt senza ingiustificato ritardo, e comunque entro 72 ore, di qualsiasi incidente, difetto o sospetta compromissione della Piattaforma che possa impattare altri clienti o Zero Hunt stessa.

L'engine offensivo Zero Hunt è classificato come sistema AI ad alto rischio ai sensi dell'Allegato III del Regolamento UE 2024/1689 ("AI Act"), in quanto deployato nella sicurezza delle infrastrutture critiche. Entrambe le parti hanno obblighi distinti:

• Zero Hunt come provider (artt. 9-19): sistema di gestione del rischio, documentazione tecnica, logging, trasparenza, controlli di supervisione umana, dichiarazioni di accuratezza/robustezza/cybersecurity, sistema di gestione della qualità, monitoraggio post-market. Gli artefatti di conformità dettagliati sono disponibili ai clienti sotto NDA via [email protected].
• Cliente come deployer (art. 26): uso della Piattaforma in linea con le istruzioni documentate; mantenimento di supervisione umana significativa e capacità di kill-switch; monitoraggio dell'operazione; sospensione dell'operazione se rileva un incidente grave; cooperazione con l'autorità nazionale competente; conservazione dei log per almeno 6 mesi (più a lungo dove si applicano regole settoriali).

La Piattaforma NON pone in essere pratiche AI proibite ai sensi dell'art. 5 dell'AI Act (no social scoring, no manipolazione subliminale, no sfruttamento di vulnerabilità di persone, no scraping non mirato di immagini facciali).

Tutti i diritti di proprietà intellettuale sulla Piattaforma — incluso software, pesi dei modelli AI, algoritmi, corpus di backtest AI Gym, documentazione, marchi, contenuti del sito web e i template di artefatti del Trust Center — appartengono a Over Holding Srl o ai suoi licenzianti. Niente nei presenti Termini trasferisce proprietà; il cliente riceve solo la licenza limitata descritta nella Sezione 4 e nel Contratto di Licenza.

Finding, file di evidenza, report firmati e artefatti di remediation generati dalla Piattaforma da operazioni sui sistemi propri del cliente appartengono al cliente. Il cliente concede a Zero Hunt una licenza limitata, non esclusiva, di accedere a metadati anonimizzati strettamente per monitoraggio post-market AI Act e incident response di sicurezza — solo con opt-in esplicito via sync server opzionale, mai per default.

Il trattamento di dati personali eseguito da Zero Hunt in qualità di titolare è governato dalla nostra Privacy Policy, conforme al Reg. UE 2016/679 ("GDPR"). Per tutti i subprocessor del sito web e dell'infrastruttura sales, vedi Trust Center.

Quando l'uso della Piattaforma da parte del cliente implica trattamento di dati personali per conto del cliente (es. processing di identificativi utente endpoint come parte di testing interno di sicurezza), Zero Hunt opera come responsabile del trattamento e un Data Processing Agreement ai sensi dell'art. 28 GDPR viene sottoscritto come parte del Contratto di Licenza. Il template di DPA è disponibile su richiesta a [email protected].

Nota architetturale: la Piattaforma gira interamente on-premise. Per default, nessun dato personale trattato dall'appliance lascia il perimetro cliente. Il DPA copre i casi limitati (accesso di manutenzione lato operatore sotto autorizzazione, bundle di update firmati) in cui questo default potrebbe essere superato.

Ciascuna parte si impegna a: (a) mantenere riservate tutte le informazioni non pubbliche divulgate dall'altra parte in relazione alla Piattaforma, incluse senza limitazione codice sorgente, dettagli dei modelli AI, finding di sicurezza, threat intelligence, pricing e roadmap; (b) usare tali informazioni solo per le finalità contemplate dai presenti Termini e dal Contratto di Licenza; (c) proteggere tali informazioni con almeno lo stesso grado di cura che usa per le proprie informazioni riservate di pari importanza, e comunque non inferiore a uno standard ragionevole di cura.

Gli obblighi di riservatezza sopravvivono alla cessazione per un periodo di 5 anni (o più a lungo dove richiesto dalla legge, es. per i segreti commerciali). La divulgazione obbligata da ordine giudiziario o da un regolatore competente è permessa, con previa notifica all'altra parte ove lecito.

La Piattaforma può includere elementi classificati come dual-use ai sensi del Reg. UE 2021/821, inclusi strumenti offensivi di cybersecurity che possono ricadere nella categoria 4 (computer) o 5 (telecomunicazioni e sicurezza delle informazioni) dell'EU Dual-Use List. Il cliente:

• Non esporterà, ri-esporterà, trasferirà o userà la Piattaforma in o verso qualsiasi giurisdizione soggetta a sanzioni UE, US, UK o ONU;
• Non fornirà la Piattaforma a persone, entità o governi sanzionati, né a persone iscritte nella EU Consolidated Sanctions List, OFAC SDN List, UK OFSI Consolidated List, o equivalenti;
• Otterrà qualsiasi autorizzazione di esportazione richiesta dal Reg. UE 2021/821, US EAR/ITAR, o regimi nazionali equivalenti prima di trasferire la Piattaforma transfrontalierae;
• Riconosce che i controlli dell'Accordo di Wassenaar sull'intrusion software possono applicarsi e si conformerà alle misure nazionali di attuazione.

Zero Hunt può sospendere o terminare la Licenza immediatamente al divenir consapevole di qualsiasi violazione della presente Sezione, senza responsabilità per la conseguente interruzione del servizio.

Zero Hunt opera un programma di coordinated vulnerability disclosure per la Piattaforma e il sito. La policy completa, gli indirizzi di contatto e la timeline di acknowledgement sono pubblicati su /trust e nel file RFC 9116 a /.well-known/security.txt.

Il cliente accetta di: (a) segnalare qualsiasi vulnerabilità scoperta nella Piattaforma a [email protected] entro 30 giorni dalla scoperta; (b) non divulgare pubblicamente la vulnerabilità prima del primo tra (i) la finestra di remediation concordata (default 90 giorni dall'acknowledgement) o (ii) il consenso scritto di Zero Hunt; (c) non sfruttare la vulnerabilità oltre quanto necessario a dimostrarla.

I ricercatori che agiscono in buona fede nell'ambito della policy di disclosure pubblicata non sono soggetti ad azione legale da parte di Zero Hunt.

Per tutto il periodo in cui il cliente è in uso attivo della Piattaforma, il cliente può, con preavviso scritto di non meno di 30 giorni e non più di una volta ogni dodici mesi (salvo che un incidente grave o un ordine del regolatore renda ragionevole un audit più frequente):

• Richiedere copia della documentazione tecnica AI Act di Zero Hunt per la versione in deployment;
• Richiedere copia del più recente report di penetration test di terza parte sull'immagine dell'appliance (redatto come necessario);
• Richiedere il report SOC 2 una volta disponibile, o conferma scritta dello stato attuale della certificazione;
• Ricevere risposte scritte a un ragionevole questionario di sicurezza.

Audit on-site e accesso a codice sorgente non pubblico o infrastruttura di produzione richiedono accordo scritto separato e sono a discrezione di Zero Hunt.

Gli impegni di livello di servizio — inclusi tempi di incident response, SLA delle patch di sicurezza e cadenza degli update — sono definiti nel Contratto di Licenza specifico di ciascun deployment. Impegni baseline applicabili a tutti i clienti:

• Patch critiche di sicurezza: rilasciate non appena ragionevolmente possibile dopo verifica, con target massimo di 14 giorni da vulnerabilità CVSS ≥9.0 confermata nella Piattaforma;
• Acknowledgement di vulnerability disclosure: 5 giorni lavorativi dalla ricezione su [email protected];
• Aggiornamenti documentazione: documentazione AI Act e compliance rinfrescata entro 30 giorni da un cambio regolatorio sostanziale.

Il cliente manleva Zero Hunt, i suoi amministratori, dirigenti, dipendenti e affiliati da qualsiasi pretesa, danno, sanzione, transazione o spesa (incluse ragionevoli spese legali) derivanti da o connessi a:

• Uso della Piattaforma fuori dallo scope di autorizzazione, dalle RoE, o in violazione delle Sezioni 5, 6 o 7;
• Mancata ottenuta o mantenuta autorizzazione scritta dei target richiesta dalla Sezione 5;
• Misrappresentazione dell'output della Piattaforma come attestazione di terza parte;
• Violazione degli obblighi di export control, sanzioni o dual-use ai sensi della Sezione 12;
• Qualsiasi pretesa di terzi che alleghi che le campagne configurate dal cliente o le RoE abbiano violato diritti di tale terzo o leggi applicabili.

Zero Hunt manleva il cliente da qualsiasi pretesa di terzi che alleghi che la Piattaforma, come consegnata e usata entro lo scope autorizzato documentato, violi i diritti di proprietà intellettuale di tale terzo nell'UE. Zero Hunt potrà, a sua scelta, modificare la Piattaforma per renderla non infrangente, procurarsi una licenza, o rimborsare la parte non usata dei compensi pagati per la versione interessata. Questo è l'unico obbligo di manleva di Zero Hunt in materia di violazione IP.

Nella misura massima permessa dalla legge applicabile:

• La Piattaforma è fornita "as is" e "as available". Zero Hunt non garantisce che la Piattaforma identifichi tutte le vulnerabilità, prevenga tutti gli attacchi o soddisfi tutti i requisiti regolatori — la sicurezza è una pratica continua, non una proprietà del prodotto;
• Zero Hunt non è responsabile per danni indiretti, incidentali, speciali, consequenziali, punitivi o esemplari — inclusi senza limitazione mancati profitti, perdita di business, perdita di dati o interruzione di business — anche se avvertita della possibilità;
• La responsabilità aggregata totale di Zero Hunt ai sensi o in connessione con i presenti Termini e con il Contratto di Licenza, indipendentemente dalla causa di azione, non eccederà i compensi pagati dal cliente a Zero Hunt per la Piattaforma nei 12 mesi precedenti l'evento che ha dato origine al claim;
• Niente nei presenti Termini limita la responsabilità per: dolo, colpa grave, morte o lesione personale causata da negligenza, frode o misrappresentazione fraudolenta, o qualsiasi altra responsabilità che non può essere limitata ai sensi della legge applicabile.

Ciascuna parte può terminare il Contratto di Licenza per inadempimento sostanziale dell'altra parte, ove tale inadempimento non sia sanato entro 30 giorni dalla notifica scritta. Zero Hunt può sospendere o terminare la Licenza immediatamente per violazione delle Sezioni 4, 5, 6 o 12.

Alla cessazione: (a) il diritto del cliente di usare la Piattaforma cessa; (b) il cliente può, per 90 giorni, continuare ad accedere al Trust Center per esportare i bundle storici di evidenze; (c) il cliente resta responsabile di conservare i propri finding e log per il periodo richiesto dalla legge applicabile; (d) Zero Hunt non conserva telemetria cliente — l'architettura on-premise significa che non c'è nulla dal lato Zero Hunt da cancellare; (e) le Sezioni 9, 10, 11, 12, 13, 16, 17, 20 e 23 sopravvivono alla cessazione.

Nessuna delle parti è responsabile per inadempimento o ritardo nell'esecuzione nella misura in cui sia causato da eventi al di fuori del ragionevole controllo, inclusi senza limitazione atti di guerra, terrorismo, sabotaggio, pandemia, azione governativa, interruzioni di internet o telecomunicazioni, o calamità naturali. La parte interessata farà sforzi ragionevoli per riprendere l'esecuzione il prima possibile e notificherà prontamente l'altra parte.

I presenti Termini sono governati da e interpretati in conformità con le leggi italiane, senza riguardo ai principi di conflitto di leggi. Qualsiasi controversia derivante da o in connessione con i presenti Termini sarà soggetta alla giurisdizione esclusiva dei tribunali di Udine, Italia, fatti salvi: (a) il diritto di ciascuna parte di richiedere provvedimenti d'urgenza o cautelari in qualsiasi giurisdizione competente per proteggere proprietà intellettuale o informazioni riservate; (b) il diritto del consumatore (ove applicabile) di promuovere azione nel proprio luogo di domicilio ai sensi del Reg. UE 1215/2012.

Zero Hunt può modificare i presenti Termini di tempo in tempo. Le modifiche sostanziali saranno notificate aggiornando la data di "Ultimo aggiornamento" in cima a questa pagina e, ove appropriato, mediante notifica diretta ai clienti attivi. L'uso continuato della Piattaforma dopo modifiche sostanziali costituisce accettazione dei Termini aggiornati. Il cliente può terminare il Contratto di Licenza senza penalità se non accetta una modifica sostanziale, mediante notifica scritta entro 30 giorni dall'entrata in vigore della modifica.

Se una qualsiasi disposizione dei presenti Termini è trovata invalida o non eseguibile, le restanti disposizioni restano in piena forza ed effetto; la disposizione invalida sarà sostituita da una disposizione valida che più si avvicina all'intento originario. I presenti Termini, insieme alla Privacy Policy, al Trust Center, al Contratto di Licenza (ove sottoscritto) e a qualsiasi Data Processing Agreement, costituiscono l'intero accordo tra le parti relativo alla Piattaforma e prevalgono su qualsiasi accordo precedente sullo stesso oggetto.

Le notifiche legali a Zero Hunt devono essere inviate a [email protected] E per raccomandata alla sede legale (Over Holding Srl, Viale Tricesimo n.200, 33100 Udine, Italia). Notifiche relative a incidenti di sicurezza a [email protected]. Notifiche relative al trattamento di dati personali a [email protected]. Le notifiche sono efficaci alla ricezione; le notifiche inviate durante un weekend o un giorno festivo in Italia sono efficaci il giorno lavorativo successivo.

Over Holding Srl
Viale Tricesimo n.200, 33100 Udine, Italia
P.IVA IT02945890305
Email: legal(at)zerohunt.ai · security(at)zerohunt.ai · dpo(at)zerohunt.ai