Botely

Privacy Policy

v1.0 · In vigore dal 14 maggio 2026

In breve

  • Botely è il titolare del trattamento dei dati personali che ci comunichi. Trattiamo il minimo necessario per gestire il Servizio e per adempiere agli obblighi di legge.
  • Non vendiamo mai i tuoi dati. Non effettuiamo profilazione individuale degli abbonati: i segnali sono distribuiti in modalità broadcast, identici per ciascun tier.
  • I sub-responsabili sono elencati di seguito; i trasferimenti internazionali (Stripe USA) si fondano sulle Clausole Contrattuali Standard UE e, ove applicabile, sull'EU-US Data Privacy Framework.
  • Puoi accedere, correggere, cancellare o esportare i tuoi dati e presentare reclamo al Garante per la protezione dei dati personali.

1. Titolare del trattamento

1.1. Titolare del trattamento è Botely — società italiana a responsabilità limitata in fase di costituzione, prima del lancio commerciale. Fino ad allora il servizio è operato in pre-launch dal team fondatore in proprio.

1.2. Contatto privacy: privacy@botely.trade. Contatto DPO: dpo@botely.trade. Un DPO formale sarà designato al più tardi al momento della costituzione.

2. Categorie di dati personali trattati

2.1. Dati account — indirizzo email, nome, hash della password, preferenza di lingua.

2.2. Dati identificativi (KYC), raccolti al signup non appena attivata la procedura di adeguata verifica della clientela: documento d'identità ufficiale, data di nascita, residenza, selfie (liveness check), trattati per nostro conto da un provider KYC specializzato (Sumsub o Onfido).

2.3. Dati di sottoscrizione e fatturazione — piano, periodicità di fatturazione, Customer ID Stripe, fatture, stato dei pagamenti. I dati della carta sono trattati direttamente da Stripe e non sono memorizzati sulla nostra infrastruttura.

2.4. Utilizzo del Servizio — URL del webhook, chat ID Telegram, preferenze di delivery via email, log di delivery dei segnali, storico delle simulazioni paper trading.

2.5. Dati tecnici — indirizzo IP, user agent, timestamp delle richieste, identificativi di sessione, token anti-bot (Cloudflare Turnstile).

2.6. Corrispondenza — email, ticket di assistenza, registri dei reclami.

2.7. Dati di infrastruttura di trading, trattati solo qualora l'utente attivi la Funzione di Autotrade Opzionale: l'indirizzo dell'account principale Hyperliquid dell'utente (un identificativo EVM pseudonimo), l'indirizzo pubblico e i metadati dell'azione EIP-712 `approveAgent` firmata dal wallet dell'utente, e — cifrata at-rest tramite AES-256-GCM con master key custodita server-side — la chiave privata dell'agent wallet controllato da Botely che firma gli ordini sui tre mercati whitelisted (ETH-USD, SOL-USD, BNB-USD) sull'account principale Hyperliquid dell'utente. Non riceviamo, non conserviamo e non abbiamo alcun mezzo per derivare la frase mnemonica, il seed o la chiave privata principale del wallet dell'utente. Non conserviamo informazioni sull'attività on-chain complessiva dell'utente oltre quanto strettamente necessario all'operatività del Bot (storico ordini sui tre mercati whitelisted).

2.8. Preferenze di sizing dell'Abbonato — capital ceiling del tier, toggle on/off per Strategia, frazioni di sizing — scelti dall'utente nell'area riservata. Si tratta di dati di configurazione e non di profilazione: i segnali sono comunque identici per tutti gli abbonati del medesimo tier.

3. Finalità e basi giuridiche del trattamento

3.1. Esecuzione del contratto (art. 6, par. 1, lett. b GDPR): erogazione dell'account, distribuzione dei segnali attraverso i canali scelti dall'utente, fatturazione dell'abbonamento, simulazione paper trading, comunicazioni relative al Servizio.

3.2. Adempimento di obblighi di legge (art. 6, par. 1, lett. c GDPR): antiriciclaggio (CDD), conservazione documentale fiscale, conservazione del registro delle raccomandazioni di investimento per almeno cinque anni ai sensi dell'art. 20 Regolamento (UE) 596/2014 e del Regolamento delegato (UE) 2016/958.

3.3. Legittimo interesse (art. 6, par. 1, lett. f GDPR): prevenzione frodi e abusi, monitoraggio della sicurezza, audit logging, difesa in giudizio. I legittimi interessi sono stati bilanciati con i diritti fondamentali dell'interessato; è possibile opporsi al trattamento su tale base (vedi sezione 8).

3.4. Consenso (art. 6, par. 1, lett. a GDPR): comunicazioni marketing opzionali e ogni futuro cookie analitico o di marketing (nessuno attivo alla Data di efficacia). Il consenso è revocabile in qualsiasi momento.

4. Assenza di profilazione individuale

4.1. Botely non effettua profilazione individuale degli abbonati. I segnali sono prodotti da algoritmi che analizzano esclusivamente dati di mercato; sono distribuiti in modalità identica a tutti gli abbonati di un determinato tier, senza tenere conto delle circostanze del singolo abbonato.

4.2. Non sussiste processo decisionale automatizzato ai sensi dell'art. 22 GDPR che produca effetti giuridici per l'interessato. La sottoscrizione di un abbonamento, la sospensione di un account per abuso e simili decisioni operative sono prese da persone fisiche (o non hanno natura valutativa).

5. Destinatari e sub-responsabili

5.1. Condividiamo dati personali soltanto con sub-responsabili che agiscono sulle nostre istruzioni documentate, sulla base di un Accordo sul Trattamento dei Dati conforme all'art. 28 GDPR.

5.2. Elenco attuale dei sub-responsabili:

Stripe Payments Europe, Ltd. / Stripe, Inc. (Irlanda / USA) — fatturazione e processamento dei pagamenti.

Hetzner Online GmbH (Germania) — hosting e infrastruttura per server applicativo e database.

Resend, Inc. (USA) — delivery delle email transazionali.

Cloudflare, Inc. (USA) — Turnstile anti-bot, edge proxy, DNS.

Upstash, Inc. (USA / regioni UE) — cache Redis e code di messaggi utilizzate per la distribuzione dei segnali e lo stato runtime.

Altervista S.r.l. (Italia) — endpoint di watchdog esterno che riceve un ping periodico firmato HMAC dalla nostra infrastruttura (nessun dato dell'abbonato è trasmesso; solo un token di heartbeat).

Sumsub o Onfido (provider KYC, da attivare prima del lancio commerciale).

Sentry, Inc. / Axiom Cloud, Inc. (monitoring errori e log, opzionale, solo se attivato).

5.3. L'elenco aggiornato è riprodotto anche nella Cookie Policy e viene mantenuto allineato; gli abbonati saranno informati di modifiche sostanziali.

6. Trasferimenti internazionali

6.1. Alcuni sub-responsabili hanno sede al di fuori dello Spazio economico europeo (principalmente negli Stati Uniti: Stripe, Resend, Cloudflare). I trasferimenti si fondano su:

(a) Clausole Contrattuali Standard adottate dalla Commissione europea ai sensi dell'art. 46, par. 2, lett. c) GDPR; e/o

(b) EU-US Data Privacy Framework, in forza della decisione di adeguatezza adottata dalla Commissione il 10 luglio 2023, per i sub-responsabili autocertificati.

6.2. Un Transfer Impact Assessment è disponibile su richiesta.

7. Conservazione

7.1. Dati account: per la durata del rapporto contrattuale e per 5 anni successivi (termini di prescrizione).

7.2. Dati KYC: 5 anni dalla cessazione del rapporto (art. 31 D.Lgs. 21 novembre 2007, n. 231).

7.3. Registro raccomandazioni di investimento: almeno 5 anni dalla generazione (record-keeping MAR).

7.4. Documentazione fiscale: 10 anni (normativa tributaria italiana).

7.5. Log applicativi e di sicurezza: 12 mesi.

7.6. Backup del database: 90 giorni.

7.7. Chiave privata dell'agent wallet Botely (cifrata at-rest): per la durata dell'opt-in alla Funzione di Autotrade Opzionale. La chiave è rimossa dai datastore attivi al verificarsi di uno dei seguenti eventi: (a) disattivazione dell'autotrade dall'area riservata; (b) revoca dell'agent wallet dall'account Hyperliquid dell'utente; (c) chiusura dell'account. I backup del database contenenti copie cifrate precedenti seguono la retention di 90 giorni di cui al punto 7.6.

7.8. Decorso il periodo di conservazione applicabile, i dati personali sono cancellati o anonimizzati in modo irreversibile.

8. Diritti dell'interessato

8.1. L'interessato ha il diritto di: accedere ai propri dati (art. 15 GDPR), chiederne la rettifica (art. 16), la cancellazione (art. 17), la limitazione del trattamento (art. 18), la portabilità (art. 20), opporsi al trattamento basato su legittimo interesse (art. 21), revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.

8.2. Per esercitare uno qualunque dei diritti scrivere a privacy@botely.trade. Risponderemo entro 30 giorni; tale termine può essere prorogato di ulteriori due mesi in caso di richieste complesse, dandone informazione entro il primo mese.

8.3. L'interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali — garanteprivacy.it — ovvero all'autorità di controllo del proprio Stato membro di residenza abituale.

9. Cookie e tecnologie simili

9.1. Botely utilizza cookie strettamente necessari e tecnologie analoghe per mantenere l'utente collegato, ricordare la preferenza di lingua e proteggere il Servizio dai bot. Tali tecnologie sono ammesse senza consenso ai sensi dell'art. 5(3) Direttiva 2002/58/CE (ePrivacy) e dell'art. 122 Codice Privacy.

9.2. Cookie analitici e di marketing opzionali non sono utilizzati alla Data di efficacia. Qualora venissero introdotti in futuro, sarà richiesto il consenso tramite banner.

9.3. Dettagli completi nella Cookie Policy.

10. Sicurezza

10.1. Applichiamo misure tecniche e organizzative appropriate al rischio: cifratura AES-256-GCM dei dati sensibili a riposo (inclusa, ove applicabile, la chiave privata dell'agent wallet Botely di cui al punto 2.7), TLS per i dati in transito, hashing delle password con algoritmi industry-standard, token di sessione a breve durata, autenticazione a più fattori per gli accessi amministrativi, principio del minimo privilegio, backup off-site, gestione delle vulnerabilità.

10.2. Lo scope protocollare dell'agent wallet Botely su Hyperliquid (autorità di solo trading: niente prelievi, niente trasferimenti di saldo, nessuna azione non di trading) costituisce un controllo applicato direttamente da Hyperliquid: anche nello scenario peggiore in cui la chiave cifrata dell'agent fosse compromessa, l'attaccante non sarebbe in grado di prelevare fondi, trasferire saldi o effettuare alcuna azione non di trading. Il codice di esecuzione server-side di Botely limita ulteriormente l'agent al place/cancel di ordini su ETH-USD, SOL-USD e BNB-USD. La perdita della master encryption key renderebbe inerti i ciphertext esistenti; gli utenti riapproverebbero nuovi agent wallet dai propri wallet.

10.3. In caso di violazione di dati personali, notificheremo l'utente e l'autorità di controllo competente nei tempi previsti dagli artt. 33 e 34 GDPR.

11. Minori

11.1. Il Servizio non è destinato a, e non può essere utilizzato da, persone minori di 18 anni. Non raccogliamo consapevolmente dati personali di minori. Qualora ne venissimo a conoscenza, provvederemo alla cancellazione senza indebito ritardo.

12. Modifiche alla Privacy Policy

12.1. Potremo aggiornare la presente Privacy Policy periodicamente. Le modifiche sostanziali saranno notificate via email e tramite banner in-product almeno 30 giorni prima dell'efficacia. Le modifiche non sostanziali (chiarimenti, formattazione) sono efficaci dalla pubblicazione.

Contatti

  • BotelySocietà italiana a responsabilità limitata in fase di costituzione, prima del lancio commerciale. Fino ad allora il servizio è operato in pre-launch dal team fondatore in proprio, contattabile agli indirizzi sotto riportati.
  • privacy@botely.trade
  • compliance@botely.trade (compliance / MAR)
  • dpo@botely.trade (DPO)
  • Indirizzo (post-costituzione): Da confermare al momento della costituzione.

I presenti documenti sono pubblicati in inglese (versione canonica) e in italiano. In caso di conflitto interpretativo tra le due versioni, prevale la versione inglese.

Storico delle versioni

  • v1.0 — 2026-05-14 — Prima pubblicazione.