Vulnerabilità Cross Site Scripting del tema Kapee//Pubblicato il 2026-04-25//CVE-2026-41557

TEAM DI SICUREZZA WP-FIREWALL

Kapee Theme Vulnerability

Nome del plugin Kapee
Tipo di vulnerabilità Cross Site Scripting
Numero CVE CVE-2026-41557
Urgenza Medio
Data di pubblicazione CVE 2026-04-25
URL di origine CVE-2026-41557

Kapee Theme (< 1.7.1) — Cross‑Site Scripting (XSS, CVE‑2026‑41557): Cosa devono fare ora i proprietari e gli sviluppatori di siti WordPress

Il 23 aprile 2026 è stata pubblicizzata una vulnerabilità che colpisce il tema WordPress Kapee (CVE‑2026‑41557). Il problema è stato classificato come un difetto di Cross‑Site Scripting (XSS) di gravità media con un punteggio base CVSS di 7.1. Colpisce le versioni di Kapee precedenti alla 1.7.1 ed è stata corretta nella 1.7.1.

Se il tuo sito utilizza Kapee e non è ancora aggiornato, trattalo come urgente — le vulnerabilità XSS vengono frequentemente sfruttate in campagne di massa perché possono essere utilizzate per consegnare JavaScript malevolo ai visitatori, dirottare sessioni, iniettare spam o reindirizzamenti, o intensificare attacchi contro gli utenti amministratori. Di seguito spiego, dalla prospettiva di un esperto di sicurezza WordPress e firewall, cosa significa questa vulnerabilità, come gli attaccanti possono armarla, come controllare se il tuo sito è colpito e i passi pratici di mitigazione e recupero che dovresti intraprendere oggi.

Nota: Questo post è scritto da un esperto di sicurezza WordPress che lavora con WP‑Firewall. Le indicazioni mescolano operazioni difensive, consigli per sviluppatori e flussi di lavoro di rimedio che sono sicuri da seguire sui sistemi di produzione.


Sintesi

  • Vulnerabilità: Cross‑Site Scripting (XSS) nel tema Kapee
  • Versioni colpite: Kapee < 1.7.1
  • Corretto in: 1.7.1
  • CVE: CVE‑2026‑41557
  • CVSS: 7.1 (Medio)
  • Privilegio richiesto: Non autenticato (un attaccante può avviare l'attacco senza effettuare il login), ma lo sfruttamento riuscito richiede interazione dell'utente (ad esempio, un clic o la visita di una pagina creata ad hoc)
  • Impatto: Esecuzione di script malevoli nel contesto dei visitatori del sito (e potenzialmente degli amministratori), portando a furto di cookie, takeover di account, iniezione di spam, reindirizzamenti drive‑by o ulteriori meccanismi di persistenza
  • Raccomandazione immediata: Aggiorna il tema a 1.7.1 (o successivo) il prima possibile. Se non puoi aggiornare immediatamente, implementa mitigazioni temporanee (regole WAF, rimuovi input sospetti, limita l'accesso amministrativo, scansiona e monitora).

Cos'è il Cross‑Site Scripting (XSS) e perché è importante per i siti WordPress

Il Cross‑Site Scripting (XSS) è una classe di vulnerabilità in cui un'applicazione restituisce in modo ingenuo dati controllati dall'attaccante nelle pagine web senza una corretta validazione o escaping. Quando JavaScript malevolo viene eseguito nel browser di un visitatore, eredita gli stessi privilegi di qualsiasi altro script da quell'origine — può leggere i cookie, eseguire azioni tramite sessioni di browser autenticate, manipolare il contenuto del DOM, creare moduli ingannevoli, iniettare annunci o caricare malware esterno.

Ci sono tre tipi comuni di XSS:

  • XSS riflesso: l'attaccante crea un URL che include dati di payload; il server riflette quei dati nella risposta, e quando una vittima apre l'URL lo script viene eseguito.
  • XSS memorizzato (persistente): l'attaccante invia contenuti (ad esempio, un commento o un widget) che vengono memorizzati nel database e successivamente serviti a qualsiasi visitatore.
  • XSS basato su DOM: la vulnerabilità esiste nel JavaScript lato client che interpreta i dati dall'URL o da altre fonti e li inietta nella pagina senza una corretta sanificazione.

Per i siti WordPress, l'XSS è particolarmente rischioso a causa della combinazione di contenuti dinamici, ruoli utente e interfacce amministrative della piattaforma. Se un payload XSS viene eseguito nel browser di un amministratore, può essere convertito in esecuzione di codice remoto sul sito, portando a un compromesso completo del sito.


Cosa sappiamo sull'XSS di Kapee (riassunto sicuro ad alto livello)

  • La vulnerabilità colpisce le versioni del tema Kapee precedenti alla 1.7.1.
  • Si tratta di un problema di Cross-Site Scripting (XSS); l'avviso pubblico indica che l'esploitazione può essere avviata da attaccanti non autenticati, ma un compromesso riuscito richiede un'interazione dell'utente da parte di un utente privilegiato (ad es., cliccando su un link creato ad hoc o compiendo qualche azione).
  • Il fornitore ha rilasciato una patch nella 1.7.1 — l'aggiornamento è la soluzione definitiva.
  • La vulnerabilità è stata divulgata responsabilmente ai manutentori del tema ed è stata assegnata una CVE per il tracciamento.

Poiché l'avviso non pubblica una prova di concetto pubblica destinata a un uso diffuso, questo post si concentra su misure difensive, rilevamento e approcci di test sicuri.


Perché gli attaccanti prendono di mira temi come Kapee

I temi controllano il rendering dei modelli, i widget, gli shortcode e il modo in cui l'input dell'utente (come filtri prodotto, commenti o contenuto dei widget) viene inserito in HTML. Motivi comuni per cui i temi vengono presi di mira:

  • I temi contengono spesso codice che restituisce dati controllati dall'utente (ad es., parametri di ricerca, contenuto dei widget, stringhe di query).
  • I temi sono installati ampiamente e possono essere presi di mira in campagne automatizzate alla ricerca di versioni obsolete.
  • Alcune funzionalità del tema espongono contenuti configurabili nei pannelli di amministrazione (campi di testo, shortcode) che vengono persistiti nel database — un XSS memorizzato in quei flussi può infettare molte pagine contemporaneamente.
  • I temi spesso funzionano con gli stessi privilegi di dominio del resto del sito, quindi l'XSS in un tema può avere un impatto su tutto il sito.

A causa di queste caratteristiche, una patch per il tema è la migliore soluzione, e aggiornamenti tempestivi sono critici.


Passi immediati — cosa fare nei prossimi 60 minuti

Se gestisci o ospiti siti WordPress che eseguono Kapee, segui immediatamente questi passaggi prioritari:

  1. Aggiorna il tema Kapee alla versione 1.7.1 o successiva
    • Il fornitore ha rilasciato una patch che affronta questa vulnerabilità. Applica l'aggiornamento in produzione dopo aver eseguito un rapido backup.
  2. Se non puoi aggiornare immediatamente, abilita una regola del Web Application Firewall (WAF)
    • Distribuisci un WAF sul sito (a livello di host o a livello di applicazione) e applica regole che bloccano modelli XSS noti e payload di richiesta sospetti. Gli utenti di WP-Firewall possono abilitare il nostro set di regole gestito mentre aggiorni.
  3. Metti brevemente il sito in modalità manutenzione (se possibile)
    • Se ospiti asset di alto valore e puoi permetterti un breve downtime, fai una finestra di manutenzione rapida per aggiornare il tema in sicurezza.
  4. Rivedi l'accesso admin e richiedi 2FA per gli amministratori
    • Forza 2FA sugli account admin, ruota le password admin e riduci temporaneamente il numero di utenti admin attivi.
  5. Scansiona il sito per contenuti sospetti
    • Esegui una scansione malware e contenuti per trovare tag iniettati, gestori di eventi inline (onclick) o JavaScript inline insolito in post, widget, opzioni e modelli di tema.
  6. Controlla gli indicatori di compromissione
    • Rivedi i tempi di modifica dei file recenti, i compiti programmati, gli utenti sconosciuti e le connessioni di rete in uscita insolite dall'host del sito.

Queste sono azioni brevi e di alto valore che puoi intraprendere subito per ridurre l'esposizione.


Come controllare se il tuo sito è stato sfruttato

I seguenti passaggi aiutano a rilevare se un sito è stato sfruttato o ospita payload dannosi a causa di XSS:

  • Cerca nel database JavaScript e tag sospetti:
    • Interroga post, postmeta, opzioni, theme_mods e istanze di widget per , document.write, eval(, setTimeout( con argomenti stringa, o blob codificati in base64.
  • Cerca nelle cartelle del tema e degli upload file recentemente modificati che non riconosci.
  • Ispeziona le pagine pubbliche (soprattutto pagine dinamiche, filtri prodotto, commenti e aree widget) per script o iframe iniettati.
  • Controlla i log di accesso del server e i log dell'applicazione web per stringhe di query insolite (payload lunghi, caratteri codificati o riferimenti a domini esterni).
  • Cerca nuovi utenti admin o account con privilegi elevati.
  • Rivedi i compiti programmati (voci cron wp_options, cron del server) per lavori cron sconosciuti.
  • Usa uno scanner secondario per trovare firme malware conosciute e modelli YARA.
  • Se trovi prove di attività dannosa, fai uno snapshot del sito e dei log, mettilo offline se necessario e procedi con i passaggi di risposta all'incidente (elencati di seguito).

Importante: Non rimuovere immediatamente i file se stai facendo un'indagine forense — prima preserva le prove (backup, log, dump del database), poi procedi con la pulizia.


Se il tuo sito è stato compromesso — passaggi di recupero

  1. Isola e conserva le prove
    • Metti il sito offline o attivalo in modalità manutenzione rapidamente. Crea backup completi di file e database per l'analisi.
  2. Reimposta le credenziali
    • Reimposta le password per tutti gli utenti admin, le credenziali del database, gli utenti FTP/SFTP/pannello di controllo di hosting e le chiavi API. Invalidare le sessioni.
  3. Ripristina o pulisci
    • Se hai un backup pulito noto da prima della compromissione, ripristina a quello stato e applica immediatamente la patch Kapee.
    • Se un ripristino non è disponibile, esegui una pulizia controllata: rimuovi file dannosi, pulisci gli script iniettati dalle voci del database e applica la patch al tema.
  4. Indurire e monitorare
    • Applica la patch del tema (1.7.1+), imposta l'autenticazione a due fattori, installa o attiva un WAF con regole pertinenti e implementa il monitoraggio dell'integrità dei file.
  5. Riesamina e verifica
    • Dopo la pulizia, esegui una scansione completa e rivedi i log per meccanismi di persistenza. Considera una revisione della sicurezza da parte di terzi se il sito contiene dati sensibili.
  6. Informare le parti interessate
    • Se i dati degli utenti sono stati esposti o contenuti illegali iniettati, segui i tuoi obblighi legali e contrattuali per la notifica.

Guida per sviluppatori — come questo tipo di XSS viene tipicamente introdotto (e come risolverlo)

L'XSS nei temi di solito deriva da uno di questi errori:

  • Rendere dati controllati dall'utente nei modelli senza escaping.
  • Utilizzare textarea o campi WYSIWYG che consentono HTML senza sanitizzazione.
  • Inserire dati non attendibili nei contesti JavaScript inline.
  • Script lato client che leggono frammenti di URL o parametri di query e li iniettano nel DOM.

Migliori pratiche per prevenire l'XSS nei temi di WordPress:

  • Esegui sempre l'escaping prima dell'output. Usa le funzioni di escaping di WordPress appropriate al contesto:
    • Corpo/testo HTML: esc_html()
    • Attributi HTML: esc_attr()
    • Contesto JavaScript: esc_js() E wp_json_encode() se incorpori dati strutturati in JS
    • URL: esc_url()
    • Pubblicare HTML limitato: wp_kses_post() per contenuti che dovrebbero consentire un sottoinsieme sicuro di tag
  • Sanitizza gli input in entrata dove appropriato (ad es., sanitize_text_field() per testo semplice, wp_kses() per HTML controllato).
  • Non fidarti solo della convalida lato client: valida sempre sul server.
  • Usa nonce e controlli delle capacità per azioni che cambiano lo stato del server.
  • Preferisci la codifica dell'output rispetto al blacklisting dei modelli.
  • Mantieni il principio del minor privilegio per i ruoli utente: espone solo l'interfaccia di modifica agli utenti con capacità appropriate.

Esempio di utilizzo (sicuro):

&lt;?php

Se sei uno sviluppatore di temi, rivedi tutti i luoghi in cui l'input dell'utente fluisce verso l'output senza escaping e aggiungi le funzioni di escaping corrette. Se l'input dell'utente è consentito contenere HTML (ad es., un campo di testo ricco), usa wp_kses() con un elenco esplicito di tag consentiti.


Come un WAF (firewall per applicazioni web) aiuta - protezioni pratiche e patch virtuali

Un WAF configurato correttamente è uno strato cruciale nella tua strategia di difesa in profondità. Nella finestra immediata, prima o mentre applichi l'aggiornamento ufficiale del tema, un WAF può:

  • Bloccare le richieste contenenti modelli di payload XSS tipici (tag script, gestori di eventi, payload codificati).
  • Fermare scanner automatizzati e bot di sfruttamento dall'arrivare a endpoint vulnerabili.
  • Implementare limitazione della velocità e blocco della reputazione IP per rallentare o bloccare campagne di scansione di massa.
  • Offrire patch virtuali: regole temporanee e mirate che bloccano i modelli di sfruttamento specifici per questa vulnerabilità fino a quando non puoi applicare la patch del fornitore.

Cosa cercare in un set di regole WAF pratico per questa situazione:

  • Regole che rilevano e bloccano payload JavaScript codificati e offuscati (%3Cscript%3E, 6., o payload codificati in base64/esadecimale).
  • Regole che identificano valori di parametro sospetti (stringhe lunghe, simili a script, in parametri che normalmente sono brevi).
  • Regole che bloccano JavaScript inline nei corpi POST o nei valori dell'intestazione dove non è previsto.
  • Protezione degli endpoint di amministrazione (limitare l'accesso a wp‑admin/wp‑login a intervalli IP noti dove possibile).
  • Applicazione delle mitigazioni OWASP Top 10 (filtri XSS, convalida degli input, indurimento degli header).

Nota: Sebbene un WAF possa ridurre rapidamente il rischio e guadagnare tempo, non sostituisce l'applicazione della patch del fornitore. Usalo come mitigazione immediata e strumento di monitoraggio.


Test sicuri — come verificare che il tuo sito non sia più vulnerabile senza causare danni.

Non tentare di eseguire payload di exploit automatizzati in produzione. Usa questi approcci sicuri:

  • Crea una copia di staging del sito ed esegui test più approfonditi lì.
  • Identifica la versione del tema: controlla l'intestazione del tema o Aspetto → Temi. Conferma che il tema sia aggiornato alla versione 1.7.1.
  • In staging, esegui test manuali che simulano input benigni piuttosto che payload malevoli, ad esempio, prova a inserire tag HTML in campi controllati e verifica la corretta escape.
  • Usa il logging e l'osservabilità per tracciare i modelli di richiesta prima dei test. Se uno scanner sta già sondando il tuo sito, preferisci il monitoraggio e il blocco piuttosto che il testing attivo.
  • Usa uno scanner che esegue solo controlli passivi o esegui una ricerca di contenuti mirata (cercando output non escapati) piuttosto che sfruttamenti dal vivo.

Lista di controllo per l'indurimento (controlli raccomandati continuativi).

Usa questa lista di controllo per ridurre l'esposizione futura oltre a risolvere questo problema:

  • Mantieni aggiornato il core di WordPress, i temi e i plugin; esegui gli aggiornamenti in un ambiente di staging prima della produzione.
  • Imposta password forti e uniche e 2FA per gli amministratori.
  • Rimuovi o limita temi e plugin non utilizzati.
  • Disabilita gli editor di temi e plugin integrati (define('DISALLOW_FILE_EDIT', true);).
  • Limita i tentativi di accesso e proteggi wp‑login.php e wp‑admin con whitelist IP dove possibile.
  • Usa SSL/TLS ovunque e abilita i flag dei cookie sicuri (Sicuro, HttpOnly, SameSite).
  • Pianifica backup regolari e testa le procedure di recupero.
  • Usa un WAF e la scansione degli endpoint per catturare attacchi in volo e artefatti post-compromissione.
  • Implementa il monitoraggio dell'integrità dei file per rilevare cambiamenti non autorizzati precocemente.
  • Applica il principio del minimo privilegio su hosting, database e integrazioni di terze parti.
  • Mantieni un piano di risposta agli incidenti e un backup pulito recente e convalidato.

Verifica suggerita post-aggiornamento (cosa confermare dopo la patch)

Dopo aver applicato l'aggiornamento del tema Kapee 1.7.1, verifica quanto segue:

  • La versione del tema mostra 1.7.1 in Aspetto → Temi e nell'intestazione del tema.
  • La funzionalità del sito (shopping, ricerca, widget, moduli) funziona come previsto — esegui un test di fumo.
  • Riesamina il sito con scanner offline/hosted per confermare che non ci siano payload iniettati persistenti.
  • Controlla i log per eventuali attività sospette prima e dopo la patch per garantire che non ci sia persistenza.
  • Conferma che i backup siano aggiornati e archiviati offsite.

Domande frequenti

D: Posso aggiornare in sicurezza a 1.7.1 su un sito live?
R: Nella maggior parte dei casi sì — ma esegui sempre un backup prima. Se hai modifiche personalizzate nel tema Kapee (anziché in un tema child), testa l'aggiornamento in staging perché l'upgrade potrebbe sovrascrivere le modifiche personalizzate. Pratica migliore: usa un tema child per le personalizzazioni.

D: Il mio sito utilizza un tema child Kapee pesantemente personalizzato — devo comunque aggiornare?
R: Sì. La correzione è tipicamente nei percorsi del codice del tema principale. Aggiorna il tema principale a 1.7.1 e verifica che il tuo tema child si comporti ancora correttamente in staging. Se le tue personalizzazioni hanno modificato l'output del template dove è stata aggiunta o rimossa l'escaping, rivedi quelle posizioni per un'escaping sicura.

D: La vulnerabilità è sfruttata nel mondo reale?
R: I bug XSS sono attraenti per gli attaccanti e spesso prendono di mira molti siti. Anche se non ci sono exploit confermati diffusi riportati pubblicamente, assumi che ci saranno tentativi di sfruttamento e rispondi di conseguenza.


Modello di risposta agli incidenti (playbook rapido)

  1. Identifica i siti interessati che eseguono Kapee < 1.7.1.
  2. Esegui immediatamente il backup dei file e del database.
  3. Applica la patch (aggiorna a 1.7.1). Se impossibile, applica le regole WAF e blocca i vettori di exploit sospetti.
  4. Ruotare le credenziali di amministratore, abilitare 2FA per tutti gli account amministrativi.
  5. Scansionare e pulire eventuali contenuti iniettati o backdoor. Conservare le prove per l'analisi.
  6. Indurire l'accesso alle pagine di amministrazione e ridurre i privilegi non necessari.
  7. Monitorare il traffico e i log per tentativi di persistenza ed esfiltrazione.
  8. Comunicare con le parti interessate e, se necessario, divulgare secondo gli obblighi legali.

Perché la sicurezza a strati è importante — una prospettiva esperta

Nessun controllo singolo è perfetto. Applicare le patch al tema è essenziale, ma combinare la gestione delle patch, un WAF gestito, controlli di accesso rigorosi e un flusso di lavoro di rilevamento rapido riduce drasticamente il rischio. Gli attaccanti usano l'automazione — scanner di massa cercano temi e plugin obsoleti da sfruttare. Brevi finestre tra avvisi e attaccanti che scansionano istanze vulnerabili rendono vitale l'applicazione rapida delle patch e l'uso di patch virtuali (regole WAF).

Presso WP‑Firewall diamo priorità a:

  • Distribuzione rapida e gestita delle regole per avvisi pubblici critici.
  • Aggiornamenti continui delle firme per coprire payload offuscati.
  • Minimi falsi positivi garantendo la protezione dei flussi di lavoro degli amministratori.
  • Educazione e supporto affinché i proprietari dei siti possano aggiornare e indurire gli ambienti.

Inizia a proteggere il tuo sito oggi con WP‑Firewall — Protezione Gestita Gratuita

Se desideri aggiungere immediatamente uno strato protettivo gestito mentre aggiorni i temi e esegui le pulizie, WP‑Firewall offre un piano Base Gratuito che fornisce protezioni essenziali:

  • Firewall gestito e WAF per bloccare richieste dannose e modelli di attacco comuni
  • Larghezza di banda illimitata attraverso il nostro strato di filtraggio
  • Scanner malware per rilevare file sospetti e contenuti iniettati nel sito
  • Copertura di mitigazione per i 10 principali rischi OWASP

Per la maggior parte dei siti piccoli e medi, il nostro piano Base Gratuito è un ottimo primo passo — ti offre un WAF gestito e scansione per ridurre l'esposizione mentre pianifichi e applichi le patch del fornitore. Scopri di più o iscriviti qui: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Se hai bisogno di una risposta più automatizzata e capacità più profonde, offriamo anche livelli a pagamento con rimozione automatica del malware, controlli di blacklist/whitelist IP, report di sicurezza mensili, patching virtuale automatico e componenti aggiuntivi premium. Ma iniziare con il piano gratuito è una difesa immediata ed efficace mentre aggiorni.)


Esempio pratico — cosa cercare nei controlli di database e file

Quando scansioni il tuo sito, controlla queste aree specifiche (questa è una lista di controllo per la rilevazione che puoi eseguire manualmente o tramite script):

  • Database:
    • wp_posts: cerca post_content per <script, document.write(, valutazione(, o stringhe base64 strane.
    • opzioni_wp: rivedi le opzioni per JavaScript inline o contenuti inaspettati in sidebars_widgets o opzioni del tema.
    • wp_postmeta: cerca valori sospetti memorizzati da plugin o funzionalità del tema.
  • File:
    • /wp-content/themes/kapee/: confronta i file con una copia pulita di 1.7.1 (o repository upstream) per rilevare modifiche.
    • /wp-content/caricamenti/: cerca .php file negli uploads (non solitamente attesi).
    • il file wp-config.php e mu-plugins: controlla per modifiche non autorizzate.
  • Log di accesso:
    • Cerca richieste POST ripetute o GET con parametri insolitamente lunghi o payload codificati.
    • Identifica la finestra temporale in cui sono avvenute le modifiche sospette più antiche e ispeziona le richieste attorno a quel momento.

Se rilevi artefatti sospetti, crea uno snapshot forense (copia di file e database) prima di rimuovere qualsiasi cosa e coordina con il tuo fornitore di risposta agli incidenti o di sicurezza.


Pensieri conclusivi

Le vulnerabilità XSS sono un rischio perenne per i sistemi di gestione dei contenuti perché sfruttano la flessibilità fondamentale che alimenta i siti: la capacità di accettare e visualizzare contenuti degli utenti. La vulnerabilità XSS del tema Kapee (CVE-2026-41557) è un problema di gravità media che richiede un'azione rapida: il passo più efficace è aggiornare immediatamente a Kapee 1.7.1. Se non puoi aggiornare subito, applica controlli compensativi: abilita un WAF gestito, rinforza l'accesso admin e scansiona per contenuti iniettati e persistenza.

Difese stratificate — patching, WAF, autenticazione forte, monitoraggio e backup — manterranno il tuo sito resiliente. Se hai bisogno di uno strato protettivo gestito e veloce mentre triage e patch, il piano base gratuito di WP-Firewall offre un firewall gestito, WAF, scansione malware e mitigazioni OWASP Top 10 per guadagnarti tempo e ridurre il rischio.

Rimani al sicuro, testa in staging e ricorda: patching tempestivo più protezione stratificata riduce drasticamente la possibilità di compromissione.


Se desideri una lista di controllo concisa da portare via da questo post, eccola:

  • Esegui il backup ora.
  • Aggiorna Kapee a 1.7.1.
  • Applica una regola WAF gestita nel frattempo.
  • Scansiona per script e file dannosi.
  • Applica 2FA e ruota le credenziali di amministrazione.
  • Rinforza gli endpoint di amministrazione e rimuovi temi/plugin non utilizzati.
  • Monitora i log per attività sospette dopo la patch.

E di nuovo — se hai bisogno di protezione gestita immediata mentre aggiorni e pulisci, iscriviti al piano Base Gratuito di WP‑Firewall: https://my.wp-firewall.com/buy/wp-firewall-free-plan/


wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora
!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.