Password Manager — Estensione per Google Chrome
Ultimo aggiornamento: Gennaio 2025
Il titolare del trattamento dei dati personali raccolti tramite questa estensione è:
Andrea Sabetta
Sviluppatore indipendente
Sito web: andreasabettaprogrammatore.com
Email: andre@andre-dev.com
Questa Privacy Policy descrive come l'estensione Chrome Password Manager raccoglie, utilizza e protegge i dati degli utenti in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR — Regolamento UE 2016/679) e con le normative vigenti in materia di protezione dei dati personali.
L'estensione consente agli utenti di salvare, gestire e autocompilare le proprie credenziali di accesso (username e password) per i siti web visitati.
Principio fondamentale: le password salvate vengono cifrate direttamente nel browser dell'utente prima di essere inviate al server. Il server non riceve mai le password in chiaro né la chiave di cifratura.
| Dato | Finalità | Base giuridica | Inviato al server |
|---|---|---|---|
| Nome e cognome | Registrazione account | Esecuzione del contratto | Sì |
| Indirizzo email | Autenticazione e identificazione account | Esecuzione del contratto | Sì |
| Password account (master password) | Autenticazione — viene hashata con bcrypt prima dell'invio | Esecuzione del contratto | Sì (solo hash) |
| Credenziali dei siti salvati (username) | Salvataggio e autocompilazione | Consenso esplicito dell'utente | Sì |
| Credenziali dei siti salvati (password) | Salvataggio e autocompilazione | Consenso esplicito dell'utente | Sì (solo cifrata) |
| URL e nome dei siti web | Associare le credenziali al sito corretto | Consenso esplicito dell'utente | Sì |
| Dato | Finalità | Inviato al server |
|---|---|---|
| Salt crittografico | Derivazione della chiave AES — generato dal server alla registrazione | Sì (in chiaro) |
| IV (Initialization Vector) | Cifratura AES-GCM — generato nel browser ad ogni salvataggio | Sì (in chiaro) |
| Chiave AES derivata | Cifratura e decifratura delle password | No — mai |
| Cookie di sessione PHP | Mantenere l'autenticazione tra le richieste | Sì (solo verso il server dell'estensione) |
L'estensione non raccoglie i seguenti dati:
La sicurezza delle password salvate si basa su crittografia end-to-end implementata interamente nel browser. Di seguito il funzionamento tecnico:
Al momento del login, la chiave AES viene derivata dalla master password dell'utente tramite l'algoritmo PBKDF2 con le seguenti caratteristiche:
La chiave derivata non viene mai trasmessa al server e viene archiviata
temporaneamente solo in chrome.storage.session,
che si svuota automaticamente alla chiusura del browser.
Ogni password viene cifrata con AES-GCM prima di essere inviata al server:
Il server riceve e archivia esclusivamente dati cifrati. Anche in caso di accesso non autorizzato al database, le password degli utenti non sono recuperabili senza conoscere la master password di ciascun utente.
La chiave AES derivata viene archiviata in chrome.storage.session
per permettere l'uso dell'estensione senza richiedere la master password
ad ogni apertura del popup. Questa memoria:
I dati dell'account e le credenziali cifrate vengono archiviati su un server situato in Europa (Francia), gestito tramite il provider di hosting OVH SAS (sede legale: 2 rue Kellermann, 59100 Roubaix, Francia).
OVH è certificato ISO 27001 e conforme alle normative europee sulla protezione dei dati. Il trasferimento dei dati avviene esclusivamente tramite connessione HTTPS (TLS 1.2+).
I seguenti dati vengono archiviati localmente nel browser:
I dati degli utenti non vengono venduti, ceduti o condivisi con terze parti per scopi commerciali o pubblicitari.
I dati possono essere condivisi esclusivamente nei seguenti casi:
Nessun dato viene trasmesso a servizi di analytics, piattaforme pubblicitarie, social network o qualsiasi altro soggetto terzo.
L'estensione richiede i seguenti permessi a Chrome. Ogni permesso è strettamente necessario al funzionamento:
| Permesso | Motivazione | Dati accessibili |
|---|---|---|
storage |
Archiviare la chiave AES in chrome.storage.session durante la sessione | Solo i dati scritti dall'estensione stessa |
activeTab |
Identificare l'URL del tab attivo per proporre le credenziali corrette | Solo URL del tab attivo, solo quando l'utente interagisce con il popup |
scripting |
Iniettare il content script per compilare automaticamente i form di login | Accesso al DOM della pagina corrente per trovare e compilare i campi input |
host_permissions (dominio API) |
Permettere le chiamate HTTPS al server backend dell'estensione | Solo richieste verso il server dell'estensione, mai verso altri domini |
Il permesso scripting e il content script
vengono attivati solo sulle pagine web normali.
L'estensione non opera su pagine interne di Chrome
(chrome://, chrome-extension://) né sul Chrome Web Store.
Nonostante le misure adottate, nessun sistema è immune da rischi. L'utente è responsabile di:
In caso di violazione dei dati personali che possa comportare rischi per i diritti e le libertà degli utenti, il titolare provvederà a notificare l'evento all'Autorità Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta, e agli utenti interessati senza ingiustificato ritardo, come previsto dall'art. 33-34 GDPR.
Questa estensione è destinata a utenti che hanno compiuto almeno 16 anni. Non raccogliamo consapevolmente dati personali di minori di 16 anni.
Se un genitore o tutore viene a conoscenza che un minore ha fornito dati personali senza il proprio consenso, è pregato di contattarci all'indirizzo email indicato nella sezione Contatti per richiedere la cancellazione dei dati.
Ai sensi del Regolamento UE 2016/679 (GDPR), ogni utente ha diritto a:
Per esercitare questi diritti, contattare il titolare all'indirizzo email indicato nella sezione Contatti. Le richieste vengono evase entro 30 giorni dal ricevimento.
L'utente ha inoltre il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali (Garante Privacy — garanteprivacy.it).
| Tipo di dato | Periodo di conservazione |
|---|---|
| Dati account (nome, email, password hash) | Fino alla cancellazione dell'account da parte dell'utente |
| Credenziali cifrate dei siti | Fino alla cancellazione da parte dell'utente o dell'account |
| Cookie di sessione | Fino alla chiusura del browser o al logout esplicito |
| Chiave AES in chrome.storage.session | Fino alla chiusura del browser o al logout esplicito |
| Log di errore del server | Massimo 30 giorni, poi eliminazione automatica |
L'utente può richiedere la cancellazione immediata di tutti i propri dati in qualsiasi momento contattando il titolare. La cancellazione dell'account comporta l'eliminazione permanente e irreversibile di tutti i dati associati.
Il titolare si riserva il diritto di modificare questa Privacy Policy in qualsiasi momento, in particolare per adeguarsi a modifiche normative, aggiornamenti tecnici o variazioni nelle funzionalità dell'estensione.
Le modifiche sostanziali verranno comunicate agli utenti tramite un avviso visibile all'apertura del popup dell'estensione. La data dell'ultimo aggiornamento è sempre indicata in cima a questo documento.
L'utilizzo continuato dell'estensione dopo la pubblicazione delle modifiche costituisce accettazione della nuova versione della Privacy Policy.
Per qualsiasi domanda, richiesta o segnalazione relativa al trattamento dei dati personali, è possibile contattare il titolare:
Andrea Sabetta
Email: andre@andre-dev.com
Sito web: andreasabettaprogrammatore.com
Per richieste di cancellazione dati, indicare nell'oggetto dell'email: "Richiesta cancellazione dati — Password Manager".