diff --git a/.gitignore b/.gitignore
index f509fb0..12f4f94 100644
--- a/.gitignore
+++ b/.gitignore
@@ -1,6 +1,6 @@
 # Variabili locali — contiene segreti, non committare mai
 .env
 
-# Directory WireGuard — auto-generata dal container al primo avvio.
+# Directory WireGuard — generata dal container al primo avvio.
 # Contiene chiavi crittografiche private. Non committare mai.
 wg-data/
diff --git a/README.md b/README.md
index 026fba9..1aea150 100644
--- a/README.md
+++ b/README.md
@@ -47,6 +47,8 @@ Inoltra la porta **UDP 51820** (o quella scelta in `WG_PORT`) verso l'IP locale
 docker compose up -d
 ```
 
+Al primo avvio, un init container crea automaticamente `wg-data/` con permessi `700` prima che wg-easy scriva le chiavi private.
+
 ### 5. Completa il setup dalla web UI
 
 ```
@@ -66,9 +68,9 @@ vpn/
 ├── .env                 # Variabili locali (NON committato)
 ├── .gitignore
 ├── README.md
-└── wg-data/             # Generato automaticamente dal container (NON committato)
-    ├── wg0.conf         # Configurazione WireGuard
-    └── wg0.json         # Stato interno wg-easy (peer, chiavi)
+└── wg-data/             # Generato dal container al primo avvio (ignorato da git)
+    ├── wg0.conf         # Configurazione WireGuard con chiavi private
+    └── wg-easy.db       # Database interno wg-easy
 ```
 
 ---
@@ -86,6 +88,5 @@ docker compose up -d
 
 ## Sicurezza
 
-- `wg-data/` contiene chiavi crittografiche private. Non committarla mai su Git.
+- `wg-data/` contiene chiavi crittografiche private ed è completamente ignorata da git. I permessi `700` vengono impostati automaticamente dall'init container al primo avvio.
 - `.env` contiene variabili locali specifiche del server. Non committarlo.
-- Entrambi sono esclusi da `.gitignore`.