privacyguides/i18n
1
0
Fork 0
mirror of https://github.com/privacyguides/i18n.git synced 2025-06-23 11:14:21 +00:00
Code Activity

New Crowdin translations by GitHub Action

Browse Source
This commit is contained in:
Crowdin Bot
2023-07-18 04:04:45 +00:00
parent 3e55a17bd3
commit 615ab7a0bd
73 changed files with 1119 additions and 1119 deletions
Download Patch File Download Diff File Expand all files Collapse all files

68
i18n/it/basics/account-creation.md
View File

@ -1,78 +1,78 @@
---
meta_title: "Come creare account internet in maniera privata - Privacy Guides"
title: "Creazione account"
meta_title: "Come creare profili internet privatamente - Privacy Guides"
title: "Creare profili"
icon: 'material/account-plus'
description: La creazione di account online è praticamente una necessità di internet, adottate questi accorgimenti per assicurarvi di rimanere privati.
description: La creazione di profili online è praticamente una necessità di Internet, aadotta questi accorgimenti per assicurarti di rimanere privato.
---
Spesso le persone si iscrivono a servizi senza riflettere. Forse si tratta di un servizio di streaming per guardare la nuova serie di cui tutti parlano, o di un account che ti offre uno sconto per il tuo supermercato preferito. In ogni caso, dovresti considerare le implicazioni per i tuoi dati ora e in futuro.
Spesso le persone si iscrivono a servizi senza riflettere. Forse è un servizio di streaming per guardare quella nuova serie di cui tutti parlano, o di un profilo che ti offre uno sconto per il tuo fast food preferito. In ogni caso, dovresti considerare le implicazioni per i tuoi dati, ora e in futuro.
Ci sono rischi associati ad ogni nuovo servizio che utilizzi. Violazioni dei dati, divulgazione d'informazioni sui clienti a terzi, accesso ai dati da parte di dipendenti furfanti: sono tutte possibilità che devono essere prese in considerazione al momento in cui fornisci le tue informazioni. Devi essere sicuro di poterti fidare del servizio, motivo per cui non consigliamo di archiviare dati preziosi su nulla se non sui prodotti più maturi e testati. Ciò di solito significa servizi che forniscono E2EE e sono stati sottoposti a un ispezione crittografica. Un ispezione aumenta la garanzia che il prodotto sia stato progettato senza problemi di sicurezza evidenti causati da uno sviluppatore inesperto.
A ogni nuovo servizio che utilizzi, sono associati dei rischi. Violazioni dei dati; divulgazione di informazioni sui clienti a terze parti; dipendenti disonesti che accedono ai dati; sono tutte possibilità che devono essere considerate, fornendo le proprie informazioni. Devi essere sicuro di poterti fidare del servizio, per cui non consigliamo l'archiviazione di dati preziosi su nulla, se non sui prodotti più maturi e testati. Ciò, solitamente, preclude i servizi che forniscono E2EE e hanno subito un controllo crittografico. Un controllo incrementa la garanzia che il prodotto sia stato progettato senza problemi evidenti di sicurezza, causati da uno sviluppatore inesperto.
Può anche essere difficile eliminare gli account su alcuni servizi. A volte [sovrascrivere i dati](account-deletion.md#overwriting-account-information) associati a un account può essere possibile, ma in altri casi il servizio manterrà un'intera cronologia delle modifiche apportate all'account.
Inoltre, può essere difficile eliminare i profili, su alcuni servizi. Talvolta, [sovrascrivere i dati](account-deletion.md#overwriting-account-information) associati a un profilo è possibile ma, in altri casi, il servizio manterrà un intero storico delle modifiche al profilo.
## Termini di servizio & Informativa sulla privacy
## Termini di Servizio e Politica sulla Privacy
I ToS sono le regole che accetti di seguire quando utilizzi il servizio. Nei servizi più grandi queste regole sono spesso applicate da sistemi automatici. A volte questi sistemi automatici possono commettere errori. Ad esempio, potresti essere bandito o bloccato dal tuo account di alcuni servizi per l'utilizzo di una VPN o un numero VOIP. Appellare l'espulsione è spesso difficile e comporta anche un processo automatizzato, che non sempre ha successo. Questo è uno dei motivi per cui non suggeriamo di usare Gmail per la posta elettronica ad esempio. L'email è fondamentale per l'accesso ad altri servizi a cui potresti esserti iscritto.
I ToS sono le regole che accetti di seguire, utilizzando il servizio. Spesso, nei servizi più grandi, tali regole sono imposte da sistemi automatizzati. Talvolta, questi sistemi automatizzati possono commettere degli errori. Ad esempiio, potresti essere bannato o bloccato dal tuo profilo su alcuni servizi, utilizzando una VPN o un numero VoIP. Fare appello a tali ban è spesso difficile, e richiede anch'esso un procedimento automatizzato, che non ha sempre successo. Ad esempio, questa è una delle motivazioni per cui non suggeriamo di utilizzare Gmail per l'email. L'email è fondamentale per accedere ad altri servizi cui potresti esserti iscritto.
L'informativa sulla privacy è il modo in cui il servizio dichiara di utilizzare i tuoi dati e vale la pena di leggerla per capire come verranno utilizzati. Un'azienda o un'organizzazione potrebbe non essere legalmente obbligata a seguire tutto ciò che è contenuto nell'informativa (dipende dalla giurisdizione). Ti consigliamo di avere un'idea di quali sono le leggi locali e cosa consentono a un fornitore di raccogliere.
La Politica sulla Privacy è come il servizio dichiara che utilizzerà i tuoi dati, e vale la pena di leggerla, così da meglio comprendere come saranno utilizzati i tuoi dati. Un'azienda od organizzazione, potrebbe non essere legalmente obbligata a seguire tutto ciò che è contenuto nella politica (a seconda della giurisdizione). Ti consigliamo di avere un'idea di quali leggi locali esistono e di ciò che consentono a un fornitore di raccogliere.
Consigliamo di cercare termini particolari come "raccolta dati", "analisi dei dati", "cookie", "annunci" o servizi "di terze parti". A volte potrai rifiutare la raccolta o la condivisione dei tuoi dati, ma è meglio scegliere un servizio che rispetti la tua privacy fin dall'inizio.
Consigliamo di cercare termini particolari, quali servizi di "raccolta dei dati", "analisi dei dati", "cookie", "pubblicità/annunci" o "terze parti". Talvolta, potrai rifiutare la raccolta o la condivisione dei tuoi daati, ma è sempre meglio scegliere un servizio che rispetti la tua privacy, fin dall'inizio.
Inoltre, riponi la tua fiducia nell'azienda o nell'organizzazione per rispettare effettivamente la loro informativa sulla privacy.
Tieni a mente che stai anche riponendo la tua fiducia nell'azienda od organizzazione, affinché si conformeranno alla propria politica sulla privacy.
## Metodi di autenticazione
## Metodi d'autenticazione
Di solito ci sono diversi modi per iscriversi ad un account, ognuno con i propri vantaggi e svantaggi.
Solitamente, esistono svariati metodi per iscriversi a un profilo, ognuno con i propri benefici e svantaggi.
### Email e password
Il modo più comune per creare un nuovo account è tramite un indirizzo e-mail e una password. Quando si utilizza questo metodo, è necessario utilizzare un gestore di password e seguire le [migliori pratiche](passwords-overview.md) per quanto riguarda le password.
Il modo più comune per creare un nuovo profiilo è con un indirizzo email e una password. Utilizzando questo metodo, dovresti utilizzare un gestore di password e seguire le [migliori pratiche](passwords-overview.md) per ciò che riguarda le password.
!!! tip "Suggerimento"
!!! tip
Puoi utilizzare il tuo gestore di password per organizzare anche altri metodi di autenticazione! Basta aggiungere la nuova voce e riempire i relativi campi; è inoltre possibile aggiungere note per cose come le domande di sicurezza o per una chiave di backup.
Puoi utilizzare il tuo gestore di password per organizzare anche altri metodi d'autenticazione! Basta aggiungere la nuova voce e compilare i campi appropriati; puoi aggiungere note per cose come le domande di sicurezza o le chiavi di backup.
Sarai responsabile della gestione delle tue credenziali di accesso. Per una maggiore sicurezza, puoi impostare [MFA](multi-factor-authentication.md) sui tuoi account.
Sarai responsabile della gestione delle tue credenziali di accesso. Per una maggiore sicurezza, puoi impostare l'[AFM](multi-factor-authentication.md) sui tuoi profili.
[Gestori di password consigliati](../passwords.md ""){.md-button}
#### Alias email
Se non vuoi fornire il tuo vero indirizzo email ad un servizio, hai la possibilità di utilizzare un alias. Li abbiamo descritti in modo più dettagliato nella nostra pagina di raccomandazione dei servizi di posta elettronica. In sostanza, i servizi alias consentono di generare nuovi indirizzi email che inoltrano tutte le email al tuo indirizzo principale. Questo può aiutare a prevenire il tracciamento tra i vari servizi e a gestire le email di marketing che talvolta accompagnano il processo di iscrizione. Questi possono essere filtrati automaticamente in base all'alias a cui vengono inviati.
Se non desideri fornire il tuo indirizzo email reale a un servizio, puoi utilizzare un alias. Li abbiamo descritti in maggiore dettaglio sulla nostra pagina di consigli dei servizi email. In breve, i servizi di alias ti consentono di generare nuovi indirizzi email, che inoltrano tutte le email al tuo indirizzo principale. Ciò può contribuire a impedire il tracciamento tra servizi, nonché a gestiire le email di marketing che talvolta accompagnano il processo d'iscrizione. Questi possono essere filtrati automaticamente in base all'alias a cui sono inviati.
Se un servizio viene violato, potresti iniziare a ricevere email di phishing o spam all'indirizzo che hai utilizzato per iscriverti. L'uso di alias unici per ogni servizio può aiutare a identificare esattamente quale servizio è stato violato.
Se un servizio dovesse essere violato, potresti iniziare a ricevere email di phishing o spam all'indirizzo utilizzato per iscriverti. Utilizzare alias univoci per ogni servizio può assisterti nell'identificare esattamente quale servizio è stato violato.
[Servizi di aliasing email consigliati](../email.md#email-aliasing-services ""){.md-button}
[Servizi di alias email consigliati](../email.md#email-aliasing-services ""){.md-button}
### "Accedi con..." (OAuth)
OAuth è un protocollo di autenticazione che consente di registrarti ad un servizio senza condividere molte informazioni con l'eventuale sito, utilizzando invece un account esistente presso un altro servizio. Quando nel modulo di registrazione noti una cosa simile a: "Accedi con *nome del provider*", in genere il sito utilizza OAuth.
OAuth è un protocollo d'autenticazione che ti consente di registrarti a un servizio senza condividere troppe informazioni con il fornitore del servizio, se necessarie, utilizzando un profilo esistente presso un altro servizio. Quando nel modulo di registrazione noti qualcosa di simile ad "Accedi con *nome del fornitore*", tipicamente sta utilizzando OAuth.
Quando accedi con OAuth, si aprirà una pagina di login con il provider scelto e l'account esistente e quello nuovo verranno collegati. La tua password non verrà condivisa, ma alcune informazioni di base invece si (potrai rivedere quali informazioni verranno condivise durante la richiesta di login). Questo processo è necessario ogni volta che si desidera accedere allo stesso account.
Quando accedi con OAuth, si aprirà una pgina d'accesso con il fornitore di tua scelta, e il tuo profilo esistente e quello nuovo saranno collegati. La tua password non sarà condivisa, a differenza di alcune informazioni essenziali (che potrai revisionare durante la richiesta d'accesso). Questo procedimento è necessario ogni volta che desideri accedere allo stesso profilo.
I principali vantaggi sono:
- **Sicurezza**: nessun rischio di essere coinvolti in una [violazione dei dati](https://en.wikipedia.org/wiki/Data_breach) perché il sito non memorizza le tue credenziali.
- **Facilità d'uso**: gli account multipli sono gestiti da un unico accesso.
- **Sicurezza**: nessun rischio di essere coinvolti in una [violazione dei dati](https://en.wikipedia.org/wiki/Data_breach), poiché il sito non memorizza le tue credenziali.
- **Facilità d'uso**: i profili multipli sono gestiti da un unico accesso.
Ma ci sono degli svantaggi:
Ma esistono degli svantaggi:
- **Privacy**: il provider OAuth con cui effettui l'accesso conoscerà i servizi che utilizzi.
- **Centralizzazione**: se l'account utilizzato per l'OAuth viene compromesso o non riesci ad effettuare il login, tutti gli altri account ad esso collegati saranno a rischio.
- **Privacy**: il fornitore di OAuth con cui effettui l'accesso conoscerà i servizi che utilizzi.
- **Centralizzazione**: se il profilo utilizzato per OAuth viene compromesso o non riesci ad effettuare l'accesso, tutti gli altri profili a esso collegati saranno a influenzati.
L'autenticazione OAuth può essere particolarmente utile nelle situazioni in cui puoi beneficiare di un'integrazione più completa tra i vari servizi. Il nostro consiglio è quello di limitare l'uso di OAuth solo dove è strettamente necessario e di proteggere sempre l'account principale con [MFA](multi-factor-authentication.md).
L'autenticazione OAuth può essere specialmente utile in quelle situazioni in cui potresti beneficiare da una migliore integrazione tra servizi. Il nostro consiglio è quello di limitare l'utilizzo di OAuth soltanto laddove necessario e di proteggere sempre il profilo principale con l'[AFM](multi-factor-authentication.md).
Tutti i servizi che utilizzano OAuth saranno sicuri tanto quanto l'account del vostro provider principale. Per esempio, se vuoi proteggere un account con una chiave hardware, ma il servizio in questione non le supporta, puoi proteggere l'account che utilizzi con OAuth con una chiave hardware e ora hai essenzialmente l'MFA hardware su tutti i tuoi account. Vale la pena notare, tuttavia, che un'autenticazione debole sull'account del provider OAuth implica che anche qualsiasi account collegato a quel login avrà una sicurezza debole.
Tutti i servizi che utilizzano OAuth saranno sicuri tanto quanto il profilo del tuo fornitore principale. Ad esempio, se desideri proteggere un profilo con una chiave hardware, ma tale servizio non le supporta, puoi proteggerlo con OAuth e una chiave hardware e, ora, hai essenzialmente l'AFM su tutti i tuoi profili. Tuttavia, vale la pena di notare che un'autenticazione debole sul profilo del tuo fornitore OAuth, implica che qualsiasi profilo collegato a tale accesso, sarà anch'esso debole.
### Numero di telefono
### Numero telefonico
Consigliamo di evitare i servizi che richiedono un numero di telefono per l'iscrizione. Un numero di telefono può identificarti su più servizi e, a seconda degli accordi di condivisione dei dati, ciò renderà più facile tenere traccia del tuo utilizzo, in particolare se uno di questi servizi viene violato poiché il numero di telefono è spesso **non** crittografato.
Consigliamo di evitare i servizi che richiedono un numero telefonico per iscriversi. Un numero telefonico può identificarti su svariati servizi e, a seconda degli accordi di condivisione dei dati, semplificherà il tracciaamento del tuo utilizzo, particolarmente se uno di essi è violato, poiché, spesso, il numero telefonico **non** è crittografato.
Dovresti evitare di dare il tuo vero numero di telefono se puoi. Alcuni servizi consentono l'uso di numeri VOIP, ma spesso questi attivano i sistemi di rilevamento delle frodi, causando il blocco del account, quindi non li consigliamo per i account importanti.
Dovresti evitare di dare il tuo numero telefonico reale, se possibile. Alcuni servizi consentiranno l'utilizzo di numeri VoIP, tuttavia, questi, innescano spesso dei sistemi di rilevamento delle frodi, causando il blocco di un profilo, quindi, li sconsigliamo per i profili importanti.
In molti casi dovrai fornire un numero da cui puoi ricevere SMS o chiamate, in particolare quando fai acquisti a livello internazionale, nel caso in cui ci sia un problema con il tuo ordine ai controlli doganali. È comune che i servizi utilizzino il tuo numero come metodo di verifica; non lasciarti bloccare un account importante perché volevi essere furbo e dare un numero falso!
In molti casi dovrai fornire un numero che può ricevere SMS o chiamate, in particolare facendo acquisti internazionali, nel caso in cui si verifichi un problema con il tuo ordine ai controlli doganali. È comune che i servizi utilizzino il tuo numero come metodo di verifica; non consentire di essere bloccato da un profilo importante, perché volevi essere furbo e hai inserito un numero falso!
### Nome utente e password
Alcuni servizi ti consentono di registrarti senza utilizzare un indirizzo email e richiedono solo d'impostare un nome utente e una password. Questi servizi possono fornire un maggiore anonimato se combinati con una VPN o Tor. Tieni presente che per questi account molto probabilmente non ci sarà **nessun modo per recuperare il tuo account** nel caso in cui dimentichi il tuo nome utente o password.
Alcuni servizi ti consentono di registrarti senza utilizzare un indirizzo email e richiedono soltanto di impostare un nome utente e una password. Questi servizi potrebbero fornire un maggiore anonimato, se combinati con una VPN o Tor. Tieni a mente che per questi profili, **non sarà probabilmente possibile recuperarli**, nel caso in cui dimentichi il tuo nome utente o la tua password.

52
i18n/it/basics/account-deletion.md
View File

@ -1,62 +1,62 @@
---
title: "Eliminazione account"
icon: 'material/account-remove'
description: È facile accumulare un gran numero di account Internet, ecco alcuni consigli su come sfoltire la vostra collezione.
description: È facile accumulare un numerosi profili su Internet, ecco alcuni consigli su come sfoltirli.
---
Con il tempo, può essere facile accumulare una serie di profili online, molti dei quali potrebbero non essere più utilizzati. L'eliminazione di questi account inutilizzati è un passo importante per recuperare la propria privacy, poiché gli account inattivi sono vulnerabili alle violazioni dei dati. Una violazione dei dati (anche detta data breach) avviene quando la sicurezza di un servizio è compromessa e le informazioni protette vengono visualizzate, trasmesse o rubate da soggetti non autorizzati. Le violazioni dei dati sono purtroppo [troppo comuni](https://haveibeenpwned.com/PwnedWebsites) al giorno d'oggi e quindi praticare una buona igiene digitale è il modo migliore per ridurre al minimo l'impatto che hanno sulla propria vita. L'obiettivo di questa guida è quindi quello di aiutarvi a superare il fastidioso processo di cancellazione dell'account, spesso reso difficile da un [design ingannevole](https://www.deceptive.design/), per migliorare la propria presenza online.
Con il tempo, può essere facile accumulare numerosi profili online, molti dei quali non sono più utilizzati. L'eliminazione di tali profili inutilizzati è un passaggio importante per rivendicare la propria privacy, poiché i profili inattivi sono vulnerabili alle violazioni di dati. Una violazione di dati si verifica quando la sicurezzaa di un servizio è compromessa, e le informazioni protette sono visualizzate, trasmesse o rubate da utenti non autorizzati. Le violazioni dei dati, oggi, sono sfortunatamente tutte [troppo comuni](https://haveibeenpwned.com/PwnedWebsites); quindi, praticare una buona igiene digitale è il metodo migliore per minimizzarne l'impatto sulla tua vita. Lo scopo di questa guida, quindi, è aiutarti a superare il fastidioso processo di eliminazione dei profili, spesso reso difficile dal [design ingannevole](https://www.deceptive.design/), per migliorare la propria presenza online.
## Trovare i vecchi account
## Trovare i vecchi profili
### Gestore di password
Se hai un gestore di password che hai usato per tutta la tua vita digitale, questa parte sarà molto semplice. Spesso includono funzionalità integrate per rilevare se le vostre credenziali sono state esposte in una violazione dei dati, come ad esempio [Data Breach Report](https://bitwarden.com/blog/have-you-been-pwned/) di Bitwarden.
Se hai un gestore di password che hai utilizzato per tutta la tua vita digitale, questa parte sarà molto semplice. Spesso, includono la funzionalità integrata per rilevare se le tue credenziali sono state esposte a violazioni di dati, come il [Rapporto sulle Violazioni dei Dati](https://bitwarden.com/blog/have-you-been-pwned/) di Bitwarden.
<figure markdown>
![Bitwarden's Data Breach Report feature](../assets/img/account-deletion/exposed_passwords.png)
![Funzionalità di Rapporto sulle Violazioni dei Dati di Bitwarden](../assets/img/account-deletion/exposed_passwords.png)
</figure>
Anche se non hai mai utilizzato un gestore di password, è probabile che tu abbia usato quello del tuo browser o del tuo telefono senza nemmeno accorgetene. Per esempio: [Gestore Password Firefox ](https://support.mozilla.org/kb/password-manager-remember-delete-edit-logins),[Gestore Password Google](https://passwords.google.com/intro) e [ Gestore Password Edge ](https://support.microsoft.com/en-us/microsoft-edge/save-or-forget-passwords-in-microsoft-edge-b4beecb0-f2a8-1ca0-f26f-9ec247a3f336).
Anche se non hai mai utilizzato un gestore di password, è probabile che tu abbia utilizzato quello del tuo browser o del tuo telefono senza nemmeno accorgetene. Ad esempio: [Gestore Password Firefox ](https://support.mozilla.org/kb/password-manager-remember-delete-edit-logins),[Gestore Password Google](https://passwords.google.com/intro) e [ Gestore Password Edge ](https://support.microsoft.com/en-us/microsoft-edge/save-or-forget-passwords-in-microsoft-edge-b4beecb0-f2a8-1ca0-f26f-9ec247a3f336).
Le piattaforme desktop spesso dispongono di un gestore di password che può aiutarvi a recuperare le password dimenticate:
Le piattaforme desktop dispongono spesso di un gestore di password che può aiutarvi a recuperare le password dimenticate:
- [Gestione credenziali](https://support.microsoft.com/en-us/windows/accessing-credential-manager-1b5c916a-6a16-889f-8581-fc16e8165ac0) Windows
- [Password ](https://support.apple.com/en-us/HT211145) macOS
- [ Password ](https://support.apple.com/en-us/HT211146) iOS
- Linux, Gnome Keyring, accessibile tramite [Seahorse](https://wiki.gnome.org/Apps/Seahorse) o [KDE Wallet Manager](https://userbase.kde.org/KDE_Wallet_Manager)
- [Gestione credenziali](https://support.microsoft.com/en-us/windows/accessing-credential-manager-1b5c916a-6a16-889f-8581-fc16e8165ac0) di Windows
- [Password](https://support.apple.com/en-us/HT211145) di macOS
- [ Password](https://support.apple.com/en-us/HT211146) di iOS
- Gnome Keyring di Linux, accessibile tramite [Seahorse](https://wiki.gnome.org/Apps/Seahorse) o [KDE Wallet Manager](https://userbase.kde.org/KDE_Wallet_Manager)
### Email
Se non avete mai usato un gestore di password o pensate di avere account che non sono stati aggiunti al vostro gestore di password, potete provare a cercare l'account (o gli account) email utilizzato per registrarvi. Sul vostro client email, cercate parole chiave come "verifica" o "benvenuto." Quasi ogni volta che create un account online, il servizio vi manderà un link di verifica o un messaggio introduttivo alla vostra email. Questo può essere un ottimo modo per trovare vecchi account dimenticati.
Se non hai mai utilizzato un gestore di password in passato, o pensi di possedere profili mai aggiunti a esso, un'altra opzione è cercre i profili email con cui credi di esserti iscritto. Sul tuo client email, cerca parole chiave come "verifica" o "benvenuto." Quasi ogni volta che crei un profilo online, il servizio ti invierà un collegmento di verifica o un messaggio introduttivo, alla tua email. Questo può essere un ottimo modo per trovare vecchi profili dimenticati.
## Eliminazione vecchi account
## Eliminazione dei vecchi profili
### Accedi
Per eliminare i vostri vecchi account, dovrete prima assicurarvi di poter accedere. Ancora una volta, se l'account era già nel tuo gestore di password, questo passaggio è molto più semplice. In caso contrario, si può provare a indovinare la password. Altrimenti, ci sono metodi per riottenere l'accesso al tuo account, tipicamente disponibili tramite un link "password dimenticata" nella pagina d'accesso. È anche possibile che gli account abbandonati siano stati già stati eliminati: a volte i servizi eliminano tutti i vecchi account.
Per eliminare i tuoi vecchi profili, dovrai prima assicurarti di potervi accedere. Ancora, se il profilo era nel tuo gestore di password, questo passaggio è facile. Altrimenti, puoi provare a indovinare la password. Altrimenti, tipicamente, esistono delle opzioni per riottenere l'accesso al tuo profilo, disponibili comunemente tramite un collegamento "password dimenticata", sulla pagina d'accesso. Inoltre, è possibile che i profili che hai abbandonato siano già stati eliminati: talvolta, i servizi eliminano tutti i vecchi profili.
Quando si tenta di recuperare l'account, se il sito restituisce un messaggio di errore in cui dice che l'e-mail non è associata a un account, o se non si riceve mai un link di recupero dopo svariati tentativi, allora non c'è nessun account con quell'indirizzo e-mail e si deve provare con un altro. Se non riesci a capire quale email hai utilizzato, o non ne hai più accesso, puoi provare a contattare l'assistenza clienti del servizio in questione. Purtroppo, non vi è alcuna garanzia di poter riottenere l'accesso all'account.
Tentando di recuperare l'accesso, se il sito restituisce un messaggio d'errore che indica che l'email non è associata a un profilo, o se ricevi un collegamento di ripristino dopo svariati tentaativi, non hai un profilo sotto tale indirizzo email e dovresti provare con uno differente. Se non riesci a capire quale indirizzo email hai utilizzato, o non hai più accesso aa tale email, puoi provare a contattare il supporto clienti del servizio. Purtroppo, non vi è alcuna garanzia di poter riottenere l'accesso al profilo.
### GDPR (solo per i residenti nello SEE)
### GDPR (solo per i residenti SEE)
I residenti dello SEE hanno ulteriori diritti in materia di cancellazione dei dati personali come specificato nell' [ Articolo 17 ](https://www.gdpr.org/regulation/article-17.html) del GDPR. Se applicabile, leggere l'informativa sulla privacy per qualsiasi servizio per trovare informazioni su come esercitare il diritto alla cancellazione. Leggere l'informativa sulla privacy può rivelarsi importante, poiché alcuni servizi prevedono l'opzione "Elimina account" che si limita a disabilitare l'account, mentre per la vera e propria eliminazione è necessario intraprendere ulteriori azioni. A volte la cancellazione vera e propria può comportare la compilazione di sondaggi, l'invio di un'e-mail al responsabile della protezione dei dati del servizio o addirittura la dimostrazione della propria residenza nel SEE. Se intendi procedere in questo modo, **NON** sovrascrivere le informazioni dell'account: La tua identità come residente del SEE potrebbe venirti richiesta. Nota che la posizione geografica del servizio non ha alcuna importanza; il GDPR si applica a chiunque serva utenti Europei. Se il servizio non rispetta il vostro diritto alla cancellazione, puoi contattare il tuo [Garante per la protezione dei dati personali](https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/what-should-i-do-if-i-think-my-personal-data-protection-rights-havent-been-respected_en) e potreste avere diritto anche ad un risarcimento in denaro.
I residenti SEE hanno ulteriori diritti relativi alla cancellazione dei dati, specificati all'[Articolo 17](https://www.gdpr.org/regulation/article-17.html) del RGPD. Se applicabile, leggi la politica sulla privacy per qualsiasi dato servizio, per trovare le informazioni su come esercitare il tuo diritto alla cancellazione. Leggere la politica sulla privacy può rivelarsi importante, poiché alcuni servizi hanno un'opzione "Elimina Profilo" che disabilita il tuo profilo, mentre per l'eliminazione reale devi intraprendere ulteriori azioni. Talvolta, l'eliminazione effettiva potrebbe richiedere la compilazione di sondaggi, il contatto del responsabile della protezione dei dati, o persino la dimostrazione della tua residenza nel SEE. Se intendi procedere in questo modo, **non** sovrascrivere le informazioni del profilo: la tua identità come residente del SEE potrebbe venirti richiesta. Nota che la posizione geografica del servizio non ha alcuna importanza; il RGPD si applica a chiunque serva utenti europei. Se il servizio non rispetta il tuo diritto alla cancellazione, puoi contattare l'[Autorità di Protezione dei Dati](https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/what-should-i-do-if-i-think-my-personal-data-protection-rights-havent-been-respected_en) nazionale, e potresti anche avere diritto a un risarcimento in denaro.
### Sovrascrivere Informazioni dell'Account
### Sovrascrivere informazioni del profilo
In alcune situazioni in cui si prevede di abbandonare un account, può avere senso sovrascrivere le informazioni dell'account con dati falsi. Una volta che sei sicuro di poter accedere, modifica tutte le informazioni di quell'account con informazioni false. Il motivo è che molti siti conservano le informazioni precedentemente in possesso dell'utente anche dopo la cancellazione dell'account. La speranza è che sovrascrivano le informazioni precedenti con i dati più recenti da te inseriti. Tuttavia, non è garantito che non vi siano backup con le informazioni precedenti.
In alcune situazioni in cui pianifichi di abbandonare un profilo, può avere senso sovrascrivere le informazioni dello stesso con dati falsi. Una volta che sei sicuro di poter accedere, modifica tutte le informazioni di quel profilo con delle informazioni false. Il motivo è che molti siti conservano le informazioni precedentemente in possesso dell'utente anche dopo la cancellazione del profilo. La speranza è che sovrascrivano le informazioni precedenti con i dati più recenti da te inseriti. Tuttavia, non è garantito che non vi siano backup con le informazioni precedenti.
Per l'e-mail dell'account, o create un nuovo account e-mail utilizzando il vostro provider oppure create un alias utilizzando un [servizio di alias e-mail ](../email.md#email-aliasing-services). Una volta fatto ciò, potete eliminare l'indirizzo email alternativo. Consigliamo di NON utilizzare i provider di email temporanee, poiché spesso è possibile riattivarle.
Per l'email del profilo, crea un nuovo indirizzo email alternativo tramite il tuo fornitore, o scegli o crea un alias, utilizzando un [servizio di alias email](../email.md#email-aliasing-services). Quindi, puoi eliminare l'indirizzo email alternativo, una volta terminato. Sconsigliamo l'utilizzo di fornitori di email temporanee, poiché è talvolta possibile riattivarle.
### Elimina
È possibile consultare [JustDeleteMe](https://justdeleteme.xyz) per le istruzioni sull'eliminazione dell'account per un servizio specifico. Alcuni siti offrono fortunatamente l'opzione "Elimina account", mentre altri si spingono fino a costringervi a parlare con un agente di supporto. Il processo di cancellazione può variare da un sito all'altro, e in alcuni casi la cancellazione dell'account sarà impossibile.
Puoi consultare [JustDeleteMe](https://justdeleteme.xyz) per le istruzioni su come eliminare il profilo per un servizio specifico. Alcuni siti, fortunatamente, offrono l'opzione "Elimina profilo", mentre altri si spingono fino a costringerti a parlare con un agente di supporto. Il processo di eliminazione può variare da un sito all'altro, e in alcuni casi la cancellazione del profilo sarà impossibile.
Per i servizi che non permettono l'eliminazione dell'account, la cosa migliore da fare è quella di falsificare tutte le informazioni (come detto in precedenza) e di rafforzare la sicurezza dell'account. Per fare ciò, abilita [MFA](multi-factor-authentication.md) e qualsiasi altra funzionalità che il sito offre. Inoltre, cambia la password con una generata casualmente che sia della lunghezza massima consentita (un [gestore di password](../passwords.md) può esserti utile per questo).
Per i servizi che non permettono l'eliminazione del profilo, la cosa migliore da fare è quella di falsificare tutte le informazioni (come detto in precedenza) e di rafforzare la sicurezza del profilo. Per farlo, abilita l'[AFM](multi-factor-authentication.md) e qualsiasi altra funzionalità offerta dal sito. Inoltre, cambia la password con una generata casualmente che sia della lunghezza massima consentita (un [gestore di password](../passwords.md) può esserti utile per farlo).
Se siete soddisfatti che tutte le informazioni che vi interessano siano state rimosse, potete tranquillamente dimenticarvi di questo account. In caso contrario, potrebbe essere una buona idea quella di conservare le credenziali insieme alle altre password e di tanto in tanto effettuare un nuovo accesso per reimpostare la password.
Se sei soddisfatto della rimozione di tutte le informazioni che ti, puoii tranquillamente dimenticarti di questo profilo. Altrimenti, potrebbe essere una buona idea conservare le credenziali con le altre tue password, accedendo nuovamente in modo occasionale, per ripristinare la password.
Anche quando riesci a eliminare un account, non vi è alcuna garanzia che tutte le tue informazioni vengano rimosse. Infatti, alcune società sono tenute per legge a conservare determinate informazioni, in particolare quando si tratta di operazioni finanziarie. È per lo più fuori dal tuo controllo ciò che accade ai tuoi dati quando si tratta di siti Web e servizi cloud.
Anche quando riesci a eliminare un profilo, non vi è alcuna garanzia che tutte le tue informazioni siano rimosse. Infatti, alcune aziende sono tenute per legge a conservare certe informazioni, in particolare quando si tratta di operazioni finanziarie. È per lo più fuori dal tuo controllo ciò che accade ai tuoi dati quando si tratta di siti Web e servizi su cloud.
## Evita nuovi account
## Evita i nuovi profili
Come dice il vecchio detto, "un grammo di prevenzione vale un chilo di cura." Ogni volta che ti senti tentato di registrare un nuovo account, chiediti: "Ne ho davvero bisogno? Posso realizzare ciò che mi serve senza un account?" Spesso è molto più difficile eliminare un account piuttosto che crearne uno. E anche dopo aver eliminato o modificato le info del tuo account, potrebbe esserci una versione nella cache di qualche sito di terze parti, come [Internet Archive](https://archive.org/). Evitate la tentazione quando potete: il te stesso del futuro ti ringrazierà!
Come dice il vecchio detto, "un grammo di prevenzione è sempre meglio di un chilo di cura." Ogni volta che ti senti tentato di registrare un nuovo profilo, chiediti: "Ne ho davvero bisogno? Posso realizzare ciò che mi serve senza un profilo?" Spesso è molto più difficile eliminare un profilo, piuttosto che crearne uno. E anche dopo averne eliminate o modificate le informaazioni, potrebbe esserci una versione nella cache da una terza parte, come [Internet Archive](https://archive.org/). Quando possibile, evita la tentazione: il te stesso del futuro ti ringrazierà!

62
i18n/it/basics/common-misconceptions.md
View File

@ -1,7 +1,7 @@
---
title: "I malintesi più comuni"
icon: 'material/robot-confused'
description: Non è semplice trattare di privacy, ed è facile farsi abbindolare da semplice marketing o altri tipi di disinformazione.
description: La privacy non è un tema semplice ed è facile farsi abbindolare dalle dichiarazioni commerciali e altra disinformazione.
schema:
-
"@context": https://schema.org
@ -20,75 +20,75 @@ schema:
acceptedAnswer:
"@type": Answer
text: |
Si parla spesso di "spostamento della fiducia" quando si parla di soluzioni come le VPN (che spostano la fiducia riposta nel proprio ISP al fornitore di VPN). Sebbene questo protegga i tuoi dati di navigazione dal tuo ISP, il provider VPN che hai scelto ha l'accesso ai tuoi dati: non è certo che i tuoi dati siano al sicuro da terzi.
Si parla molto di "spostamento della fiducia", parlando di soluzioni come le VPN (che spostano la fiducia nel tuo ISP al fornitore VPN). Sebbene ciò protegga i tuoi dati di navigazione dal tuo ISP nello specifico, il fornitore VPN che scegli ha comunque accesso ai tuoi dati di navigazione: non sono completamente protetti da tutte le parti.
-
"@type": Question
name: Le soluzioni incentrate sulla privacy sono intrinsecamente affidabili?
acceptedAnswer:
"@type": Answer
text: |
Concentrarsi esclusivamente sulle politiche sulla privacy e sul marketing di uno strumento o di un fornitore può indurti a ignorare i suoi punti deboli. Quando si cerca una soluzione più privata, è necessario determinare il problema di fondo e trovare soluzioni tecniche per risolverlo. Ad esempio, sarebbe meglio evitare Google Drive, che dà a Google accesso a tutti i tuoi dati. In questo caso il problema di fondo è la mancanza di cifratura E2EE, quindi è necessario assicurarsi che il fornitore a cui si passa implementi effettivamente l'E2EE, oppure utilizzare uno strumento (come Cryptomator) che fornisce l'E2EE per qualsiasi fornitore di servizi di archiviazione cloud. Passare a un fornitore "finalizzato alla privacy" (che non implementa l'E2EE) non risolve il problema: sposta solo la fiducia da Google a quel fornitore.
Concentrarsi soltanto sulle politiche sulla privacy e sul marketing di uno strumento o fornitore, può rendere cechi alle sue debolezze. Quando si cerca una soluzione più privata, è necessario determinare il problema di fondo e trovare soluzioni tecniche per risolverlo. Ad esempio, potresti voler evitare Google Drive, che dà a Google l'accesso a tutti i tuoi dati. Il problema di fondo, in questo caso, è la mancanza dell'E2EE, quindi, dovresti assicurare che il fornitore a cui passi la implementi effettivamente, o utilizzare uno strumento (come Cryptomator), che la fornisca su qualsiasi fornitore su cloud. Passare a un fornitore "incentrato sulla privacy" (che non implementa l'E2EE), non risolve il tuo problema: sposta la fiducia da Google a quel fornitore.
-
"@type": Question
name: Quando dovrebbe essere complesso il mio modello di minaccia?
name: Quanto complicato dovrebbe essere il mio modello di minaccia?
acceptedAnswer:
"@type": Answer
text: |
Spesso si vedono descrivere modelli di minaccia per la privacy eccessivamente complessi. Spesso queste soluzioni includono problemi come l'uso di molteplici account di posta elettronica o di configurazioni complicate con molte parti mobili e condizioni. Le risposte sono solitamente soluzioni alla domanda "qual è il modo migliore per fare X?"
Trovare la soluzione "migliore" per te non significa necessariamente cercare una soluzione infallibile con decine di condizioni: queste soluzioni sono spesso difficili da gestire in modo realistico. Come abbiamo detto in precedenza, la sicurezza spesso va a scapito della comodità.
Spesso, vediamo le persone descrivere i modelli di minaccia per la privacy come eccessivamente complessi. Spesso, queste soluzioni includono problemi come molti profili email differenti o configurazioni complicaate, con molte parti mobili e condizioni. Le risposte sono solitamente risposte a "qual è il modo migliore per fare X?"
Trovare la soluzione "migliore" per te non significa necessariamente che ne stai cercando una infallibile con dozzine di condizioni: queste soluzioni sono spesso difficili da gestire in modo realistico. Come discusso in precedenza, la sicurezza va spesso a scapito della comodità.
---
## "Il software open-source è sempre sicuro" o "il software proprietario è più sicuro"
Questi miti derivano da una serie di pregiudizi, ma la disponibilità del codice sorgente e le modalità di licenza del software non influiscono in alcun modo sulla sua sicurezza. ==Il software open-source ha il *potenziale* di essere più sicuro del software proprietario, ma non c'è alcuna garanzia che sia così.== Quando si valuta il software, è necessario esaminare la reputazione e la sicurezza di ogni strumento su base individuale.
Questi miti derivano da una serie di pregiudizi, ma la disponibilità del codice sorgente e le modalità di licenza del software, non influiscono intrinsecamente sulla sua sicurezza, in alcun modo. ==I software open source hanno il *potenziale* di essere più sicuri di quelli proprietari, maa non esiste assolutamente alcuna garanzia che sia così.== Quando valuti il software, dovresti esaminare la reputazione e la sicurezza di ogni strumento, su base individuale.
Il software open-source *p* essere ispezionato da terzi e spesso è più trasparente sulle potenziali vulnerabilità rispetto alle controparti proprietarie. Permette inoltre di esaminare il codice e di disabilitare qualsiasi funzionalità sospetta. Tuttavia, *a meno che non lo si faccia*, non c'è alcuna garanzia che il codice sia mai stato valutato, soprattutto nei progetti software più piccoli. Il processo di sviluppo aperto è stato talvolta sfruttato per introdurre nuove vulnerabilità anche in progetti di grandi dimensioni.[^1]
I software open source *possono* essere controllati da terze parti e, spesso, sono più trasparenti sulle potenziali vulnerabilità, rispetto alle controparti proprietarie. Inoltre, ti consentono di revisionare il codice e disabilitare qualsiasi funzionalità sospetta tu trovi. Tuttavia, *a meno che non lo faccia*, non esiste alcuna garanzia che il codice sia mai stato valutato, specialmente con i progetti software più piccoli. Il procedimento di sviluppo aperto, talvolta, è inoltre stato sfruttato per introdurre nuove vulnerabilità in progetti anche di grandi dimensioni.[^1]
D'altra parte, il software proprietario è meno trasparente, ma ciò non significa che non sia sicuro. I grandi progetti di software proprietario possono essere controllati internamente e da agenzie di terze parti, e i ricercatori di sicurezza indipendenti possono ancora trovare vulnerabilità con tecniche come il reverse engineering.
D'altra parte, i software proprietari sono meno trasparenti, ma ciò non implica che non siano sicuri. I grandi progetti di software proprietari sono controllabili internamente e da agenzie di terze parti, e i ricercatori indipendenti sulla sicurezza possono comunque trovare vulnerabilità, con tecniche come l'ingegneria inversa.
Per evitare decisioni distorte, è *fondamentale* valutare gli standard di privacy e sicurezza del software che utilizzi.
Per evitare decisioni di parte, è *fondamentale* che tu valuti gli standard di privacy e sicurezza del software che utilizzi.
## "Spostare la fiducia può aumentare la privacy"
## "Spostare la fiducia può incrementare la privacy"
Si parla spesso di "spostamento della fiducia" quando si parla di soluzioni come le VPN (che spostano la fiducia riposta nel proprio ISP al fornitore di VPN). Sebbene queste proteggano i vostri dati di navigazione dal vostro ISP *in particolare*, il fornitore di VPN che scegli ha comunque accesso ai tuoi dati di navigazione: i tuoi dati non sono completamente protetti da tutte le parti. Ciò implica che
Parliamo molto di "spostamento della fiducia", discutendo di soluzioni come le VPN (che la spostano dal tuo ISP al fornitore VPN). Sebbene queste proteggano i tuoi dati di navigazione dal tuo ISP *nello specifico*, il fornitore dell VPN che scegli ha comunque accesso a essi: i tuoi dati non sono completamente protetti da tutte le parti. Ciò implica che:
1. è necessario prestare attenzione quando si sceglie un fornitore a cui affidarsi;
2. è comunque necessario utilizzare altre tecniche, come E2EE, per proteggere completamente i dati. Diffidare di un fornitore per affidarsi a un altro non significa mettere al sicuro i propri dati.
1. Devi prestaare attenzione scegliendo un fornitore a cui spostare la fiducia.
2. Dovresti comunque utilizzare altre tecniche, come l'E2EE, per proteggere completamente i tuoi dati. Diffidare meramente di un fornitore per fidarsi di un altro, non protegge i tuoi dati.
## "Le soluzioni incentrate sulla privacy sono intrinsecamente affidabili"
Concentrarsi esclusivamente sulle politiche sulla privacy e sul marketing di uno strumento o di un fornitore può indurti a ignorare i suoi punti deboli. Quando si cerca una soluzione più privata, è necessario determinare il problema di fondo e trovare soluzioni tecniche per risolverlo. Ad esempio, sarebbe meglio evitare Google Drive, che dà a Google accesso a tutti i tuoi dati. Il problema di fondo in questo caso è la mancanza di E2EE, quindi è necessario assicurarsi che il fornitore a cui si passa implementi effettivamente l'E2EE, oppure utilizzare uno strumento (come [Cryptomator](../encryption.md#cryptomator-cloud)) che fornisce l'E2EE a qualsiasi fornitore di archiviazione in cloud. Passare a un fornitore "finalizzato alla privacy" (che non implementa l'E2EE) non risolve il problema: sposta solo la fiducia da Google a quel fornitore.
Concentrarsi soltanto sulle politiche sulla privacy e sul marketing di uno strumento o fornitore, può rendere cechi alle sue debolezze. Quando si cerca una soluzione più privata, è necessario determinare il problema di fondo e trovare soluzioni tecniche per risolverlo. Ad esempio, potresti voler evitare Google Drive, che dà a Google l'accesso a tutti i tuoi dati. Il problema di fondo, in questo caso, è la mancanza dell'E2EE, quindi, dovresti assicurare che il fornitore a cui passi la implementi effettivamente, o utilizzare uno strumento (come [Cryptomator](../encryption.md#cryptomator-cloud)), che la fornisca su qualsiasi fornitore su cloud. Passare a un fornitore "incentrato sulla privacy" (che non implementa l'E2EE), non risolve il tuo problema: sposta la fiducia da Google a quel fornitore.
Le politiche sulla privacy e le pratiche commerciali dei fornitori scelti sono molto importanti, ma devono essere considerate secondarie rispetto alle garanzie tecniche della tua privacy: non si dovrebbe trasferire la fiducia a un altro fornitore quando la fiducia in un fornitore non è affatto un requisito.
Le politiche sulla privacy e le pratiche aziendali dei fornitori che scegli sono molto importaanti, ma dovrebbero essere considerate secondarie alle garanzie di sicurezza della tua privacy: non dovresti spostare la fiducia a un altro fornitore, quando fidarsene non è affatto un requisito.
## "Complicato è meglio"
Spesso si vedono descrivere modelli di minaccia per la privacy eccessivamente complessi. Spesso queste soluzioni includono problemi come l'uso di molteplici account di posta elettronica o di configurazioni complicate con molte parti mobili e condizioni. Le risposte sono solitamente risposte a "qual è il modo migliore per fare *X*?"
Spesso, vediamo le persone descrivere i modelli di minaccia per la privacy come eccessivamente complessi. Spesso, queste soluzioni includono problemi come molti profili email differenti o configurazioni complicaate, con molte parti mobili e condizioni. Solitamente, si tratta solitamente di risposte a "Qual è il metodo migliore per fare *X*?"
Trovare la soluzione "migliore" per te non significa necessariamente cercare una soluzione infallibile con decine di condizioni: queste soluzioni sono spesso difficili da gestire in modo realistico. Come abbiamo detto in precedenza, la sicurezza spesso va a scapito della comodità. Di seguito vi forniamo alcuni suggerimenti:
Trovare la soluzione "migliore" per te non significa necessariamente che ne stai cercando una infallibile con dozzine di condizioni: queste soluzioni sono spesso difficili da gestire in modo realistico. Come discusso in precedenza, la sicurezza va spesso a scapito della comodità. Di seguito, forniamo alcuni suggerimenti:
1. ==le azioni devono servire a uno scopo particolare:== pensa a come fare ciò che desideri con il minor numero di azioni;
2. ==eliminare i punti di fallimento umani:== Falliamo, ci stanchiamo e dimentichiamo le cose. Per mantenere la sicurezza, evita di affidarti a condizioni e processi manuali che dovi ricordare;
3. ==utilizza il giusto livello di protezione per ciò che intendi fare.== Spesso vediamo consigliate le cosiddette soluzioni a prova di forze dell'ordine o di citazione in giudizio. Spesso richiedono conoscenze specialistiche e in genere non sono ciò che la gente vuole. Non ha senso costruire un intricato modello di minaccia per l'anonimato se si può essere facilmente de-anonimizzati da una semplice svista.
1. ==Le azioni devono servire uno scopo in particolare:== pensa a come fare ciò che desideri con il minor numero possibile di azioni.
2. ==Rimuovi i punti di fallimento umani:== Falliamo, ci stanchiamo e dimentichiamo le cose. Per mantenere la sicurezza, evita di affidarti a condizioni e procedimenti manuali che devi ricordare.
3. ==Utilizza il giusto livello di protezione per ciò che intendi fare.== Spesso, vediamo consigli delle cosiddette soluzioni a prova di autorità o citazione in giudizio. Spesso, richiedono conoscenze specialistiche e, generalmente, non sono ciò che la gente desidera. Non ha senso creare un intricato modello di minaccia per l'anonimato, se puoi essere facilmente deanonimizzato da una semplice svista.
Quindi, come potrebbe apparire?
Uno dei modelli di minaccia più chiari è quello in cui le persone *sanno chi sei* e quello in cui non lo sanno. Ci saranno sempre situazioni in cui dovrai dichiara il tuo nome legale e altre in cui non sarà necessario.
Uno dei modelli di minaccia più chiri è quello in cui le persone *ti conoscono* e uno in cui non ti conoscono. Ci saranno sempre situazioni in cui dovrai dichiarare il tuo nome legale, e altre in cui non sarà necessario.
1. **Identità nota** - L'identità nota viene utilizzata per le situazioni in cui è necessario dichiarare il proprio nome. Sono molti i documenti legali e i contratti per i quali è richiesta un'identità legale. Si può trattare dell'apertura di un conto bancario, della firma di un contratto di locazione immobiliare, dell'ottenimento di un passaporto, delle dichiarazioni doganali per l'importazione di articoli o di altri rapporti con il governo. Queste cose di solito portano a credenziali come carte di credito, controlli del rating, numeri di conto ed eventuali indirizzi fisici.
1. **Identità nota**: Un'identità nota è utilizzata per le cose in cui devi dichiarare il tuo nome. Esistono molti documenti legali e contratti in cui l'identità legale è necessaria. Questi possono andare dall'apertura di un conto bancario, la firma di affitto di una proprietà, l'ottenimento di un passaporto, dichiarazioni personalizzate per l'importazione di articoli, o altri rapporti con il tuo governo. Solitamente, queste cose, richiedono credenziali quali carte di credito, controlli di affidabilità creditizia, numeri di conto e, possibilmente, indirizzi fisici.
Non suggeriamo di utilizzare una VPN o Tor per queste cose, poiché la vostra identità è già nota attraverso altri mezzi.
Non suggeriamo di utilizzare alcuna VPN o Tor per queste cose, poiché la tua identità è già nota tramite altri mezzi.
!!! tip "Suggerimento"
!!! tip
Quando si fanno acquisti online, l'uso di un [punto pacchi automatico](https://it.wikipedia.org/wiki/Paccomat) può aiutare a mantenere privato il proprio indirizzo fisico.
Acquistando online, l'utilizzo di un [Paccomat](https://it.wikipedia.org/wiki/Paccomat), può contribuire a mentenere privato il tuo indirizzo email.
2. **Identità sconosciuta** - Un'identità sconosciuta potrebbe essere uno pseudonimo stabile che si usa regolarmente. Non è anonimo perché non cambia. Se fate parte di una comunità online, potreste voler mantenere un'identità che gli altri conoscono. Questo pseudonimo non è anonimo perché, se monitorato abbastanza a lungo, i dettagli sul proprietario possono rivelare ulteriori informazioni, come il modo in cui scrive, la sua conoscenza generale degli argomenti di interesse, ecc.
2. **Identità sconosciuta**: Un'identità sconosciuta potrebbe essere uno pseudonimo stabile che utilizzi regolarmente. Non è anonimo perché non cambia. Se fai parte di una community online, potresti voler mantenere un'identità nota ad altri. Questo pseudonimo non è anonimo perché, se monitorato abbastanza a lungo, i dettagli sul proprietario potrebbero rilevare ulteriori informazioni, come il modo in cui scrive, le sue conoscenze generali su argomenti d'interesse, etc.
A tal fine è possibile utilizzare una VPN per mascherare il proprio indirizzo IP. Le transazioni finanziarie sono più difficili da mascherare: si può prendere in considerazione l'utilizzo di criptovalute anonime, come [Monero](https://www.getmonero.org/). L'utilizzo del cambio di altcoin può anche aiutare a nascondere l'origine della valuta. In genere, le borse richiedono il completamento del KYC (know your customer) prima di consentire lo scambio di valuta fiat in qualsiasi tipo di criptovaluta. Anche le opzioni di incontro locali possono essere una soluzione; tuttavia, spesso sono più costose e talvolta richiedono anche il KYC.
Potresti voler utilizzare una VPN per questo, per mascherare il tuo indirizzo IP. Le transazioni finanziarie sono più difficili da mascherare: potresti considerare l'utilizzo di criptovalute anonime, come [Monero](https://www.getmonero.org/). L'utilizzo del cambio di criptovalute, inoltre, potrebbe aiutare a distinguere l'origine della valuta. Tipicamente, le piattaforme di scambio richiedono il completamento della KYC (conoscenza del cliente), prima di consentirti di scambiare valuta legale per qualsiasi tipo di criptovaluta. Anche le opzioni di incontro locali potrebbero essere una soluzione; tuttavia, sono spesso più costose e, talvolta, richiedono la KYC.
3. **Identità anonima** - Anche con l'esperienza, le identità anonime sono difficili da mantenere per lunghi periodi di tempo. Dovrebbero essere identità a breve termine e di breve durata che vengono ruotate regolarmente.
3. **Identità anonima**: Anche con l'esperienza, le identità anonime sono difficili da mantenere per lunghi periodi di tempo. Dovrebbero essere identità a breve termine e di breve durata, a rotazione regolare.
L'uso di Tor può aiutare in questo caso. Vale anche la pena di notare che un maggiore anonimato è possibile attraverso la comunicazione asincrona: la comunicazione in tempo reale è vulnerabile all'analisi dei modelli di digitazione (ad esempio, più di un paragrafo di testo, distribuito su un forum, via e-mail, ecc.)
In questo caso, l'utilizzo di Tor può aiutare. Vale anche la pena di notare che un anonimato maggiore è possibile, tramite la comunicazione asincrona: la comunicazione in tempo reale è vulnerabile alle analisi dei modelli di digitazione (cioè, più di un paragrafo di testo, distribuito su un forum, via email, etc.)
[^1]: Un esempio notevole è [l'incidente del 2021 in cui i ricercatori dell'Università del Minnesota hanno introdotto tre vulnerabilità nel progetto di sviluppo del kernel Linux](https://cse.umn.edu/cs/linux-incident).
[^1]: Un notevole esempio è quello dell'[incidente del 2021, in cui i ricercatori dell'Università del Minnesota hanno introdotto tre vulnerabilità nel progetto di sviluppo del kernel Linux](https://cse.umn.edu/cs/linux-incident).

128
i18n/it/basics/common-threats.md
View File

@ -1,148 +1,148 @@
---
title: "Minacce comuni"
icon: 'material/eye-outline'
description: Il modello di minaccia è individuale, ma ci sono alcuni aspetti che stanno a cuore a molti visitatori di questo sito.
description: Il tuo modello di minaccia è personale, ma queste sono alcuni aspetti che stanno a cuore a molti visitatori di questo sito web.
---
In linea di massima, le nostre raccomandazioni sono suddivise in [minacce](threat-modeling.md) o obiettivi che si applicano alla maggior parte delle persone. ==Potete essere interessati a nessuna, una, alcune o tutte queste possibilità== e gli strumenti e i servizi che utilizzate dipendono dai vostri obiettivi. Potreste avere minacce specifiche anche al di fuori di queste categorie, il che è perfettamente normale! È importante sviluppare una comprensione dei vantaggi e dei difetti degli strumenti che scegli di utilizzare, perché in astratto nessuno di questi ti proteggerà da qualunque minaccia.
In linea di massima, le nostre raccomandazioni sono suddivise in [minacce](threat-modeling.md) o obiettivi che si applicano alla maggior parte delle persone. ==Potete essere interessati a nessuna, una, alcune o tutte queste possibilità== e gli strumenti e i servizi che utilizzate dipendono dai vostri obiettivi. Potresti anche avere minacce specifiche al di fuori di queste categorie, il che è perfettamente normale! La parte importante è lo sviluppo di una comprensione dei benefici e difetti deegli strumenti che scegli di utilizzare, poiché virtualmente nessuno di essi ti proteggerà da ogni minaccia.
- <span class="pg-purple">:material-incognito: Anonimizzazione</span> - Separa la tua attività online dalla tua reale identità, proteggendoti da persone che mirano a scoprire *la tua* identità.
- <span class="pg-red">:material-target-account: Attacchi mirati</span> - Protezione da hacker o altri malintenzionati che provano a prendere il controllo miratamente dei *tuoi* dati o dispositivo.
- <span class="pg-orange">:material-bug-outline: Attacchi passivi</span> - Protezione da malware, violazioni di dati, e altri attacchi non mirati che colpiscono molte persone alla volta.
- <span class="pg-teal">:material-server-network: Service Providers</span> - Proteggi i tuoi dati dai service providers (per esempio con la crittografia E2EE, che rende i tuoi dati illeggibili dal server).
- <span class="pg-blue">:material-eye-outline: Sorveglianza di massa</span> - Protezione dalle agenzie governative, organizzazioni, siti e serviti che lavorano assieme per tracciare le tue attività.
- <span class="pg-brown">:material-account-cash: Capitalismo di sorveglianza</span> - Proteggiti dai network di pubblicità, come Google e Facebook, e altre miriadi di collezionisti di dati di terze parti.
- <span class="pg-green">:material-account-search: Esposizione pubblica</span> - Limitare le informazioni che ti riguardano accessibili online ai motori di ricerca o pubblico in generale.
- <span class="pg-blue-gray">:material-close-outline: Censura</span> - Aggirare le censure o evitare di essere censurati a propria volta quando si comunica online.
- <span class="pg-purple">:material-incognito: Anonimato</span> - Proteggono la tua attività online dalla tua identità reale, proteggendoti da persone che mirano a scoprire la *tua* identità nello specifico.
- <span class="pg-red">:material-target-account: Attacchi mirati</span> - Protezione da hacker o altri malintenzionati, che mirano ad accedere ai *tuoi* dati o dispositivi, nello specifico.
- <span class="pg-orange">:material-bug-outline: Attacchi passivi</span> - Protezione da malware, violazioni di dati e altri attacchi effettuati contro molte persone, in una singola volta.
- <span class="pg-teal">:material-server-network: Service Providers</span> - Protezione dei tuoi dati dai fornitori del servizio (es., con l'E2EE, che rende i tuoi dati illeggibili dal server).
- <span class="pg-blue">:material-eye-outline: Sorveglianza di massa</span> - Protezione dalle agenzie governative, organizzazioni, siti web e servizi che cooperano per tracciare le tue attività.
- <span class="pg-brown">:material-account-cash: Capitalismo di sorveglianza</span> - Protezione dalle grandi reti pubblicitarie, come Google e Facebook, nonché da una miriade di altri raccoglitori di dati di terze parti.
- <span class="pg-green">:material-account-search: Esposizione pubblica</span> - Limitazione delle informazioni accessibili online su di te, ai motori di ricerca o al pubblico generale.
- <span class="pg-blue-gray">:material-close-outline: Censura</span> - Prevenzione dell'accesso censurato a informazioni, o della tua censura, comunicando online.
Alcune di queste minacce possono essere più importanti per te di altre, a seconda delle tue specifiche preoccupazioni. Per esempio, uno sviluppatore con accesso a dati critici o di valore potrebbe essere particolarmente preoccupato degli <span class="pg-red">:material-target-account: attacchi mirati</span>, ma probabilmente vuole anche proteggere i propri dati personali dalla raccolta di programmi di <span class="pg-blue">:material-eye-outline: sorveglianza di massa</span>. Allo stesso modo, molte persone potrebbero essere preoccupate principalmente dell' <span class="pg-green">:material-account-search: esposizione pubblica</span> dei propri dati personali, ma dovrebbero comunque stare attenti ai problemi legati alla sicurezza, come gli <span class="pg-orange">:material-bug-outline: attacchi passivi</span>- come malware che colpiscono i loro dispositivi.
Alcune di queste minacce potrebbero essere per te più importanti di altre, a seconda delle tue preoccupazioni specifiche. Ad esempio, uno sviluppatore di software con accesso a dati preziosi o critici potrebbe essere principalmente preoccupato degli <span class="pg-red">:material-target-account: Attacchi Mirati</span>, pur volendo proteggere i propri dati personali dalla raccolta, da parte dei programmi di <span class="pg-blue">:material-eye-outline: Sorveglianza di Massa</span>. Similmente, in molto potrebbero essere principalmente preoccupati dall'<span class="pg-green">:material-account-search: Esposizione Pubblica</span> dei propri dati personali, pur rimanendo attendi ai problemi di sicurezza, come gli <span class="pg-orange">:material-bug-outline: Attacchi Passivi</span>, come i malware che colpiscono i loro dispositivi.
## Anonimato vs. Privacy
<span class="pg-purple">:material-incognito: Anonimato</span>
L'anonimato viene spesso confuso con la privacy, ma si tratta di concetti distinti. Mentre la privacy è un insieme di scelte che si fanno su come i propri dati vengono utilizzati e condivisi, l'anonimato è la completa dissociazione delle proprie attività online dalla propria identità reale.
L'anonimato è spesso confuso con la privacy, ma si tratta di concetti distinti. Mentre la privacy è una serie di scelte che effettui sull'utilizzo e la condivisione dei tuoi dati, l'anonimato è la dissociazione completa delle tue attività online dalla tua identità reale.
Gli informatori e i giornalisti, ad esempio, possono avere un modello di minaccia molto più estremo che richiede il totale anonimato. Questo non significa solo nascondere ciò che fanno, i dati che possiedono e non farsi hackerare da malintenzionati o governi, ma anche nascondere completamente chi sono. Spesso sacrificano qualsiasi tipo di comodità se ciò significa proteggere il loro anonimato, la loro privacy o la loro sicurezza, perché la loro vita potrebbe dipendere da questo. La maggior parte delle persone non ha bisogno di andare così lontano.
Informatori e giornalisti, ad esempio, possono avere un modello di minaccia molto più estremo, che richiede il totale anonimato. Questo non prevede soltanto il nascondere ciò che fanno, quali dati possiedono e non subire violazioni da malintenzionati o governi, ma anche nascondere interamente chi sono. Spesso, sacrificheranno qualsiasi tipo di comodità per proteggere il proprio anonimato, la propria privacy o sicurezza, poiché le loro vite potrebbero dipendere da ciò. Gran parte delle persone non necessitano di così tanto.
## Sicurezza e privacy
<span class="pg-orange">:material-bug-outline: Attacchi passivi</span>
Sicurezza e privacy vengono spesso confuse, perché per ottenere una parvenza di privacy è necessaria la sicurezza: L'utilizzo di strumenti, anche se progettati per essere privati, è inutile se possono essere facilmente sfruttati da aggressori che in seguito renderanno pubblici i vostri dati. Tuttavia, non è necessariamente vero il contrario: il servizio più sicuro al mondo *non è necessariamente* privato. L'esempio migliore è quello di affidare i dati a Google che, date le sue dimensioni, ha avuto pochi incidenti di sicurezza grazie all'impiego di esperti di sicurezza leader del settore per proteggere la propria infrastruttura. Anche se Google offre servizi molto sicuri, pochissime persone considererebbero i propri dati privati nei prodotti gratuiti di Google per i consumatori (Gmail, YouTube, ecc.)
La sicurezza e la privacy sono spesso confuse, poiché necessiti di sicurezza per ottenere qualsiasi parvenza di privacy: utilizzare strumenti, anche se privati di design, è futile se, questi, potrebbero essere facilmente sfruttati dai malintenzionati che, in seguito, rilasceranno i tuoi dati. Tuttavia, l'opposto non è necessariamente vero: il servizio più sicuro al mondo *non è necessariamente* privato. Il migliore esempio è affidare i dati a Google che, date le sue dimensioni, ha subito pochi incidenti di sicurezza, assumendo esperti di sicurezza leader del settore, per proteggere la propria infrastruttura. Sebbene Google offra servizi molto sicuri, pochissime persone considererebbero privati i propri dati nei prodotti gratuiti di Google per i clienti (Gmail, YouTube, etc.)
Quando si parla di sicurezza delle applicazioni, in genere non sappiamo (e a volte non possiamo) se il software che utilizziamo è dannoso o se un giorno potrebbe diventarlo. Anche con gli sviluppatori più affidabili, in genere non c'è garanzia che il loro software non presenti una grave vulnerabilità che potrebbe essere sfruttata in seguito.
Per quanto riguarda la sicurezza delle applicazioni, generalmente, non sappiaamo (e talvolta non possiamo sapere) se il software che utilizziamo è dannoso, o se potrebbe un giorno diventarlo. Anche con gli sviluppatori più affidabili, generalmente non esiste alcuna garanzia che il loro software non presenti una grave vulnerabilità, che potrebbe essere successivamente sfruttata.
Per ridurre al minimo i danni che un software dannoso *potrebbe* arrecare, è necessario utilizzare la sicurezza per compartimentazione. Ad esempio, si potrebbe utilizzare computer diversi per lavori diversi, macchine virtuali per separare gruppi diversi di applicazioni correlate o un sistema operativo sicuro con una forte attenzione al sandboxing delle applicazioni e al controllo obbligatorio degli accessi.
Per minimizzare i danni che un software malevolo *potrebbe* causare, dovresti utilizzare la sicurezza per la compartimentazione. Ad esempio, ciò potrebbe presentarsi nell'utilizzo di computer differenti per lavori differenti, utilizzando macchine virtuali per separare i gruppi differenti di applicazioni correlate, o utilizzando un sistema operativo sicuro con una forte attenzione al sandboxing delle applicazioni e il controllo obbligatorio degli accessi.
!!! tip "Suggerimento"
!!! tip
I sistemi operativi mobile hanno in genere un sandboxing delle applicazioni migliore rispetto ai sistemi operativi desktop: Le applicazioni non possono ottenere l'accesso root e richiedono l'autorizzazione per accedere alle risorse di sistema.
I sistemi operativi per mobile, generalmente, presentano un migliore sandboxing delle applicazioni, rispetto ai sistemi operativi per desktop: le app possono ottenere l'accesso di root e richiedono l'autorizzazione per accedere alle risorse di sistema.
I sistemi operativi desktop sono generalmente in ritardo per quanto riguarda una corretta sandboxing. ChromeOS ha funzionalità di sandboxing simili a quelle di Android e macOS ha un controllo completo dei permessi di sistema (e gli sviluppatori possono optare per il sandboxing per le applicazioni). Tuttavia, questi sistemi operativi trasmettono informazioni di identificazione ai rispettivi OEM. Linux tende a non fornire informazioni ai fornitori di sistemi, ma ha una scarsa protezione contro gli exploit e le applicazioni dannose. Questo problema può essere in qualche modo mitigato con distribuzioni specializzate che fanno un uso significativo di macchine virtuali o container, come [Qubes OS](../../desktop/#qubes-os).
Generalmente, i sistemi operativi per desktop sono in ritardo, per l'adeguato sandboxing. ChromeOS ha funzionalità di sandboxing simili ad Android e macOS ha il pieno controllo delle autorizzazioni di sistema (e gli sviluppatori possono optare per il sandboxing delle applicazioni). Tuttavia, questi sistemi operativi trasmettono le informazioni identificativi ai rispettivi OEM. Linux tende a non inviare le informazioni ai fornitori del sistema, ma presenta una scarsa protezione da exploit e applicazioni dannose. Ciò è mitigabile con distribuzioni specializzate, che fanno un utilizzo significativo delle macchine virtuali o contenitori, come [Qubes OS](../../desktop/#qubes-os).
<span class="pg-red">:material-target-account: Attacchi mirati</span>
Gli attacchi mirati contro una persona specifica sono più problematici da gestire. Gli attacchi più comuni includono l'invio di documenti dannosi via e-mail, lo sfruttamento di vulnerabilità (ad esempio nei browser e nei sistemi operativi) e gli attacchi fisici. Se questo è un problema per voi, dovreste impiegare strategie di mitigazione delle minacce più avanzate.
Gli attacchi mirati contro una persona specifica sono più problematici da affrontare. Gli attacchi comuni includono l'invio di documenti dannosi via email, lo sfruttamento delle vulnerabilità (es., nei browser e nei sistemi operativi) e gli attacchi fisici. Se per voi queste sono preoccupazioni, dovresti impiegare strategie di mitigazione delle minacce più avanzate.
!!! tip "Suggerimento"
!!! tip
Per loro natura, i **web browser**, i **client di posta elettronica** e le **applicazioni per ufficio** eseguono tipicamente codice non attendibile, inviato da terzi. L'esecuzione di più macchine virtuali, per separare applicazioni come queste dal sistema host e da ogni altra, è una tecnica che si può utilizzare per ridurre la possibilità che un exploit in queste applicazioni comprometta il resto del sistema. Ad esempio, tecnologie come Qubes OS o Microsoft Defender Application Guard su Windows offrono metodi pratici per farlo.
Per loro natura, i **browser web**, i **client email** e le **applicazioni per ufficio**, eseguono tipicamente del codice non attendibile, inviato da terzi. L'esecuzione di più macchine virtuali, per separare applicazioni simili dal tuo sistema di hosting, nonché da ogni altra, è una tecnica utilizzabile per mitigare la probabilità che un exploit di queste applicazioni comprometta il resto del tuo sistema. Ad esempio, le tecnologie come QubesOS o Microsoft Defender Application Guard su Windows, forniscono comodi metodi per farlo.
Se si temono **attacchi fisici** si dovrebbe utilizzare un sistema operativo con un'implementazione di avvio sicuro verificato, come Android, iOS, macOS o [Windows (con TPM)](https://docs.microsoft.com/en-us/windows/security/information-protection/secure-the-windows-10-boot-process). È inoltre necessario assicurarsi che l'unità sia crittografata e che il sistema operativo utilizzi un TPM o un Secure [Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/1/web/1) o [Element](https://developers.google.com/android/security/android-ready-se) per limitare i tentativi di immissione della passphrase di crittografia. Dovreste evitare di condividere il vostro computer con persone di cui non vi fidate, perché la maggior parte dei sistemi operativi desktop non cripta i dati separatamente per ogni utente.
Se temi un **attacco fisico**, dovresti utilizzare un sistema operativo con un'implementazione d'avvio verificata e sicura, come Android, iOS, macOS, o [Windows (con TPM)](https://docs.microsoft.com/en-us/windows/security/information-protection/secure-the-windows-10-boot-process). Inoltre, dovresti assicurarti che la tua unità sia crittografata e che il sistema operativo utilizzi un TPM o Secure [Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/1/web/1) od [Element](https://developers.google.com/android/security/android-ready-se), per limitare la frequenza dei tentativi di inserire la frase segreta crittografica. Dovresti evitare di condividere il tuo computer con persone di cui non ti fidi, poiché gran parte dei sistemi operativi per desktop non crittografa i dati separatamente, per ogni utente.
## Privacy da parte dei fornitori di servizi
## Privacy dai fornitori del servizio
<span class="pg-teal">:material-server-network: Fornitori di Servizi</span>
Viviamo in un mondo in cui quasi tutto è collegato a Internet. I nostri messaggi "privati", le e-mail e le interazioni sui social sono in genere archiviati su un server, da qualche parte. In genere, quando si invia un messaggio a qualcuno, questo viene memorizzato su un server e quando l'amico vuole leggerlo il server glielo mostra.
Viviamo in un mondo in cui quasi tutto è connesso a Internet. I nostri messaggi, email e interazioni sociali "privati" sono tipicamente memorizzati su un server, da qualche parte. In genere, quando invii un messaggio a qualcuno, è memorizzato su un server e, quando i tuoi amici vogliono leggerlo, il server glielo mostra.
Il problema evidente è che il fornitore di servizi (o un hacker che abbia compromesso il server) può accedere alle vostre conversazioni quando e come vuole, senza che voi ve ne accorgiate. Questo vale per molti servizi comuni, come la messaggistica SMS, Telegram e Discord.
Il problema evidente è che il fornitore del servizio (o un hacker che ha compromesso il server), può accedere alle tue conservazioni quando e come vuole, senza che tu te ne accorga. Ciò si applica a molti servizi comuni, come la messaggistica SMS, Telegram e Discord.
Fortunatamente, E2EE può alleviare questo problema crittografando le comunicazioni tra l'utente e i destinatari desiderati prima ancora che vengano inviate al server. La riservatezza dei messaggi è garantita, a patto che il fornitore del servizio non abbia accesso alle chiavi private di entrambe le parti.
Fortunatamente, l'E2EE può alleviare questo problema crittografando le comunicazioni tra te e i tuoi destinatari desiderati, persino prima che siano inviate al server. La confidenzialità dei tuoi messaggi è garantita, supponendo che il fornitore del servizio non abbia accesso alle chiavi private di ambe le parti.
!!! note "Nota sulla crittografia Web-based"
!!! note "Nota sulla crittografia basata sul Web"
In pratica, l'efficacia delle diverse implementazioni E2EE varia. Le applicazioni, come [Signal](../real-time-communication.md#signal), vengono eseguite in modo nativo sul dispositivo e ogni copia dell'applicazione è la stessa in tutte le installazioni. Se il fornitore di servizi introducesse una [backdoor](https://en.wikipedia.org/wiki/Backdoor_(computing)) nella propria applicazione - nel tentativo di rubare le chiavi private - potrebbe in seguito essere individuato con il [reverse engineering] (https://en.wikipedia.org/wiki/Reverse_engineering).
In pratica, l'efficacia delle diverse implementazioni E2EE varia. Le applicazioni, come [Signal](../real-time-communication.md#signal), operano nativamente sul tuo dispositivo e ogni copia dell'applicazione è la stessa tra diverse installazioni. Se il fornitore del servizio introducesse una [backdoor](https://it.wikipedia.org/wiki/Backdoor) nella propria applicazione, tentando di rubare le tue chiavi private, sarebbe successivamente rilevabile con l'[ingegneria inversa](https://it.wikipedia.org/wiki/Reverse_engineering).
D'altro canto, le implementazioni E2EE web-based, come la webmail di Proton Mail o il *Web Vault* di Bitwarden, si affidano al server che serve dinamicamente il codice JavaScript al browser per gestire la crittografia. Un server malintenzionato può prendere di mira l'utente e inviargli del codice JavaScript maligno per rubare la sua chiave di crittografia (e sarebbe estremamente difficile accorgersene). Poiché il server può scegliere di servire diversi web-clients a persone diverse - anche se ci si accorge dell'attacco - sarebbe incredibilmente difficile dimostrare la colpevolezza del provider.
D'altra parte, le implementazioni E2EE basate sul web, come la webmail di Proton Mail o il *Web Vault* di Bitwarden, si affidano al fatto che il server serve dinamicamente il codice in JavaScript al browser, per gestire la crittografia. Un server malintenzionato può prenderti di mira, inviandoti codice dannoso in JavaScript per rubare la tua chiave crittografica (cosa estremamente difficile da notare). Poiché il server può scegliere di servire client differenti a persone differenti, anche se notassi l'attacco, sarebbe incredibilmente difficile provare la colpevolezza del fornitore.
Pertanto, quando possibile, si dovrebbero utilizzare le applicazioni native rispetto ai web-client.
Dunque, dovresti utilizzare le applicazioni native, invece dei client web, quando possibile.
Anche con E2EE, i service provider possono comunque tracciare un profilo dell'utente in base ai **metadati**, che in genere non sono protetti. Anche se il fornitore di servizi non p leggere i messaggi, può comunque osservare cose importanti, come le persone con cui si parla, la frequenza dei messaggi e i momenti in cui si è tipicamente attivi. La protezione dei metadati è piuttosto rara e, se rientra nel vostro modello di minaccia [](threat-modeling.md), dovreste prestare molta attenzione alla documentazione tecnica del software che state utilizzando per verificare se esiste una minimizzazione o una protezione dei metadati.
Anche con l'E2EE, i fornitori dei servizi possono comunque profilarti secondo i **metadati**, che tipicamente non sono protetti. Sebbene il fornitore del servizio non possa leggere i tuoi messaggi, può comunque osservare cose importanti, come con chi stai parlando, quanto spesso gli invii messaggi e quando sei tipicamente attivo. La protezione dei metadati è abbastanza rara e, se rientra nel tuo [modello di minaccia](threat-modeling.md), dovresti prestare molta attenzione alla documentazione tecnica del software che stai utilizzando, per scoprire se è prevista alcuna minimizzazione o protezione dei metadati.
## Programmi di sorveglianza di massa
<span class="pg-blue">:material-eye-outline: Sorveglianza di massa</span>
La sorveglianza di massa consiste nello sforzo di monitorare il "comportamento, molte attività o informazioni" di un'intera popolazione (o di una frazione sostanziale di essa).[^1] Spesso si riferisce a programmi governativi, come quelli [rivelati da Edward Snowden nel 2013](https://en.wikipedia.org/wiki/Global_surveillance_disclosures_(2013%E2%80%93present)). Tuttavia, può essere svolta anche da aziende, per conto di agenzie governative o di propria iniziativa.
La sorveglianza di massa consiste nell'intricato sforzo di monitorare il "comportamento, molte attività o informazioni" di un'intera (o di una sostanziale frazione di una) popolazione.[^1] Spesso si riferisce a programmi governativi, come quelli [divulgati da Edward Snowden, nel 2013](https://en.wikipedia.org/wiki/Global_surveillance_disclosures_(2013%E2%80%93present)). Tuttavia, può essere anche svolta dalle aziende, per conto di agenzie governative o di propria iniziativa.
!!! abstract "Atlas of Surveillance"
Se vuoi saperne di più sui metodi di sorveglianza e su come vengono attuati nella tua città, puoi anche dare un'occhiata all'[Atlas of Surveillance](https://atlasofsurveillance.org/) della [Electronic Frontier Foundation](https://www.eff.org/).
Se desideri scoprire di più sui metodi di sorveglianza e su come sono implementati nella tua città, puoi anche consultare l'[Atlante di Sorveglianza](https://atlasofsurveillance.org/), della [Electronic Frontier Foundation](https://www.eff.org/).
In Francia è possibile consultare il [sito web Technolopolice](https://technopolice.fr/villes/) gestito dall'associazione no-profit La Quadrature du Net.
In Francia puoi consultare il [sito web della Technopolice](https://technopolice.fr/villes), mantenuto dall'associazione senza scopi di lucro 'La Quadrature du Net'.
I governi spesso giustificano i programmi di sorveglianza di massa come mezzi necessari per combattere il terrorismo e prevenire il crimine. Tuttavia, in violazione dei diritti umani, viene spesso utilizzata per colpire in modo sproporzionato gruppi di minoranza e dissidenti politici, tra gli altri.
Spesso, i governi, giustificano i programmi di sorveglianza di massa come mezzi necessari per combattere il terrorismo e prevenire il crimine. Tuttavia, violando i diritti umani, sono spesso utilizzati per colpire in modo sproporzionato gruppi di minoranza e dissidenti politici, tra gli altri.
!!! quote "ACLU: [*The Privacy Lesson of 9/11: Mass Surveillance is Not the Way Forward*](https://www.aclu.org/news/national-security/the-privacy-lesson-of-9-11-mass-surveillance-is-not-the-way-forward)"
!!! quote "ACLU: [*La lezione sulla privacy del 9/11: la sorveglianza di massa non è la strada da seguire*](https://www.aclu.org/news/national-security/the-privacy-lesson-of-9-11-mass-surveillance-is-not-the-way-forward)"
Di fronte alle [rivelazioni di Edward Snowden su programmi governativi come [PRISM](https://en.wikipedia.org/wiki/PRISM) e [Upstream](https://en.wikipedia.org/wiki/Upstream_collection)], i funzionari dell'intelligence hanno anche ammesso che l'NSA ha raccolto segretamente per anni i dati relativi alle telefonate di quasi tutti gli americani: chi chiama chi, quando vengono effettuate le chiamate e quanto durano. Questo tipo di informazioni, accumulate dall'NSA giorno dopo giorno, p rivelare dettagli incredibilmente sensibili sulla vita e sulle associazioni delle persone, come ad esempio se hanno chiamato un pastore, un fornitore di aborti, un consulente per le dipendenze o una linea diretta per i suicidi.
Di fronte alle [divulgazioni di Edward Snowden dei programmi governativi come [PRISM](https://it.wikipedia.org/wiki/PRISM_(programma_di_sorveglianza)) e [Upstream](https://en.wikipedia.org/wiki/Upstream_collection)]; inoltre, i funzionari dell'intelligence hanno ammesso che l'NSA ha raccolto segretamente per anni i registri su virtualmente ogni chiamata telefonica statunitense: chi chiama chi, quando e quanto durano. Questo tipo di informazioni, accumulate dall'NSA giorno dopo giorno, possono rivelare dettagli incredibilmente sensibili sulle vite delle persone e le associazioni, come se hanno chiamato un prete, una struttura preposta all'aborto, un consulente per le dipendenze o una linea diretta anti-suicidi.
Nonostante la crescente sorveglianza di massa negli Stati Uniti, il governo ha riscontrato che i programmi di sorveglianza di massa, come la Sezione 215, hanno avuto "poco valore unico" per quanto riguarda l'arresto di crimini reali o di complotti terroristici, con sforzi che in gran parte duplicano i programmi di sorveglianza mirata dell'FBI.[^2]
Nonostante la crescente sorveglianza di massa negli Stati Uniti, il governo ha riscontrato che i programmi di sorveglianza di massa come la Sezione 215 hanno avuto "poco valore univoco", per quanto riguarda l'arresto di crimini reali o di complotti terroristici, con sforzi che, in gran parte, duplicano i programmi di sorveglianza mirata del FBI.[^2]
Online è possibile essere rintracciati con diversi metodi:
Online è possibile essere rintracciati con svariati metodi:
- Il tuo indirizzo IP
- Cookies del browser
- I cookie del browser
- I dati che invii ai siti web
- L'impronta digitale del browser o del dispositivo
- Correlazione tramite il metodo di pagamento
- L'impronta digitale del tuo browser o dispositivo
- Correlazione del metodo di pagamento
\[Questo elenco non è esaustivo].
\[Questo elenco non è completo].
Se sei preoccupato per i programmi di sorveglianza di massa, puoi utilizzare strategie come compartimentare le tue identità online, confonderti con altri utenti o, quando possibile, semplicemente evitare di fornire informazioni identificative.
Se sei preoccupato per i programmi di sorveglianza di massa, puoi utilizzare strategie come la compartimentazione delle tue identità online, confonderti con gli altri utenti, o, quando possibile, semplicemente di evitare di fornire informazioni identificative.
<span class="pg-brown">:material-account-cash: Capitalismo di sorveglianza</span>
> Il capitalismo della sorveglianza è un sistema economico incentrato sulla raccolta e la commercializzazione dei dati personali che ha come obiettivo principale il profitto.[^3]
> Il capitalismo di sorveglianza è un sistema economico incentrato sulla cattura e commercializzazione dei dati personali, con l'obiettivo principale di trarre profitto.[^3]
Per molte persone, il tracciamento e la sorveglianza da parte di aziende private sono una preoccupazione crescente. Le reti pubblicitarie pervasive, come quelle gestite da Google e Facebook, si estendono su Internet ben oltre i siti che controllano, tracciando le vostre azioni lungo il percorso. L'utilizzo di strumenti come i blocchi dei contenuti per limitare le richieste di rete ai loro server e la lettura delle politiche sulla privacy dei servizi utilizzati possono aiutare a evitare molti avversari di base (anche se non possono impedire completamente il tracciamento).[^4]
Per molti, il tracciamento e la sorveglianza dalle aziende private è una preoccupazione crescente. Le reti pubblicitarie pervasive, come quelle gestite da Google e Facebook, si estendono su Internet ben oltre i siti che controllano, tracciando le tue azioni lungo il percorso. Utilizzare strumenti come i blocchi di contenuti per limitare le richieste di rete ai loro server e leggere le politiche sulla privacy dei servizi che utilizzi, può aiutarti a evitare molti avversari di base (sebbene non possa prevenire completamente il tracciamento).[^4]
Inoltre, anche le aziende al di fuori del settore *AdTech* o del tracking possono condividere le informazioni dell'utente con [intermediari di dati](https://en.wikipedia.org/wiki/Information_broker) (come Cambridge Analytica, Experian o Datalogix) o altre parti. Non potete pensare automaticamente che i vostri dati siano al sicuro solo perché il servizio che state utilizzando non rientra nel tipico modello di business AdTech o di tracciamento. La protezione più efficace contro la raccolta di dati aziendali consiste nel criptare o offuscare i vostri dati ogni volta che è possibile, rendendo difficile per i diversi fornitori correlare i dati tra loro e costruire un profilo su di voi.
Inoltre, anche le aziende esterne al settore *AdTech* o di tracciamento, possono condividere le tue informazioni con gli [intermediari di dati](https://en.wikipedia.org/wiki/Information_broker) (come Cambridge Analytica, Experian o Datalogix), o altre parti. Non puoi supporre automaticamente che i tuoi dati siano sicuri semplicemente perché il servizio che stai utilizzando non ricade nel tipico modello aziendale dell'AdTech o di tracciamento. La protezione più forte contro la raccolta aziendale dei dati è crittografare od offuscare i tuoi dati quando possibile, complicando per i diversi fornitori, la correlazione dei dati tra loro e la costruzione di un profilo su di te.
## Limitare l'esposizione al pubblico
## Limitare le Informazioni Pubbliche
<span class="pg-green">:material-account-search: Esposizione pubblica</span>
Il modo migliore per mantenere i dati privati è semplicemente non renderli pubblici. Eliminare le informazioni indesiderate che si trovano online è uno dei primi passi da fare per recuperare la propria privacy.
Il modo migliore per mantenere privati i tuoi dati è, semplicemente, non renderli pubblici. Eliminare le informazioni indesiderate che trovi su di te online è uno dei migliori primi passi che puoi compiere per recuperare la tua privacy.
- [Visualizza la nostra guida sull'eliminazione dell'account :material-arrow-right-drop-circle:](account-deletion.md)
- [Visualizza la nostra guida sull'eliminazione dei profiili :material-arrow-right-drop-circle:](account-deletion.md)
Sui siti in cui si condividono informazioni, è molto importante controllare le impostazioni sulla privacy del proprio account per limitare la diffusione dei dati. Ad esempio, attivate la "modalità privata" sui vostri account, se ne avete la possibilità: Questo assicura che il vostro account non venga indicizzato dai motori di ricerca e che non possa essere visualizzato senza il vostro permesso.
Sui siti dove condividi informazioni, è molto importante controllare le impostazioni sulla privacy del tuo profilo, per limitare quanto ampiamente siano diffusi tali dati. Ad esempio, abilitare la "modalità privata" sui tuoi profili se possibile, assicurando che il tuo profilo non sia indicizzato dai motori di ricerca e che non sia visualizzabile senza la tua autorizzazione.
Se avete già inviato le vostre informazioni reali a siti che non dovrebbero averle, prendete in considerazione l'utilizzo di tattiche di disinformazione, come l'invio di informazioni fittizie relative a quell'identità online. In questo modo le informazioni reali sono indistinguibili da quelle false.
Se hai già inviato le tue informazioni reali ai siti che non dovrebbero possederle, considera di utilizzare tattiche di disinformazione, come l'invio di informazioni fittizie correlate a tale identità online. Così, le tue informazioni reali non sono distinguibili da quelle false.
## Aggirare la censura
## Evitare la Censura
<span class="pg-blue-gray">:material-close-outline: Censura</span>
La censura online può essere attuata (in varia misura) da attori quali governi totalitari, amministratori di rete e service provider. Questi sforzi per controllare la comunicazione e limitare l'accesso alle informazioni saranno sempre incompatibili con il diritto umano alla libertà di espressione.[^5]
La censura online è attuabile (in varie misure) da attori tra cui i governi totalitari, gli amministratori di rete e i fornitori dei servizi. Questi sforzi di controllo della comunicazione e di limitazione dell'accesso alle informazioni, saranno sempre incompatibili con il diritto umano alla Libertà d'Espressione.[^5]
La censura sulle piattaforme aziendali è sempre più comune, in quanto piattaforme come Twitter e Facebook cedono alle richieste del pubblico, alle pressioni del mercato e a quelle delle agenzie governative. Le pressioni governative possono essere richieste occulte alle aziende, come la Casa Bianca [che chiede la rimozione](https://www.nytimes.com/2012/09/17/technology/on-the-web-a-fine-line-on-free-speech-across-globe.html) di un video provocatorio su YouTube, o palesi, come il governo cinese che impone alle aziende di aderire a un rigido regime di censura.
La censura sulle piattaforme aziendali è sempre più comune, in quanto piattaforme come Twitter e Facebook cedono alle richieste del pubblico, alle pressioni di mercato e alle pressioni dalle agenzie governative. Le pressioni governative possono essere richieste segrete alle aziende, come la [richiesta di rimozione](https://www.nytimes.com/2012/09/17/technology/on-the-web-a-fine-line-on-free-speech-across-globe.html) della Casa Bianca di un video YouTube provocativo, o palesi, come il governo cinese che richiede alle aziende di aderire a un rigido regime di censura.
Le persone preoccupate dalla minaccia della censura possono utilizzare tecnologie come [Tor](../advanced/tor-overview.md) per aggirarla e sostenere piattaforme di comunicazione resistenti alla censura come [Matrix](../real-time-communication.md#element), che non hanno un'autorità centralizzata che p chiudere gli account arbitrariamente.
Le persone preoccupate dalla minaccia della censura possono utilizzare tecnologie come [Tor](../advanced/tor-overview.md) per aggirarla, e supportare le piattaforme di comunicazione resistenti alla censura come [Matrix](../real-time-communication.md#element), prive di autorità centralizzata che possa chiudere arbitrariamente i profili.
!!! tip "Suggerimento"
!!! tip
Se eludere la censura in sé può essere facile, nascondere il fatto che lo si sta facendo può essere molto problematico.
Sebbene eludere la censura stessa possa essere facile, nascondere il fatto che lo si stia facendo può essere molto problematico.
Dovete considerare quali aspetti della rete possono essere osservati dall'avversario e se avete la possibilità di negare plausibilmente le vostre azioni. Ad esempio, l'utilizzo di [DNS criptato](../advanced/dns-overview.md#what-is-encrypted-dns) può aiutare a bypassare i sistemi di censura rudimentali basati sul DNS, ma non può nascondere veramente ciò che si visita al proprio ISP. Una VPN o Tor p aiutare a nascondere agli amministratori di rete ciò che si sta visitando, ma non può nascondere il fatto che si sta usando quella rete. I trasporti collegabili (come Obfs4proxy, Meek o Shadowsocks) possono aiutarvi a eludere i firewall che bloccano i comuni protocolli VPN o Tor, ma i vostri tentativi di elusione possono comunque essere individuati con metodi come il probing o la [deep packet inspection](https://en.wikipedia.org/wiki/Deep_packet_inspection).
Dovresti considerare quali aspetti della rete sono osservabili dal tuo avversaario, e se hai la possibilità di negare in modo plausibile le tue azioni. Ad esempio, l'utilizzo di [DNS crittografati](../advanced/dns-overview.md#what-is-encrypted-dns), può aiutarti a superare i sistemi di censura rudimentali e basati sul DNS, ma non può nascondere realmente ciò che visiti dal tuo ISP. Una VPN o Tor possono aiutare a nascondere ciò che stai visitando dagli amministratori di rete, ma non può nascondere il fatto che si stiano utilizzando tali reti. I trasporti collegabili (come Obfs4proxy, Meek o Shadowsocks) possono aiutarti a eludere i firewall che bloccano i protocolli comuni VPN o Tor, ma i tuoi tentativi di elusione possono comunque essere rilevati da metodi come il probing o l'[ispezione approfondita dei pacchetti](https://it.wikipedia.org/wiki/Deep_packet_inspection).
Dovete sempre considerare i rischi del tentativo di aggirare la censura, le potenziali conseguenze e quanto sofisticato possa essere il vostro avversario. Dovete essere cauti nella scelta del software e avere un piano di backup nel caso in cui veniate scoperti.
Devi sempre considerare i rischi di provare a eludere la censura, le potenziali conseguenze e quanto potrebbe essere sofisticato il tuo avversario. Dovresti essere cauto con la tua selezione del software e avere un piano di riserva nel caso in cui dovessi essere scoperto.
[^1]: Wikipedia: [*Sorveglianza di massa*](https://en.wikipedia.org/wiki/Mass_surveillance) e [*Sorveglianza*](https://en.wikipedia.org/wiki/Surveillance).
[^2]: Comitato di supervisione della privacy e delle libertà civili degli Stati Uniti: [*Rapporto sul programma di registrazione dei tabulati telefonici condotto ai sensi della Sezione 215*](https://documents.pclob.gov/prod/Documents/OversightReport/ec542143-1079-424a-84b3-acc354698560/215-Report_on_the_Telephone_Records_Program.pdf)
[^2]: Comitato di Supervisione delle Libertà Civili e della Privacy degli Stati Uniti: [*Rapporto sul Programma dei registri telefonici condotto ai sensi della Sezione 215*](https://documents.pclob.gov/prod/Documents/OversightReport/ec542143-1079-424a-84b3-acc354698560/215-Report_on_the_Telephone_Records_Program.pdf)
[^3]: Wikipedia: [*Capitalismo di sorveglianza*](https://en.wikipedia.org/wiki/Surveillance_capitalism)
[^4]: "[Enumerare la cattiveria](https://www.ranum.com/security/computer_security/editorials/dumb/)" (o "elencare tutte le cose cattive di cui siamo a conoscenza"), come fanno molti adblocker e programmi antivirus, non riesce a proteggere adeguatamente l'utente da nuove e sconosciute minacce perché non sono ancora state aggiunte all'elenco dei filtri. Dovreste anche utilizzare altre tecniche di mitigazione.
[^5]: Nazioni Unite: [*Dichiarazione universale dei diritti umani*](https://www.un.org/en/about-us/universal-declaration-of-human-rights).
[^4]: La "[enumerazione la malvagità](https://www.ranum.com/security/computer_security/editorials/dumb/)" (o "elencare tutte le cose malvage che conosciamo"), come fanno molti programmi di blocco degli annunci e antivirus, non riescono a proteggerti adeguatamente dalle minacce nuove e sconosciute, poiché non sono ancora state aggiunte all'elenco di filtraggio. Inoltre, dovresti utilizzare altre tecniche di mitigazione.
[^5]: Nazioni Unite: [*Dichiarazione Universale dei Diritti dell'Uomo*](https://www.un.org/en/about-us/universal-declaration-of-human-rights).

38
i18n/it/basics/email-security.md
View File

@ -1,42 +1,42 @@
---
meta_title: "Perché l'email non è la scelta migliore per la privacy e la sicurezza - Privacy Guides"
title: Sicurezza email
meta_title: "Perché l'Email Non È la Scelta Migliore per Privacy e Sicurezza - Privacy Guides"
title: Sicurezza dell'Email
icon: material/email
description: La posta elettronica è intrinsecamente insicura sotto molti punti di vista e questi sono alcuni dei motivi per cui non è la nostra scelta principale per le comunicazioni sicure.
description: L'email è intrinsecamente non sicura in molti modi; ecco alcune delle motivazioni per cui non è la nostra scelta principale per le comunicazioni sicure.
---
L'e-mail è una forma di comunicazione insicura per impostazione predefinita. È possibile migliorare la sicurezza delle e-mail con strumenti come OpenPGP, che aggiungono la crittografia end-to-end ai messaggi, ma OpenPGP presenta ancora una serie di svantaggi rispetto alla crittografia di altre applicazioni di messaggistica e alcuni dati delle e-mail non possono mai essere crittografati intrinsecamente a causa del modo in cui le e-mail sono progettate.
L'email è una forma non sicura di comunicazione di default. Puoi migliorare la sicurezza della tua email con strumenti come OpenPGP, che aggiunge la Crittografia End-to-End ai tuoi messaggi; tuttavia, OpenPGP, presenta ancora numerosi svantaggi rispetto alla crittografia su altre applicazioni di messaggistica e, alcuni dati email, non possono mai essere intrinsecamente crittografati, a causa della progettazione dell'email.
Di conseguenza, l'e-mail è utilizzata al meglio per ricevere e-mail transazionali (come notifiche, e-mail di verifica, reimpostazione della password e così via) dai servizi a cui ci si iscrive online, non per comunicare con gli altri.
Di conseguenza, l'email è utilizzata meglio per ricevere email di transazione (quali notifiche, email di verifica, ripristini di password, etc.) dai servizi cui ti iscrivi online, non per comunicare con gli altri.
## Panoramica sulla crittografia delle email
## Panoramica sulla crittografia delle Email
Il modo standard per aggiungere l'E2EE alle e-mail tra diversi provider di posta elettronica è l'utilizzo di OpenPGP. Esistono diverse implementazioni dello standard OpenPGP, le più comuni sono [GnuPG](https://en.wikipedia.org/wiki/GNU_Privacy_Guard) e [OpenPGP.js](https://openpgpjs.org).
Il metodo standard per aggiungere l'E2EE alle email tra diversi fornitori email è utilizzando OpenPGP. Esistono svariate implementazioni dello standard OpenPGP; le più comuni sono [GnuPG](https://en.wikipedia.org/wiki/GNU_Privacy_Guard) e [OpenPGP.js](https://openpgpjs.org).
Esiste un altro standard, molto diffuso nelle aziende, chiamato [S/MIME](https://en.wikipedia.org/wiki/S/MIME), che però richiede un certificato emesso da un'autorità di certificazione [](https://en.wikipedia.org/wiki/Certificate_authority) (non tutte emettono certificati S/MIME). È supportato da [Google Workplace](https://support.google.com/a/topic/9061730?hl=en&ref_topic=9061731) e [Outlook for Web o Exchange Server 2016, 2019](https://support.office.com/en-us/article/encrypt-messages-by-using-s-mime-in-outlook-on-the-web-878c79fc-7088-4b39-966f-14512658f480).
Esiste un altro standard popolare tra le aziende, detto [S/MIME](https://en.wikipedia.org/wiki/S/MIME), tuttavia, richiede un certificato emesso da un'[Autorità di Certificazione](https://en.wikipedia.org/wiki/Certificate_authority) (non tutte emettono certificati S/MIME). Inoltre, è supportato su [Google Workplace](https://support.google.com/a/topic/9061730?hl=en&ref_topic=9061731) e su [Outlook per Web o Exchaaange Seerver 2016, 2019](https://support.office.com/en-us/article/encrypt-messages-by-using-s-mime-in-outlook-on-the-web-878c79fc-7088-4b39-966f-14512658f480).
Anche se si utilizza OpenPGP, non supporta [forward secrecy](https://en.wikipedia.org/wiki/Forward_secrecy), il che significa che se la chiave privata dell'utente o del destinatario viene rubata, tutti i messaggi precedenti crittografati con essa saranno esposti. Per questo motivo si consiglia di utilizzare la [messaggistica istantanea](../real-time-communication.md) che implementano la segretezza in avanti rispetto alla posta elettronica per le comunicazioni da persona a persona, quando possibile.
Anche se utilizzi OpenPGP, non supporta la [segretezza in avanti](https://en.wikipedia.org/wiki/Forward_secrecy), il che significa che se la chiave privata tua o del destinatario viene rubata, tutti i messaggi precedentemente crittografati saranno esposti. Ecco perché consigliamo la [messaggistica istantanea](../real-time-communication.md), che implementa la segretezza in avanti via email, per le comunicazioni personali, quando possibile.
### Quali client di posta elettronica supportano E2EE?
### Quali client email supportano E2EE?
I provider di posta elettronica che consentono di utilizzare protocolli di accesso standard come IMAP e SMTP possono essere utilizzati con uno qualsiasi dei client di posta elettronica [che consigliamo](../email-clients.md). A seconda del metodo di autenticazione, ciò p comportare una riduzione della sicurezza se il provider o il client di posta elettronica non supportano OATH o un'applicazione ponte, poiché [l'autenticazione a più fattori](multi-factor-authentication.md) non è possibile con l'autenticazione con password semplice.
I fornitori email che ti conseentono di utilizzare i protocolli d'accesso standard come IMAP e SMTP, sono utilizzabili con qualsiasi [client email che consigliamo](../email-clients.md). In base al metodo d'autenticazione, ciò potrebbe comportare una riduzione della sicurezza se il fornitore o il client email non supportano OATH o un'applicazione di collegamento (bridge), poiché l'[autenticazione a più fattori](multi-factor-authentication.md) non è possibile con l'autenticazione con password semplice.
### Come proteggo la mia chiave privata?
### Come proteggo le mie chiavi private?
Una smartcard (come una [ YubiKey](https://support.yubico.com/hc/en-us/articles/360013790259-Using-Your-YubiKey-with-OpenPGP) o [Nitrokey](https://www.nitrokey.com)) funziona ricevendo un messaggio email criptato da un dispositivo (telefono, tablet, computer, ecc.) con un client email/webmail. Il messaggio viene quindi decifrato dalla smartcard e il contenuto decifrato viene inviato al dispositivo.
Una smartcard (come [YubiKey](https://support.yubico.com/hc/en-us/articles/360013790259-Using-Your-YubiKey-with-OpenPGP) o [Nitrokey](https://www.nitrokey.com)) opera ricevendo un messaggio email crittografato da un dispositivo (telefono, tablet, computer, etc.), che esegue un client email/webmail. Il messaggio, quindi, viene decrittografato dalla smartcart e il contenuto decrittografato è reinviato al dispositivo.
È preferibile che la decodifica avvenga sulla smartcard, per evitare di esporre la chiave privata a un dispositivo compromesso.
Il fatto che la decrittografia si verifichi sulla smartcard è vantaggioso per evitare la possibile esposizione della tua chiave privata, a un dispositivo compromesso.
## Panoramica sui metadati email
I metadati delle e-mail sono memorizzati [nell'header del messaggio](https://en.wikipedia.org/wiki/Email#Message_header) e comprendono alcune intestazioni visibili, come ad esempio: `A`, `Da`, `Cc`, `Data`, `Oggetto`. Ci sono anche una serie di intestazioni nascoste incluse da molti client e provider di posta elettronica che possono rivelare informazioni sul tuo account.
I metadati dell'email sono memorizzati nell'[intestazione del messaggio](https://en.wikipedia.org/wiki/Email#Message_header) email e includono alcune intestazioni visibili che potresti aver visto, come: `A`, `Da`, `Cc`, `Data`, `Oggetto`. Esistono anche numerose intestazioni nascoste, incluse da molti client e fornitori email, che possono rivelare informazioni sul tuo profilo.
Il software client p utilizzare i metadati delle e-mail per indicare il mittente di un messaggio e l'ora in cui è stato ricevuto. I server possono utilizzarlo per determinare dove deve essere inviato un messaggio e-mail, tra [altri scopi](https://en.wikipedia.org/wiki/Email#Message_header) non sempre trasparenti.
Il software client potrebbe utilizzare i metadati email per mostrare da chi proviene un messaggo e a che ora è stato ricevuto. I server potrebbero utilizzarlo per determinare dove dev'essere inviato un messaggio email, tra [gli altri scopi](https://en.wikipedia.org/wiki/Email#Message_header) non sempre trasparenti.
### Chi può visualizzare i metadati delle email?
I metadati delle e-mail sono protetti da osservatori esterni con [Opportunistic TLS](https://en.wikipedia.org/wiki/Opportunistic_TLS), ma sono comunque visibili dal software del client di posta elettronica (o webmail) e da qualsiasi server che inoltra il messaggio dall'utente a qualsiasi destinatario, compreso il provider di posta elettronica. A volte i server di posta elettronica utilizzano anche servizi di terze parti per proteggersi dallo spam, che in genere hanno accesso ai messaggi.
I metadati dell'email sono protetti dagli osservatori esterni con il [TLS opportunistico](https://en.wikipedia.org/wiki/Opportunistic_TLS), ma sono comunque visualizzabili dal software del tuo client email (o webmail) e da qualsiasi server che trasmetta il messaggio da te a qualsiasi destinatario, incluso il tuo fornitore email. Talvolta i server email utilizzeranno i anche dei servizi di terze parti, per proteggere dallo spam che, generalmente, hanno accesso anche ai tuoi messaggi.
### Perché i metadati non possono essere cifrati E2EE?
### Perché i metadati non possono essere E2EE?
I metadati delle e-mail sono fondamentali per la funzionalità di base delle e-mail (da dove provengono e dove devono andare). Originariamente l'E2EE non era integrato nei protocolli di posta elettronica, ma richiedeva un software aggiuntivo come OpenPGP. Poiché i messaggi OpenPGP devono ancora funzionare con i provider di posta elettronica tradizionali, non può crittografare i metadati delle e-mail, ma solo il corpo del messaggio stesso. Ciò significa che anche quando si utilizza OpenPGP, gli osservatori esterni possono vedere molte informazioni sui vostri messaggi, come ad esempio chi state inviando, l'oggetto, quando state inviando, ecc.
I metadati dell'email sono fondamentali per le funzionalità di base dell'email (da dove proviene e dove deve andare). Originariamente, l'E2EE non è stata integrata nei protocolli email, richiedendo piuttosto dei software aggiuntivi, come OpenPGP. Poiché i messaggi di OpenPGP devono continuare a funzionare con i fornitori email tradizionali, esso non può crittografare i metadati email, ma soltanto il corpo del messaggio. Ciò significa che, anche utilizzando OpenPGP, gli osservatori esterni possono visualizzare molte informazioni sui tuoi messaggi, come a chi stai scrivendo, l'oggetto, quando stai inviando l'email, etc.

128
i18n/it/basics/multi-factor-authentication.md
View File

@ -1,165 +1,165 @@
---
title: "Autenticazione a più fattori"
title: "Autenticazione a Fattori Multipli"
icon: 'material/two-factor-authentication'
description: L'MFA è un meccanismo di sicurezza fondamentale per proteggere i vostri account online, ma alcuni metodi sono più efficaci di altri.
description: L'AFM è un meccaanismo di sicurezza fondamentale per proteggere i tuoi profili online, ma alcuni metodi sono più efficaci di altri.
---
**L'autenticazione a più fattori** (**MFA**) è un meccanismo di sicurezza che richiede ulteriori passaggi oltre all'inserimento del nome utente (o email) e della password. Il metodo più comune è quello dei codici a tempo limitato che si possono ricevere via SMS o tramite un'applicazione.
L'**Autenticazione a Fattori Multipli** (**AFM**) è un meccanismo di sicurezza che richiede ulteriori passaggi oltre all'inserimento del tuo nome utente (o email) e la password. Il metodo più comune è quello dei codici a tempo limitato, che potresti ricevere via SMS o da un'app.
Solitamente, se un hacker (o un avversario) è in grado di scoprire una password, ha la possibilità di accedere all'account a cui la password appartiene. Un account con MFA costringe l'hacker ad avere sia la password (qualcosa che *conosci*) sia un dispositivo di tua proprietà (qualcosa che *hai*), come un cellulare.
Solitamente, se un hacker (o avversario) è in grado di scoprire la tua password, otterrebbe l'accesso al tuo profilo, cui appartiene tale password. Un proflo con l'AFM forza l'hacker ad avere sia la password (qualcosa che *conosci*) che un dispositivo che possiedi (qualcosa che *possiedi*), come il tuo telefono.
I metodi MFA variano in termini di sicurezza, ma si basano sulla premessa che più è difficile per un attaccante accedere al tuo metodo MFA, meglio è. Esempi di metodi MFA (dal più debole al più forte) sono: SMS, codici email, notifiche push delle app, TOTP, Yubico OTP e FIDO.
I metodi AFM variano in termini di sicurezza, ma si basano sulla premessa che più è difficile, per un malintenzionato, ottenere l'accesso al tuo metodo AFM, meglio è. Esempi di metodi AFM (dal più debole al più forte), includono SMS, codici email, notifiche push delle app, TOTP, Yubico OTP e FIDO.
## Confrontra tra i metodi MFA
## Confronto tra Metodi AFM
### MFA tramite SMS o email
### AFM via SMS o Email
Ricevere codici OTP via SMS o email è uno dei modi più deboli per proteggere i tuoi account con MFA. Ottenere un codice via email o SMS elimina l'idea di "qualcosa che *possiedi*", perchè ci sono svariati modi con cui un hacker potrebbe [impossessarsi del tuo numero di telefono](https://en.wikipedia.org/wiki/SIM_swap_scam) o accedere alla tua mail senza avere accesso fisico a un tuo dispositivo. Se una persona non autorizzata accedesse alla tua email, sarebbe in grado di resettare la tua password e ricevere il codice di autenticazione, ottenendo così il pieno controllo del'account.
Ricevere codici OTP via SMS o email è uno dei metodi più deboli per proteggere i tuoi profili con l'AFM. Ottenere un codice via email o SMS elimina l'idea di "qualcosa che *possiedi*", perché esistono svariati modi in cui un hacker potrebbe [impossessarsi del tuo numero di telefono](https://en.wikipedia.org/wiki/SIM_swap_scam) od ottenere accesso alla tua email, senza dover accedere affatto ad alcun tuo dispositivo. Se una persona non autorizzata ottiene l'accesso alla tua email, potrebbe utilizzare tale accesso per ripristinare la tua password e ricevere il codice d'autenticazione, ottenendo così l'accesso completo al tuo profilo.
### Notifiche push
### Notifiche Push
L'MFA con notifica push si presenta come un messaggio inviato a un'applicazione sul tuo telefono, chiedendo di confermare nuovi accessi a un account. Questo metodo è molto migliore degli SMS o delle mail, in quanto un attaccante tipicamente non è in grado di ricevere questi notifiche push senza avere un dispositivo già connesso, il che significa che dovrebbe prima compromettere uno dei tuoi altri dispositivi.
L'AFM con notifiche push prende la forma di un messaggio inviato a un'app sul tuo telefono, chiedendoti di confermare i nuovi accessi al profilo. Questo metodo è molto migliore di SMS o email, poiché un malintenzionato non sarebbe tipicamente in grado di ricevere tali notifiche push senza dover avere un dispositivo già connesso, il che significa che dovrebbe prima compromettere uno dei tuoi altri dispositivi.
Facciamo tutti degli errori, e c'è il rischio che tu possa accettare il tentativo di accesso per errore. Le notifiche push per le autorizzazioni di accesso sono tipicamente inviate a *tutti* i tuoi dispositivi in una volta, ampliando la disponibilità del codice MFA se si possiedono molti device.
Tutti commettono errori ed esiste il rischio che tu possa accettare per errore il tentativo d'accesso. Le autorizzazioni d'accesso tramite notifiche push sono tipicamente inviate a *tutti* i tuoi dispositivi in una volta, ampliando la disponibilità del codice AFM se possiedi molti dispositivi.
La sicurezza delle notifiche push MFA dipende sia dalla qualità dell'app, sia dalla componente server, sia dalla fiducia verso lo sviluppatore che la produce. Un'applicazione installata può anche richiedere di accettare privilegi invasivi che garantiscono l'accesso ad altri dati sul tuo dispositivo. Una singola app può anche richiedere un'applicazione specifica per ogni servizio che non richiede una password per essere aperta, a differenza di una buona app generatrice di TOTP.
La sicurezza dell'AFM con notifiche push dipende dalla qualità dell'app, dalla componente server e dalla fiducia nello sviluppatore che la produce. Anche installare un'app potrebbe richiederti di accettare privilegi invasivi, che concedano l'accesso ad altri dati sul tuo dispositivo. Inoltre, una singola app richiede che tu abbia un'app specifica per ogni servizio che potrebbe non richiedere una password per l'apertura, a differenza dell'app di generazione di TOTP.
### Time-based One-time Password (TOTP)
### Password Una Tantum basata sul Tempo (TOTP)
Il TOTP è una delle forme più comuni di MFA disponibili. Quando imposti il TOTP, è generalmente necessario eseguire la scansione di un [codice QR](https://it.wikipedia.org/wiki/Codice_QR) che stabilisce un "[segreto condiviso](https://en.wikipedia.org/wiki/Shared_secret)" con il servizio che si intende utilizzare. Il segreto condiviso è protetto tra i dati dell'app di autenticazione e talvolta è protetto da password.
La TOTP è una delle forme di AFM più comuni disponibili. Quando configuri la TOTP, devi generalmente scansionare un [Codice QR](https://en.wikipedia.org/wiki/QR_code), che stabilisce un "[codice segreto](https://en.wikipedia.org/wiki/Shared_secret)" con il servizio che intendi utilizzare. Questo è protetto tra i dati dell'app d'autenticazione ed è talvolta protetto da una password.
Il codice a tempo limitato è quindi derivato dal segreto condiviso e l'ora corrente. Poiché il codice è valido solo per un breve periodo di tempo, senza l'accesso al segreto condiviso, un avversario non può generare nuovi codici.
Il codice a tempo limitato deriva dal codice segreto e dall'ora corrente. Poiché il codice è valido soltanto per un breve periodo di tempo, senza l'accesso al codice segreto condiviso, un avversario non può generare nuovi codici.
Se si possiede una chiave di sicurezza hardware che supporta TOTP (come ad esempio YubiKey con [Yubico Authenticator](https://www.yubico.com/products/yubico-authenticator/)), consigliamo di memorizzare i "segreti condivisi" nell'hardware. Hardware come YubiKey sono stati sviluppati con l'intenzione di rendere il segreto condiviso difficile da estrarre e copiare. Anche una YubiKey non è connessa a Internet, a differenza di un telefono con un'app TOTP.
Se possiedi una chiave di sicurezza hardware con supporto a TOTP (come una YubiKey con [Yubico Authenticator](https://www.yubico.com/products/yubico-authenticator/)), consigliamo di conservare i tuoi "codici segreti condivisi" sul hardware. Gli hardware come la YubiKey sono stati sviluppato con l'intento di rendere difficile l'estrazione e la copia del "codice segreto condiviso". Inoltre, una YubiKey non è connessa a Internet, a differenza di un telefono con un'app di TOTP.
A differenza di [WebAuthn](#fido-fast-identity-online), TOTP non offre alcuna protezione contro [il phishing](https://en.wikipedia.org/wiki/Phishing) o gli attacchi di riutilizzo. Se un malintenzionato ottiene un codice valido da te, può usarlo tutte le volte che vuole fino alla scadenza (generalmente 60 secondi).
A differenza di [WebAuthn](#fido-fast-identity-online), TOTP non offre alcuna protezione dal [phishing](https://en.wikipedia.org/wiki/Phishing) o dagli attacchi di riutilizzo. Se un malitenzionato ottiene un codice valido da te, potrebbe utilizzarlo quante volte preferisce, fino alla sua scadenza (generalmente 60 secondi).
Un avversario potrebbe creare un sito web per imitare un servizio ufficiale nel tentativo di indurti a fornire nome utente, password e codice TOTP corrente. Se l'avversario utilizza le credenziali registrate, può essere in grado di accedere al servizio reale e dirottare l'account.
Un malintenzionato potrebbe configurare un sito web che imiti un servizio ufficiale, nel tentativo di ingannarti nel comunicare il tuo nome utente, la tua password e il codice TOTP corrente. Se questi, poi, utilizza tali credenziali registrate, potrebbe riuscire ad accedere al servizio reale e dirottare il profilo.
Sebbene non sia perfetto, il TOTP è abbastanza sicuro per la maggior parte delle persone e quando le [chiavi di sicurezza hardware](../multi-factor-authentication.md#hardware-security-keys) non sono supportate le [app di autenticazione](../multi-factor-authentication.md#authenticator-apps) sono ancora una buona opzione.
Sebbene non sia perfetta, la TOTP è abbastanza sicura per gran parte delle persone e, quando le [chiavi di sicurezza hardware](../multi-factor-authentication.md#hardware-security-keys) non sono supportate, le [app d'autenticazione](../multi-factor-authentication.md#authenticator-apps) restano una buona opzione.
### Chiavi di sicurezza hardware
La YubiKey memorizza i dati su un chip a stato solido resistente alle manomissioni che è [impossibile da accedere](https://security.stackexchange.com/a/245772) in modo non distruttivo senza un processo costoso e un laboratorio forense.
La YubiKey memorizza i dati su un chip allo stato solido resistente alla manomissione, [impossibile da accedere](https://security.stackexchange.com/a/245772) in modo non distruttivo, senza un procedimento costoso e un laboratorio forense.
Queste chiavi sono generalmente multifunzione e forniscono una serie di metodi per l'autenticazione. Di seguito sono riportati i più comuni.
Queste chiavi sono generalmente multifunzione e forniscono numerosi metodi d'autenticazione. Seguono alcuni dei più comuni.
#### Yubico OTP
Yubico OTP è un protocollo di autenticazione tipicamente implementato nelle chiavi di sicurezza hardware. Quando si decide di utilizzare Yubico OTP, la chiave genererà un ID pubblico, un ID privato e una chiave segreta che viene quindi caricata sul server OTP Yubico.
Yubico OTP è un protocollo d'autenticazione tipicamente implementato nelle chiavi di sicurezza hardware. Quando decidi di utilizzarlo, la chiave genererà un ID pubblico, un ID privato e una Chiave Segreta, poi caricati sul server di Yubico OTP.
Quando si accede a un sito web, è sufficiente toccare fisicamente la chiave di sicurezza. La chiave di sicurezza emulerà una tastiera e stamperà una password una tantum nel campo password.
Accedendo a un sito web, dovrai soltanto toccare fisicamente la chiave di sicurezza. Questa emulerà una tastiera, producendo una password una tantum e inserendola nel campo della password.
Il servizio inoltrerà quindi la one-time password al server OTP di Yubico per la convalida. Un contatore viene incrementato sia sulla chiave che sul server di convalida di Yubico. L'OTP può essere utilizzato una sola volta e, quando l'autenticazione ha esito positivo, il contatore viene incrementato per impedire il riutilizzo dell'OTP. Yubico fornisce un documento dettagliato [](https://developers.yubico.com/OTP/OTPs_Explained.html) sul processo.
Quindi, il servizio inoltrerà la password una tantum al server di Yubico OTP per la convalida. Un contatore incrementerà sia sulla chiave che sul server di convalida di Yubico. L'OTP è utilizzabile soltanto una volta e, quando un'autenticazione si verifica positivamente, il contatore incrementa, impedendone il riutilizzo. Yubico fornisce una [documentazione dettagliata](https://developers.yubico.com/OTP/OTPs_Explained.html) sul procedimento.
<figure markdown>
![Yubico OTP](../assets/img/multi-factor-authentication/yubico-otp.png)
</figure>
L'utilizzo di Yubico OTP presenta alcuni vantaggi e svantaggi rispetto a TOTP.
L'utilizzo di Yubico OTP comporta benefici e svantaggi rispetto alla TOTP.
Il server di convalida di Yubico è un servizio basato su cloud e l'utente si affida a Yubico per la conservazione dei dati in modo sicuro e senza profilazione. L'ID pubblico associato a Yubico OTP viene riutilizzato su ogni sito web e potrebbe essere un'altra strada per terze parti di profilarti. Come TOTP, Yubico OTP non offre resistenza al phishing.
Il server di convalida di Yubico è un servizio basato su cloud e, l'utente, si affida a Yubico per la memorizzazione sicura dei dati e la tua non profilazione. L'ID pubblico associato a Yubico OTP è riutilizzato su ogni sito web e potrebbe essere un altro mezzo per la profilazione da terze parti. Come la TOTP, Yubico OTP non fornisce la resistenza al phishing.
Se il modello di minaccia richiede di avere identità diverse su siti web diversi, **non** utilizzare Yubico OTP con la stessa chiave di sicurezza hardware su tutti i siti web, poiché l'ID pubblico è unico per ogni chiave di sicurezza.
Se il tuo modello di minaccia ti richiede di avere identità differenti su siti web differenti, **non** utilizzare Yubico OTP con la stessa chiave di sicurezza hardware su quei siti web, poiché l'ID pubblico è univoco per ogni chiave di sicurezza.
#### FIDO (Fast IDentity Online)
#### FIDO (IDentità Veloce Online)
[FIDO](https://en.wikipedia.org/wiki/FIDO_Alliance) include una serie di standard, prima c'era U2F e poi [FIDO2](https://en.wikipedia.org/wiki/FIDO2_Project) che include lo standard web [WebAuthn](https://en.wikipedia.org/wiki/WebAuthn).
[FIDO](https://en.wikipedia.org/wiki/FIDO_Alliance) include numerosi standard, prima U2F e, in seguito, [FIDO2](https://en.wikipedia.org/wiki/FIDO2_Project), che include lo standard web [WebAuthn](https://en.wikipedia.org/wiki/WebAuthn).
U2F e FIDO2 fanno riferimento al protocollo da [Client a Authenticator Protocol](https://en.wikipedia.org/wiki/Client_to_Authenticator_Protocol), che è il protocollo tra la chiave di sicurezza e il computer, ad esempio un laptop o un telefono. È complementare a WebAuthn, che è il componente utilizzato per l'autenticazione con il sito web (la "Relying Party") a cui si sta cercando di accedere.
U2F e FIDO2 si riferiscono al [Protocollo dal Client all'Autenticatore](https://en.wikipedia.org/wiki/Client_to_Authenticator_Protocol), che è il protocollo tra la chiave di sicurezza e il dispositivo, come un laptop o telefono. Complementa WebAuthn, utilizzato per autenticarsi con il sito web (la "Parte Facente Affidamento"), a cui stai provando ad accedere.
WebAuthn è la forma più sicura e privata di autenticazione a due fattori. Sebbene l'esperienza di autenticazione sia simile a Yubico OTP, la chiave non stampa una password unica e non viene convalidata da un server di terze parti. Invece, utilizza la [crittografia a chiave pubblica](https://it.wikipedia.org/wiki/Crittografia_asimmetrica) per l'autenticazione.
WebAuthn è la forma più sicura e privata di autenticazione a due fattori. Sebbene l'esperienza d'autenticazione sia simile a quella di Yubico OTP, la chiave non produce una password una tantum, né convalida con una terza parte. Piuttosto, utilizza la [crittografia a chiave pubblica](https://en.wikipedia.org/wiki/Public-key_cryptography) per l'autenticazione.
<figure markdown>
![FIDO](../assets/img/multi-factor-authentication/fido.png)
</figure>
Quando crei un account, la chiave pubblica viene inviata al servizio, quindi quando accedi, il servizio ti richiederà di "firmare" alcuni dati con la tua chiave privata. Il vantaggio di questo è che nessun dato della password viene mai memorizzato dal servizio, quindi non c'è nulla che un malintenzionato possa rubare.
Quando crei un profilo, la chiave pubblica è inviata al servizio, così, quando accedi, il servizio ti richiederà di "firmare" alcuni dati con la tua chiave privata. Il vantaggio di ciò è che nessun dato della password è mai memorizzato dal servizio, così che un malintenzionato non possa rubare nulla.
Questa presentazione illustra la storia dell'autenticazione tramite password, le insidie (come il riutilizzo delle password) e discute gli standard FIDO2 e [WebAuthn](https://webauthn.guide).
Questa presentazione discute della storia dell'autenticazione con password, le insidie (come il riutilizzo delle password) e la discussione sugli standard FIDO2 e [WebAuthn](https://webauthn.guide).
<div class="yt-embed">
<iframe width="560" height="315" src="https://invidious.privacyguides.net/embed/aMo4ZlWznao?local=true" title="Come FIDO2 e WebAuthn impediscono l'appropriazione dell'account" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
<iframe width="560" height="315" src="https://invidious.privacyguides.net/embed/aMo4ZlWznao?local=true" title="Come FIDO2 e WebAuthn impediscono l'appropriazione dei profili" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
</div>
FIDO2 e WebAuthn hanno proprietà di sicurezza e privacy superiori rispetto a qualsiasi altro metodo MFA.
FIDO2 e WebAuthn hanno proprietà di sicurezza e privacy superiori, rispetto a qualsiasi metodo AFM.
In genere per i servizi web viene utilizzato con WebAuthn, che fa parte delle raccomandazioni del W3C [](https://en.wikipedia.org/wiki/World_Wide_Web_Consortium#W3C_recommendation_(REC)). Utilizza l'autenticazione a chiave pubblica ed è più sicura dei segreti condivisi utilizzati nei metodi OTP e TOTP di Yubico, poiché include il nome di origine (di solito, il nome del dominio) durante l'autenticazione. L'attestazione viene fornita per proteggerti dagli attacchi di phishing, in quanto ti aiuta a determinare che stai utilizzando il servizio autentico e non una copia falsa.
Tipicamente, per i servizi web è utilizzato con WebAuthn, parte dei [consigli W3C](https://en.wikipedia.org/wiki/World_Wide_Web_Consortium#W3C_recommendation_(REC)). Utilizza l'autenticazione a chiave pubblica ed è più sicuro dei codici segreti condivisi utilizzati dai metodi di Yubico OTP e TOTP, poiché include il nome originale (solitamente, il nome di dominio), durante l'autenticazione. L'attestazione è fornita per proteggerti dagli attacchi di phishing, poiché ti aiuta a determinare che stai utilizzando il servizio autentico e non una copia falsa.
A differenza di Yubico OTP, WebAuthn non utilizza alcun ID pubblico, quindi la chiave **non** è identificabile tra diversi siti web. Inoltre, non utilizza alcun server cloud di terze parti per l'autenticazione. Tutte le comunicazioni avvengono tra la chiave e il sito web a cui si accede. FIDO utilizza anche un contatore che viene incrementato al momento dell'uso al fine di prevenire il riutilizzo della sessione e delle chiavi clonate.
Diversamente da Yubico OTP, WebAuthn non utilizza alcun ID pubblico, quindi la chiave **non** è identificabile tra siti web differenti. Inoltre, non utilizza alcun server su cloud di terze parti per l'autenticazione. Tutte le comunicazioni sono completate tra la chiave e il sito web cui stai accedendo. Inoltre, FIDO utilizza un contatore che incrementa all'utilizzo, per impedire il riutilizzo della sessione e la clonazione delle chiavi.
Se un sito web o un servizio supporta WebAuthn per l'autenticazione, si consiglia vivamente di utilizzarlo rispetto a qualsiasi altra forma di MFA.
Se un sito web o servizio supporta WebAuthn per l'autenticazione, consigliamo vivamente di utilizzarlo, piuttosto che qualsiasi altra forma di AFM.
## Consigli generali
Abbiamo queste raccomandazioni generali:
Abbiamo questi consigli generali:
### Quale metodo dovrei usare?
### Quale metodo dovrei utilizzare?
Quando configurate il vostro metodo MFA, tenete presente che è sicuro solo quanto il metodo di autenticazione più debole che utilizzate. Ciò significa che è importante utilizzare solo il miglior metodo MFA disponibile. Ad esempio, se si utilizza già il TOTP, è necessario disattivare l'MFA via e-mail e SMS. Se stai già utilizzando FIDO2/WebAuthn, non dovresti utilizzare Yubico OTP o TOTP sul tuo account.
Configurando il tuo metodo AFM, tieni a mente che è sicuro soltanto quanto il metodo d'autenticazione più debole che utilizzi. Ciò significa che è importante che tu utilizzi soltanto il miglior metodo AFM disponibile. Ad esempio, se utilizzi già TOTP, dovresti disabilitare l'AFM via email e SMS. Se utilizzi già FIDO2/WebAuthn, non dovresti utilizzare Yubico OTP o la TOTP sul tuo profilo.
### Backups
### Backup
Dovresti sempre avere dei backup per il tuo metodo MFA. Le chiavi di sicurezza hardware possono essere perse, rubate o semplicemente smettere di funzionare nel tempo. Si consiglia di avere una coppia delle chiavi di sicurezza hardware con lo stesso accesso agli account, anziché una sola.
Dovresti sempre avere dei backup per il tuo metodo di AFM. Le chiavi di sicurezza potrebbero essere perdute, rubate o semplicemente smettere di funzionare nel tempo. Consigliamo di avere una coppia di chiavi di sicurezza con lo stesso accesso ai tuoi profili, anziché una sola.
Quando utilizzi il TOTP con un'app di autenticazione, assicurati di eseguire il backup delle chiavi di ripristino o dell'app stessa o di copiare i "segreti condivisi" in un'altra istanza dell'app su un telefono diverso o in un contenitore crittografato (ad esempio [VeraCrypt](../encryption.md#veracrypt)).
Utilizzando TOTP con un'app d'autenticazione, assicurati di eseguire il backup delle tue chiavi di recupero o della stessa app, o di copiare i "codici segreti condivisi" in un'altra istanza dell'app su un telefono differente o in un contenitore crittografato (es. [VeraCrypt](../encryption.md#veracrypt)).
### Configurazione iniziale
Quando si acquista una chiave di sicurezza, è importante modificare le credenziali predefinite, impostare una password di protezione per la chiave e abilitare la conferma tattile, se supportata. Prodotti come YubiKey dispongono di più interfacce con credenziali separate per ciascuna di esse, pertanto è necessario esaminare ogni interfaccia e impostare la protezione.
Acquistando una chiave di sicurezza, è importante modificare le credenziali predefinite, configurare la protezione con password per la chiave e abilitare la conferma tattile, se supportata. I prodotti come YubiKey dispongono di più interfacce con credenziali separate per ognuna di esse, quindi, dovresti esaminare ogni interfaccia e configurarne la protezione.
### Email e SMS
Se dovete usare l'e-mail per l'MFA, assicuratevi che l'account e-mail stesso sia protetto con un metodo MFA adeguato.
Se utilizzi l'email per l'AFM, assicurati che lo stesso profilo email sia protetto da un adeguato metodo AFM.
Se si utilizza l'MFA via SMS, è necessario scegliere un operatore che non cambierà il numero di telefono con una nuova carta SIM senza accesso all'account, oppure utilizzare un numero VoIP dedicato di un provider con una sicurezza simile per evitare un attacco [SIM swap](https://en.wikipedia.org/wiki/SIM_swap_scam).
Se utilizzi gli SMS per l'AFM, utilizza un operatore che non cambi il tuo numero telefonico a una nuova scheda SIM senza l'accesso al profilo, o un numero VoIP dedicato da un fornitore, con sicurezza simile, per evitare un [attacco di cambio SIM](https://en.wikipedia.org/wiki/SIM_swap_scam).
[Strumenti MFA che consigliamo](../multi-factor-authentication.md ""){.md-button}
[Strumenti MFA consigliati](../multi-factor-authentication.md ""){.md-button}
## Altri posti in cui configurare l'MFA
## Altri posti per configurare l'AFM
Oltre a proteggere gli accessi al sito web, l'autenticazione a più fattori può essere utilizzata anche per proteggere gli accessi locali, le chiavi SSH o persino i database delle password.
Oltre a proteggere i tuoi accessi ai siti web, l'autenticazione a più fattori è utilizzabile per proteggere i tuoi accessi locali, le chiavi SSH o persino i database di password.
### Windows
Yubico ha un provider di credenziali [dedicato](https://docs.microsoft.com/en-us/windows/win32/secauthn/credential-providers-in-windows) che aggiunge l'autenticazione Challenge-Response al flusso di login con nome utente e password per gli account Windows locali. Se si dispone di una YubiKey con supporto per l'autenticazione Challenge-Response, consultare la guida alla configurazione di [Yubico Login for Windows](https://support.yubico.com/hc/en-us/articles/360013708460-Yubico-Login-for-Windows-Configuration-Guide), che consente di impostare l'MFA sul computer Windows.
Yubico ha un [Fornitore di Credenziali](https://docs.microsoft.com/en-us/windows/win32/secauthn/credential-providers-in-windows) dedicato, che aggiunge l'autenticazione Contestazione-Risposta al flusso d'accesso con nome utente + password, per i profili locali di Windows. Se possiedi una YubiKey con supporto all'autenticazione Contestazione-Risposta, consulta la [Guida di Configurazione dell'Accesso per Windows di Yubico](https://support.yubico.com/hc/en-us/articles/360013708460-Yubico-Login-for-Windows-Configuration-Guide), che ti consentirà di configurare l'AFM sul tuo computer Windows.
### macOS
macOS ha un [supporto nativo](https://support.apple.com/guide/deployment/intro-to-smart-card-integration-depd0b888248/web) per l'autenticazione con smart card (PIV). Se si dispone di una smartcard o di una chiave di sicurezza hardware che supporta l'interfaccia PIV, come YubiKey, si consiglia di seguire la documentazione del fornitore della smartcard o della chiave di sicurezza hardware e di impostare l'autenticazione a due fattori per il computer macOS.
macOS [supporta nativamente](https://support.apple.com/guide/deployment/intro-to-smart-card-integration-depd0b888248/web) l'autenticazione con smart card (PIV). Se possiedi una smartcard o una chiave di sicurezza hardware che supporta l'interfaccia PIV, come YubiKey, consigliamo di seguire la documentazione del tuo fornitore di sicurezza con smartcard/hardware e di configurare l'autenticazione a due fattori per il tuo computer macOS.
Yubico ha una guida [Using Your YubiKey as a Smart Card in macOS](https://support.yubico.com/hc/en-us/articles/360016649059) che può aiutare a configurare la YubiKey su macOS.
Yubico ha una guida all'[Utilizzo della tua YubiKey come Smart Card su macOS](https://support.yubico.com/hc/en-us/articles/360016649059), che può aiutarti a configurarla su macOS.
Dopo aver configurato la smart card o la chiave di sicurezza, si consiglia di eseguire questo comando nel terminale:
Dopo aver configurato la tua smartcard/chiave di sicurezza, consigliamo di eseguire questo comando nel Terminale:
```text
sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YES
```
Il comando impedirà a un malintenzionato di aggirare l'MFA all'avvio del computer.
Il comando impedirà ai malintenzionati di aggirare l'AFM, all'avvio del computer.
### Linux
!!! warning "Avviso"
!!! warning
Se il nome dell'host del sistema cambia (ad esempio a causa del DHCP), non sarà possibile effettuare il login. È fondamentale impostare un hostname corretto per il computer prima di seguire questa guida.
Se il nome del host del tuo sistema cambia (ad esempio, a causa del DHCP), non potrai accedere. È fondamentale che tu configuri un nome del host adeguato per il tuo computer, prima di seguire questa guida.
Il modulo `pam_u2f` su Linux può fornire l'autenticazione a due fattori per l'accesso alle distribuzioni Linux più popolari. Se si dispone di una chiave di sicurezza hardware che supporta U2F, è possibile impostare l'autenticazione MFA per il login. Yubico ha una guida [Ubuntu Linux Login Guide - U2F](https://support.yubico.com/hc/en-us/articles/360016649099-Ubuntu-Linux-Login-Guide-U2F) che dovrebbe funzionare su qualsiasi distribuzione. I comandi del gestore di pacchetti, come `apt-get`, e i nomi dei pacchetti possono tuttavia differire. Questa guida **non si applica** al sistema operativo Qubes.
Il modulo `pam_u2f` su Linux può fornire l'autenticazione a due fattori per accedere alle distribuzioni più popolari di Linux. Se possiedi una chiave di sicurezza hardware che supporta U2F, puoi configurare l'autenticazione AFM per il tuo accesso. Yubico dispone della [Guida di Accesso a Linux Ubuntu - U2F](https://support.yubico.com/hc/en-us/articles/360016649099-Ubuntu-Linux-Login-Guide-U2F), che dovrebbe funzionare su qualsiasi distribuzione. I comandi del gestore di pacchetti, come `apt-get` e i nomi dei pacchetti, tuttavia, potrebbero variare. Questa guida **non** si applica a Qubes OS.
### Qubes OS
Qubes OS supporta l'autenticazione Challenge-Response con YubiKeys. Se si dispone di una YubiKey con supporto per l'autenticazione Challenge-Response, consultare la documentazione di Qubes OS [YubiKey](https://www.qubes-os.org/doc/yubikey/) se si desidera impostare l'MFA su Qubes OS.
Qubes OS supporta l'autenticazione Contestazione-Risposta con le YubiKey. Se possiedi una YubiKey con supporto all'autenticazione Contestazione-Risposta, consulta la [documentazione di YubiKey](https://www.qubes-os.org/doc/yubikey/) per Qubes OS, se vorresti configurarvi l'AFM.
### SSH
#### Chiavi di sicurezza fisiche
#### Chiavi di Sicurezza Hardware
SSH MFA può essere impostato utilizzando diversi metodi di autenticazione che sono molto diffusi con le chiavi di sicurezza hardware. Ti consigliamo di consultare [la documentazione](https://developers.yubico.com/SSH/) di Yubico su come configurarla.
L'AFM SSH potrebbe essere configurata utilizzando svariati metodi d'autenticazione differenti, popolari con le chiavi di sicurezza hardware. Ti consigliamo di consultare la [documentazione](https://developers.yubico.com/SSH/) su come configurarli.
#### Time-based One-time Password (TOTP)
#### Password Una Tantum basata sul Tempo (TOTP)
SSH MFA può anche essere impostato utilizzando TOTP. DigitalOcean ha fornito un tutorial [Come impostare l'autenticazione a pfattori per SSH su Ubuntu 20.04](https://www.digitalocean.com/community/tutorials/how-to-set-up-multi-factor-authentication-for-ssh-on-ubuntu-20-04). La maggior parte delle cose dovrebbe essere uguale a prescindere dalla distribuzione, tuttavia i comandi del gestore dei pacchetti - come `apt-get`- e i nomi dei pacchetti possono differire.
L'AFM SSH può anche essere configurata utilizzando TOTP. DigitalOcean ha fornito il tutorial "[Come Configurare l'Autenticazione a PFattori per SSH su Ubuntu 20.04](https://www.digitalocean.com/community/tutorials/how-to-set-up-multi-factor-authentication-for-ssh-on-ubuntu-20-04). Gran parte delle cose dovrebbe essere le stesse indipendentemente dalla distribuzione, tuttavia, i comandi del gestore di pacchetti, come `apt-get`, e i nomi dei pacchetti, potrebbero variare.
### KeePass (e KeePassXC)
I database KeePass e KeePassXC possono essere protetti utilizzando Challenge-Response o HOTP come autenticazione di secondo fattore. Yubico ha fornito un documento per KeePass [Using Your YubiKey with KeePass](https://support.yubico.com/hc/en-us/articles/360013779759-Using-Your-YubiKey-with-KeePass) e ne esiste uno anche sul sito [KeePassXC](https://keepassxc.org/docs/#faq-yubikey-2fa).
I database di KeePass e KeePassXC possono essere protetti utilizzando la Contestazione-Risposta o HOTP, come autenticazione a due fattori. Yubico ha fornito della documentazione per l'[Utilizzo della tua YubiKey con KeePass](https://support.yubico.com/hc/en-us/articles/360013779759-Using-Your-YubiKey-with-KeePass), nonché un documento sul sito web di [KeePassXC](https://keepassxc.org/docs/#faq-yubikey-2fa).

88
i18n/it/basics/passwords-overview.md
View File

@ -1,111 +1,111 @@
---
title: "Introduzione alle password"
icon: 'material/form-textbox-password'
description: Ecco alcuni suggerimenti e trucchi su come creare le password più forti e mantenere i vostri account al sicuro.
description: Ecco alcuni consigli e trucchi su come creare le password più forti e mantenere sicuri i tuoi profili.
---
Le password sono una parte essenziale della nostra vita digitale quotidiana. Le utilizziamo per proteggere i nostri account, dispositivi e segreti. Nonostante siano spesso l'unica cosa che ci separa da un nemico a caccia di informazioni private, non ci si pensa molto, il che spesso porta le persone ad utilizzare password che possono essere facilmente indovinate o forzate.
Le password sono una parte essenziale delle nostre vite digitali quotidiane. Le utilizziamo per proteggere i nostri profili, dispositivi e segreti. Nonostante spesso siano la sola cosa tra di noi e un malintenzionato a caccia di informazioni private, non ci si pensa molto, portando spesso le persone a utilizzare password facili da indovinare o forzare.
## Pratiche migliori
## Migliori Pratiche
### Utilizza password uniche per ogni servizio
Immagina questo: registrate un account con la stessa email e la stessa password su più servizi online. Se uno di questi servizi è malevolo o il loro servizio subisce una violazione dei dati che espone la password in formato non criptato, tutto ciò che un malintenzionato dovrebbe fare è provare quella combinazione di e-mail e password su più servizi popolari finché non ottiene un risultato. Non importa quanto forte sia quella password, perchè ormai ce l'hanno già.
Immagina questo: registri un profilo con la stessa email e password di numerosi servizi online. Se uno dei fornitori di tali servizi è malintenzionto, o se il servizio subisce una violazione di dati che espone la tua password in un formato non crittografato, tutto ciò che un malintenzionato dovrà fare è provare tale combinazione di email e password su numerosi servizi popolari, fino all'ottenimento di un risultato. Non importa quanto sia forte una password, perché, ormai, è già in suo possesso.
Questo fenomeno è chiamato [credential stuffing](https://en.wikipedia.org/wiki/Credential_stuffing) ed è uno dei modi più comuni tramite cui i vostri account potrebbero venir compromessi da malintenzionati. Per evitare che ciò accada, assicurati di non riutilizzare mai le password.
Questo fenomeno è detto [riempimento delle credenziali](https://en.wikipedia.org/wiki/Credential_stuffing) ed è uno dei metodi più comuni di compromissione dei tuoi profili, da utenti malintenzionati. Per evitarlo, assicurati di non riutilizzare mai le tue password.
### Usa password generate casualmente
==Non dovresti **mai** affidarti a te stesso per creare un'ottima password.== Consigliamo di utilizzare [password generate randomicamente](#passwords) o [passphrase di tipo diceware](#diceware-passphrases) con un'entropia sufficiente a proteggere i tuoi account e dispositivi.
==Non dovresti **mai** basarti su te stesso per generaare una buona password.== Consigliamo di utilizzare le [password generate casualmente](#passwords) o le [frasi segrete Diceware](#diceware-passphrases), con un'entropia sufficiente per proteggere i tuoi profili e dispositivi.
Tutti i nostri [gestori di password consigliati](../passwords.md) includono un generatore di password integrato che puoi utilizzare.
Tutti i [gestori di password consigliati](../passwords.md) da noi, includono un generatore di password integrato che puoi utilizzare.
### Rotazione delle password
Dovresti evitare di cambiare troppo spesso le password che necessitano di essere ricordate (come la master password del vostro gestore di password), a meno che non abbiate motivo di credere che sia stata compromessa, perché cambiarla troppo spesso vi espone al rischio di dimenticarla.
Dovresti evitare di modificare troppo spesso le password che devi ricordare (come la password generale del tuo gestore di password), a meno che tu non abbia motivo di credere che siano state compromesse, poiché modificarle troppo spesso ti espone al rischio di dimenticarle.
Per quanto riguarda le password che non devi ricordare (come quelle memorizzate all'interno del vostro gestore di password), se la vostra [ modellazione delle minacce](threat-modeling.md) lo richiede, vi consigliamo di controllare gli account importanti (soprattutto quelli che non utilizzano l'autenticazione a più fattori) e di cambiare la loro password almeno ogni due mesi, nel caso in cui siano stati compromessi in una violazione dei dati non ancora resa pubblica. La maggior parte dei gestori di password ti consente d'impostare una data di scadenza per le tue password cosi da gestirle più facilmente.
Per quanto riguard le password che non devi ricordare (come quelle memorizzate nel tuo gestore di password), se il tuo [modello di minaccia](threat-modeling.md) lo richiede, consigliamo di modificare le password dei profili importaanti (specialmente profili privi di autenticazione a più fattori), ogni paio di mesi, nel caso in cui siano state compromesse in una violazione di dati non ancora resa pubblica. Gran parte dei gestori di password ti consentono di impostare una data di scadenza per la tua password, rendendola più facile da gestire.
!!! tip "Controlla le violazioni dei dati"
!!! tip "Controllare le violazioni di dati"
Se il tuo gestore di password permette di verificare la presenza di password compromesse, assicurati di controllare le vostre password e di cambiare immediatamente qualsiasi password che potrebbe essere stata esposta in una violazione dei dati. In alternativa, puoi seguire il feed di [Have I Been Pwned's Latest Breaches](https://feeds.feedburner.com/HaveIBeenPwnedLatestBreaches) con l'aiuto di un [aggregatore di notizie](../news-aggregators.md).
Se il tuo gestore di password ti consente di verificare quelle compromesse, assicurati di farlo e di modificare prontamente qualsiasi password possa esser stata esposta in una violazione di dati. Altrimenti, potresti seguire il [feed di Violazioni di Dati Recenti di Have I Been Pwned](https://feeds.feedburner.com/HaveIBeenPwnedLatestBreaches), con l'aiuto di un [aggregatore di notizie](../news-aggregators.md).
## Creare password forti
### Password
Molti servizi impongono determinati criteri per quanto riguarda le password, tra cui una lunghezza minima o massima e l'eventuale utilizzo di caratteri speciali. Dovreste utilizzare il generatore di password integrato nel vostro gestore di password per creare password complesse e lunghe quanto la dimensione massima che il sito permette, includendo lettere maiuscole e minuscole, numeri e caratteri speciali.
Molti servizi impongono certi criteri per quanto riguarda le password, inclusa una lunghezza minima o massima, nonché quali caratteri specili, se presenti, sono utilizzabili. Dovreste utilizzare il generatore di password integrato del tuo gestore di password per creare le password più complesse e lunghe consentite, consentendo l'inclusione di lettere maiuscole e minuscole, numeri e caratteri speciali.
Se hai bisogno di una password da memorizzare, ti consigliamo una [passphrase diceware](#diceware-passphrases).
Se necessiti di una password memorizzabile, consigliamo una [frase segreta Diceware](#diceware-passphrases).
### Passphrase Diceware
### Frasi Segrete Diceware
Il metodo Diceware serve per creare passphrase facili da ricordare, ma difficili da indovinare.
Il metodo Diceware serve a creare frasi segrete facili da ricordare, ma difficili da indovinare.
Le passphrase diceware sono un'ottima opzione quando è necessario memorizzare o inserire manualmente le proprie credenziali, come ad esempio la password principale del proprio gestore di password o la password di crittografia del proprio dispositivo.
Le frasi segrete Diceware sono un'ottima opzione quando devi memorizzare o inserire manualmente le tue credenziali, come per la password principale del tuo gestore di password o per la password crittografica del tuo dispositivo.
Un esempio di passphrase diceware è `viewable fastness reluctant squishy seventeen shown pencil`.
Un esempio di frase segreta Dicewaare è `visualizzabile velocità riluttante morbido diciassette mostrato matita`.
Per generare una passphrase diceware utilizzando un vero dado, segui questi passaggi:
Per generare una frase segreta Dicewaare utilizzando dadi reali, segui questi passaggi:
!!! note "Nota"
!!! note
Queste istruzioni presuppongono l'utilizzo del [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) per generare la passphrase, che richiede cinque lanci di dadi per parola. Altri elenchi di parole potrebbero richiedere più o meno tiri per parola, e possono richiedere una quantità diversa di parole per ottenere la stessa entropia.
Queste istruzioni suppongono che tu stia utilizzando il [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) per generare la frase segreta, che richiede cinque lanci di dadi per parola. Altri elenchi di parole potrebbero richiedere maggiori o minori lanci per parola e potrebbero richiedere una quantità di parole differenti, per ottenere la stessa entropia.
1. Lancia un dado a sei facce 5 volte, annota il numero ottenuto dopo ogni tiro.
1. Lancia un dado a sei facce per cinque volte, annotando il numero dopo ogni lancio.
2. Per esempio, supponiamo che tu abbia ottenuto `2-5-2-6-6`. Guarda nel [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) la parola che corrisponde a `25266`.
2. Ad esempio, supponiamo tu abbia ottenuto `2-5-2-6-6`. Consulta il [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) per trovare la parola corrispondente a `25266`.
3. Troverai la parola `encrypt`. Annota questa parola.
3. Troverai la parola `encrypt`. Annotala.
4. Ripeti questa procedura finché la vostra passphrase non avrà il numero di parole necessario, che dovrete separare con uno spazio.
4. Ripeti questa procedura finché la tua frase segreta contiene quante parole necessarie, che dovresti separare con degli spazi.
!!! warning "Importante"
**Non** dovresti rigenerare le parole affinché non ottieni una combinazione di parole che ti attragga. Il processo dovrebbe essere totalmente casuale.
**Non** dovresti rigenerare le parole finché non ottieni una combinazione di parole che ti attragga. Il procedimnto dovrebbe essere interamente casuale.
Se non hai un dado, o semplicemente non lo vuoi usare, puoi utilizzare il generatore di password del tuo gestore di password, molti di questi hanno l'opzione di poter generare passphrase diceware oltre alle classiche password.
Se non hai accesso a dadi reali o preferiresti non utilizzarli, puoi utilizzare il generatore di password integrato del gestore di password, poiché molti di essi offrono l'opzione di generare frasi segrete Diceware, oltre alle password regolari.
Consigliamo di utilizzare il [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) per generare le tue passphrase diceware, in quanto offre la stessa sicurezza dell'elenco originale, pur contenendo parole più facili da memorizzare. Esistono anche [altri elenchi di parole in lingue diverse](https://theworld.com/~reinhold/diceware.html#Diceware%20in%20Other%20Languages|outline), se non vuoi che la tua passphrase sia in Inglese.
Consigliamo di utilizzare il [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) per generare le tue frasi segrete Diceware, poiché offre la stessa sicurezza dell'elenco originale, contenendo parole più facili da memorizzare. Esistono anche [altri elenchi di parole in lingue differenti](https://theworld.com/~reinhold/diceware.html#Diceware%20in%20Other%20Languages|outline), se non desideri che la tua frase segreta sia in inglese.
??? nota "Spiegazione dell'entropia e della forza delle passphrase diceware"
??? note "Spiegazione dell'entropia e forza delle frasi segrete Diceware"
Per dimostrare quanto siano forti le passphrase diceware, useremo la già citata passphrase di sette parole (`viewable fastness reluctant squishy seventeen shown pencil`) e il [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) come esempio.
Per dimostrare la forza delle frasi segrete Diceware, utilizzeremo la suddetta frase segreta da sette parole ('visualizzabile velocità riluttante morbido diciassette mostrato matita') e il [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) come esempio.
Un parametro per determinare la forza di una passphrase diceware è la sua entropia. L'entropia per parola in una passphrase diceware è calcolata come $\text{log}_2(\text{WordsInList})$ e l'entropia complessiva della passphrase è calcolata come $\text{log}_2(\text{WordsInList}^\text{WordsInPhrase})$.
Un parametro per determinare la forza di una frase segreta Diceware è la sua entropia. L'entropia per parola in una frase segreta Diceware è calcolata come $\text{log}_2(\text{WordsInList})$ e l'entropia complessiva della frase segreta è calcolata come $\text{log}_2(\text{WordsInList}^\text{WordsInPhrase})$.
Pertanto, ogni parola del suddetto elenco produce ~12,9 bit di entropia ($\text{log}_2(7776)$), e una passphrase di sette parole derivata da esso ha ~90,47 bit di entropia ($\text{log}_2(7776^7)$).
Dunque, ogni parola nell'elenco suddetto risulta in circa 12,9 bit di entropia ($\text{log}_2(7776)$), e una frase segreta di sette parole da esso derivaata contiene circa 90,47 bit di entropia ($\text{log}_2(7776^7)$).
Il [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) contiene 7776 parole uniche. Per calcolare la quantità di passphrase possibili, tutto ciò che dobbiamo fare è $\text{WordsInList}^\text{WordsInPhrase}$, o nel nostro caso, $ 7776^7 $.
Il [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) contiene 7776 parole uniche. Per calcolare la quantità di frasi segrete possibili, tutto ciò che dobbiamo fare è $\text{WordsInList}^\text{WordsInPhrase}$ o, nel nostro caso, $ 7776^7 $.
Mettiamo tutto questo in prospettiva: Una passphrase di sette parole utilizzando il [Grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) è una delle ~1.719.070.799.748.422.500.000.000.000.000 possibili passphrase.
Mettiamo tutto questo in prospettiva: Una frase segreta di sette parole che utilizza il [grande elenco di parole di EFF](https://www.eff.org/files/2016/07/18/eff_large_wordlist.txt) è una delle approssimative 1.719.070.799.748.422.500.000.000.000.000 possibili frasi segrete.
In media, è necessario tentare il 50% di tutte le combinazioni possibili per indovinare la tua passfrase. E con questo, anche se l'avversario è in grado di fare ~1.000.000.000.000 tentativi al secondo, gli ci vorrebbero comunque ~27.255.689 anni per indovinare la tua passphrase. Questo vale solo se le seguenti cose sono vere:
In media, è necessario tentare il 50% di tutte le combinazioni possibili per indovinare la tua frase segreta. Tenendo ciò a mente, anche se il malintenzionato è capace di circa 1.000.000.000.000 tentativi al secondo, gli ci vorrebbero comunque circa 27.255.689 aanni per indovinare la tua frase segreta. Questo vale solo se le seguenti cose sono vere:
- Il tuo avversario sa che hai usato il metodo diceware.
- Il tuo avversario conosce l'elenco specifico che hai utilizzato.
- Il tuo avversario sa quante parole contiene la tua passphrase.
- Il tuo avversario sa che hai utilizzato il metodo Diceware.
- Il tuo avversario conosce l'elenco di parole specifico utilizzato.
- Il tuo avversario sa quante parole contiene la tua frase segreta.
Ricapitolando, le passphrase diceware sono la scelta migliore se hai bisogno di qualcosa che sia facile da ricordare *ed* estremamente forte.
Ricapitolando, le frasi segrete Diceware sono la tua migliore opzione quando necessiti di qualcosa che sia facile da ricordare *ed* eccezionalmente forte.
## Memorizzare le password
### Gestori di password
Il miglior modo per memorizzare le proprie password è quello di utilizzare un gestore di password. Ti consentono di memorizzare le password in un singolo file o nel cloud e di proteggerle con un'unica password principale. In questo modo, dovrete ricordare solo un'unica password forte, che vi permetterà di accedere alle altre.
Il miglior modo per memorizzare le tue password è utilizzare un gestore di password. Ti consente di memorizzare le tue password in un file o nel cloud e di proteggerle con un password principale singola. Così, dovrai ricordare soltanto una password forte, che ti consente di accedere al resto di esse.
Ci sono molte opzioni valide tra cui scegliere, sia basata su cloud, sia locali. Scegli uno dei nostri gestori di password consigliati e usalo per impostare password forti per tutti i tuoi account. Consigliamo di proteggere il vostro gestore di password con una [password diceware](#diceware-passphrases) composta da almeno 7 parole.
Esistono molte buone opzioni da cui scegliere, sia basate su cloud che locali. Scegli uno dei nostri gestori di password consigliati e utilizzalo per stabilire le password forti tra tutti i tuoi profili. Consigliamo di proteggere il tuo gestore di password con una [frase segreta Diceware](#diceware-passphrases), che comprenda almeno sette parole.
[Elenco dei gestori di password consigliati](../passwords.md ""){.md-button}
!!! warning "Non memorizzare le tue password e i token TOTP nello stesso gestore di password"
Quando utilizzi i codici TOTP come [autenticazione a più fattori](../multi-factor-authentication.md), la migliore prassi per la sicurezza è quella di conservare i codici TOTP in una [app separata](../multi-factor-authentication.md#authenticator-apps).
Utilizzando i codici TOTP come [autenticazione a più fattori](../multi-factor-authentication.md), la migliore pratica di sicurezza è mantenerli in un'[app separata](../multi-factor-authentication.md#authenticator-apps).
Conservare i token TOTP nello stesso luogo delle password, pur essendo comodo, riduce gli account ad un singolo fattore nel caso in cui un avversario riesca ad accedere al tuo gestore di password.
Memorizzare i token TOTP nello stesso luogo delle tue password, sebbene comodo, riduce i profili a un singolo fattore, nel caso in cui un malintenzionato ottenga l'accesso al tuo gestore di password.
Inoltre, sconsigliamo di memorizzare i codici di recupero monouso nel tuo gestore di password. Questi andrebbero archiviati in un contenitore criptato o su un dispositivo d'archiviazione offline.
Inoltre, sconsigliamo di memorizzare i codici di recupero a uso singolo nel tuo gestore di password. Questi, dovrebbero essere memorizzati separatamente in un contenitore crittografato, su un dispositivo di archiviazione offline.
### Backup
Dovresti archiviare un backup [criptato](../encryption.md) di tutte le tue password su più dispositivi o su un provider d'archiviazione in cloud. Questo potrà aiutarti ad accedere alle password se dovesse succedere qualcosa al vostro dispositivo principale o al servizio che state utilizzando.
Dovresti archiviare un backup [crittografato](../encryption.md) di tutte le tue password su più dispositivi o su un fornitore d'archiviazione in cloud. Ciò può aiutarti ad accedere alle tue password se succede qualcosa al tuo dispositivo principale o al servizio che stai utilizzando.

96
i18n/it/basics/threat-modeling.md
View File

@ -1,111 +1,111 @@
---
meta_title: "Modelli di minaccia: Il primo passo nel viaggio verso la privacy - Privacy Guides"
meta_title: "Modelli di Minaccia: Il primo passo del tuo viaggio verso la privacy - Privacy Guides"
title: "Modelli di minaccia"
icon: 'material/target-account'
description: Bilanciare sicurezza, privacy e usabilità è uno dei primi e più difficili obiettivi che dovrete affrontare nel vostro viaggio verso la privacy.
description: Bilanciare sicurezza, privacy e utilizzabilità è uno dei primi incarichi più difficili che affronterai, nel percorso verso la tua privacy.
---
Bilanciare sicurezza, privacy e usabilità è uno dei primi e più difficili obiettivi che dovrete affrontare nel vostro viaggio verso la privacy. Tutto è un compromesso: più qualcosa è sicuro, più è restrittivo o scomodo in generale, ecc. Spesso, le persone scoprono che il problema con gli strumenti che vedono raccomandati è che sono troppo difficili da iniziare a usare!
Bilanciare sicurezza, privacy e utilizzabilità è uno dei primi incarichi più difficili che affronterai, nel percorso verso la tua privacy. Tutto è un compromesso: più qualcosa è sicuro, più limitante o scomodo è, in generale, etc. Spesso, le persone scoprono che il problema con gli strumenti che vedono consigliati, è che sono semplicemente troppo difficili da utilizzare!
Se si vogliono utilizzare gli strumenti **più** sicuri a disposizione, è necessario sacrificare *molto* in termini di usabilità. E, anche allora, ==nulla è mai completamente sicuro.== C'è un alta **sicurezza**, ma mai una completa **sicurezza**. È per questo che i modelli di minaccia sono importanti.
Se tu volessi utilizzare gli strumenti **più** sicuri disponibili, dovresti sacrificare *molta* utilizzabilità. E, anche allora, ==nulla è mai completamente sicuro.== L'**alta sicurezza** esiste, ma mai una sicurezza **completa**. Ecco perché i modelli di minaccia sono importanti.
**Ma quindi, quali sono questi modelli di minaccia?**
==Un modello di minaccia è un elenco delle minacce più probabili ai tuoi sforzi per la sicurezza e privacy.== Dal momento che è impossibile proteggersi da **ogni** attacco/attaccante, dovresti concentrarti sulle **minacce più probabili**. Nella sicurezza informatica, una minaccia è un evento che potrebbe minare i tuoi sforzi per mantenere la riservatezza e la sicurezza.
==Un modello di minaccia è un elenco delle minacce più probabili secondo i tuoi sforzi di sicurezza e privacy.== Poiché è impossibile proteggerti da **ogni** attacco o utente malintenzionato, dovresti incentrarti sulle minacce **più probabili**. Nella sicurezza informatica, una minaccia è un evento che potrebbe minare i tuoi sforzi di rimanere privato e sicuro.
Concentrarsi sulle minacce che contano per te restringe il tuo pensiero sulla protezione di cui hai bisogno, in modo da poter scegliere gli strumenti giusti per il lavoro.
Concentrarsi sulle minacce che contano per te, restringe il tuo pensiero alla protezione necessaria, così che tu possa scegliere gli strumenti adatti per il lavoro.
## Creare il tuo modello di minaccia
Per identificare cosa potrebbe accadere alle cose che valorizzi e determinare da chi devi proteggerle, dovresti rispondere a queste cinque domande:
1. Quali sono le cose che voglio proteggere?
2. Da chi le voglio proteggere?
3. Quanto è probabile che io abbia bisogno di proteggerle?
4. Quanto sono catastrofiche le conseguenze se fallisco?
5. Quanti problemi sono disposto ad affrontare per tentare di prevenire le potenziali conseguenze?
1. Cosa voglio proteggere?
2. Da chi voglio proteggerle?
3. Quanto è probabile che io debba proteggerle?
4. Quanto sono negative le conseguenze se fallisco?
5. Quanti problemi sono disposto ad affrontare per provare a prevenire le potenziali conseguenze?
### Quali sono le cose che voglio proteggere?
### Cosa voglio proteggere?
Un "asset" (risorsa) è qualcosa a cui si dà valore e che si vuole proteggere. Nel contesto della sicurezza digitale, ==un asset è di solito una sorta di informazione.== Ad esempio, le email, gli elenchi di contatti, i messaggi istantanei, la posizione e i file sono tutti asset possibili. Anche gli stessi dispositivi posso essere degli asset.
Una risorsa è qualcosa che valorizzi e desideri proteggere. Nel contesto della sicurezz digitale, ==una risorsa è solitamente qualche tipo di informazione.== Ad esempio, le tue email, rubriche, messaggi istantanei, posizioni e file, sono tutti possibili risorse. Anche gli stessi dispositivi potrebbero essere considerati tali.
*Stila una lista dei tuoi asset: i dati che conservi, dove li tieni, chi ne ha accesso, e che cosa impedisce agli altri di accedervi.*
*Stila un elenco delle tue risorse: dati che conservi, dove li mantieni, chi vi ha accesso e cosa impedisce ad altri di accedervi.*
### Da chi le voglio proteggere?
### Da chi voglio proteggerle?
Per rispondere a questa domanda, è importante identificare chi potrebbe voler prendere di mira te o le tue informazioni. ==Una persona o entità che rappresenta una minaccia per i tuoi beni è un "avversario".== Esempi di potenziali avversari sono il tuo capo, il tuo ex partner, la tua concorrenza commerciale, il tuo governo o un hacker su una rete pubblica.
Per rispondere a questa domanda, è importante identificare chi potrebbe voler prendere di mira te o le tue informazioni. ==Una persona o entità rappresentante una minaccia per le tue risorse è un "avversario".== Esempi di potenziali avversari sono il tuo capo, il tuo ex collega, la tua competizione aziendale, il tuo governo o un hacker su una rete pubblica.
*Fai un elenco dei tuoi avversari o di coloro che potrebbero voler entrare in possesso dei tuoi asset. Il tuo elenco può comprendere individui, agenzie governative o società.*
*Crea un elenco dei tuoi avversari o di coloro che potrebbero voler entrare in possesso delle tue risorse. Il tuo elenco può includere individui, agenzie governative o aziende.*
A seconda di chi sono i tuoi avversari, in alcune circostanze, questo elenco potrebbe essere qualcosa che vuoi distruggere dopo aver completato la pianificazione della sicurezza.
A seconda di chi siano i tuoi avversari, sotto certe circostanze, questo elenco potrebbe essere qualcosa da distruggere, in seguito al completamento della pianificazione sulla sicurezza.
### Quanto è probabile che io abbia bisogno di proteggerle?
### Quanto è probabile che io debba proteggerle?
== Il rischio è la probabilità che una particolare minaccia contro un determinato asset si verifichi effettivamente.== Va di pari passo con la capacità. Nonostante il tuo provider telefonico sia in grado di accedere a tutti i tuoi dati, il rischio che li pubblichi online per danneggiare la tua reputazione è basso.
==Il rischio è la probabilità che una minaccia particolare contro una particolare risorsa si verificherà realmente.== Va di pari passo con la capacità. Sebbene il tuo fornitore telefonico sia capace di accedere a tutti i tuoi dati, il rischio che pubblichi i tuoi dati privati online per danneggiare la tua reputazione è basso.
È importante distinguere ciò che potrebbe accadere e la probabilità che accada. Per esempio, c'è il rischio che il tuo edificio crolli, ma è molto più probabile che ciò accada a San Francisco (dove i terremoti sono frequenti) rispetto che a Stoccolma (dove non lo sono).
È importante distinguere tra ciò che potrebbe verificarsi e la probabilità che si verifichi. Ad esempio, esiste il rischio che il tuo edificio crolli, ma il rischio che si verifichi è molto maggiore a San Francisco (dove i terremoti sono comuni), piuttosto che a Stoccolma (dove non lo sono).
La valutazione dei rischi è un processo personale e soggettivo. Molte persone trovano alcune minacce inaccettabili, non importa la probabilità che si verifichino, perché la semplice presenza della minaccia non vale il costo. In altri casi, le persone ignorano rischi elevati perché non considerano la minaccia un problema.
La valutazione dei rischi è un procedimento personale e soggettivo. Molte persone trovano inaccettabili alcune minacce, indipendentemente dalla probabilità che si possano verificare, poiché la mera presenza della minaccia non vale il costo. In altri casi, le persone ignorano rischi elevati perché non considerano la minaccia come un problema.
*Scrivi quali minacce prenderai sul serio, e quali sono troppo rare o innocue (o troppo difficili da contrastare) per preoccuparsene.*
*Annota quali minacce prenderai sul serio e quali potrebbero essere troppo rare o innocue (o troppo difficili da combattere) per preoccuparsene.*
### Quanto sono catastrofiche le conseguenze se fallisco?
### Quanto sono negative le conseguenze se fallisco?
Ci sono molti modi in cui un avversario può accedere ai tuoi dati. Per esempio, un avversario può leggere le tue comunicazioni private mentre attraversano la rete, o può eliminare o corrompere i tuoi dati.
Esistono molti modi in cui un avversario potrebbe ottenere l'accesso ai tuoi dati. Ad esempio, un avversario può leggere le tue comunicazioni private mentre passano per la rete, o può eliminare o corrompere i tuoi dati.
==Le motivazioni degli avversari sono molto diverse, così come le loro tattiche.== Un governo che cerca di impedire la diffusione di un video che mostra la violenza della polizia può accontentarsi di cancellare o ridurre la disponibilità di quel video. Al contrario, un avversario politico p desiderare di accedere a contenuti segreti e pubblicarli all'insaputa dell'interessato.
==Le motivazioni degli avversari differiscono ampiamente, come le loro tattiche.== Un governo che prova a impedire la diffusione di un video che mostra la violenza della polizia, potrebbe essere contenuto, oppure potrebbe semplicemente essere eliminato o ridotto in disponibilità. Al contrario, un rivale politico potrebbe desiderare di ottenere accesso al contenuto segreto e pubblicarlo senza che tu lo sappia.
La pianificazione della sicurezza comporta la comprensione di quanto catastrofiche possono essere le conseguenze se un avversario riesce a impossessarsi di uno dei tuoi asset. Per determinare ciò, dovresti prendere in considerazione la capacità del tuo avversario. Ad esempio, il tuo operatore di telefonia mobile ha accesso a tutti i tuoi record telefonici. Un hacker su una rete Wi-Fi aperta può accedere alle tue comunicazioni non criptate. Il tuo governo potrebbe avere capacità maggiori.
La pianificazione della sicurezza comporta la comprensione di quanto negative potrebbero essere le conseguenze, se un avversario ottenesse l'accesso a una delle tue risorse. Per determinarle, dovresti considerare le capacità del tuo avversario. Ad esempio, il tuo fornitore di telefonia mobile ha accesso a tutti i tuoi registri telefonici. Un hacker su una rete Wi-Fi può accedere alle tue comunicazioni non crittografate. Il tuo governo potrebbe avere capacità maggiori.
*Scrivi cosa il tuo avversario potrebbe voler fare con i tuoi dati privati.*
*Annota ciò che il tuo avversario potrebbe voler fare con i tuoi dati privati.*
### Quanti problemi sono disposto ad affrontare per tentare di prevenire le potenziali conseguenze?
### Quanti problemi sono disposto ad affrontare per provare a prevenire le potenziali conseguenze?
==Non esiste un'opzione perfetta per la sicurezza.== Non tutti hanno le stesse priorità, preoccupazioni o accesso alle risorse. La valutazione dei rischi consentirà di pianificare la giusta strategia per te, bilanciando convenienza, costi e privacy.
==Non esiste un'opzione perfetta per la sicurezza.== Non tutti hanno le stesse priorità, preoccupazioni o accesso alle risorse. La valutazione dei tuoi rischi ti consentirà di pianificare la strategia corretta per te, bilanciando convenienza, costi e privacy.
Per esempio, un avvocato che rappresenta un cliente in un caso di sicurezza nazionale potrebbe essere disposto a prendere più provvedimenti per proteggere le comunicazioni relative al caso, come ad esempio usando mail criptate, rispetto ad una madre che manda regolarmente email alla figlia con video divertenti di gattini.
Ad esempio, un procuratore rappresentante un cliente in un caso di sicurezza nazionale, potrebbe essere disposto a prendere più provvedimenti per proteggere le comunicazioni su quel caso, come utilizzando email crittografate, rispetto a una madre che invia regolarmente email contenenti video divertenti di gatti a sua figlia.
*Scrivi quali opzioni ti sono disponibili per mitigare le tue minacce specifiche. Annota se hai qualche vincolo finanziario, tecnico o sociale.*
*Annota quali opzioni ti sono disponibili, per aiutarti a mitigare le tue specifiche minacce. Annota se hai qualche vincolo finanziario, tecnico o sociale.*
### Prova tu stesso: Proteggere i propri beni
Queste domande possono essere applicate ad un'ampia varietà di situazioni, online e offline. Come dimostrazione generica di come funzionano queste domande, costruiamo un piano per mantenere la tua casa e i tuoi beni al sicuro.
Queste domande possono applicarsi a un'ampia varietà di situazioni, online e offline. Come dimostrazione generica del funzionamento di queste domande, creiamo un piano per mantenere al sicuro la tua casa e i tuoi averi.
**Quali sono le cose che voglio proteggere? (Oppure, *che cosa possiedo che vale la pena di proteggere?*)**
**Cosa voglio proteggere? (Oppure, *cosa possiedi che valga la pena di proteggere?*)**
:
I tuoi beni personali possono includere gioielli, dispositivi elettronici, documenti importanti, o fotografie.
I tuoi beni potrebbero includere gioielli, elettronica, documenti o foto importanti.
**Da chi le voglio proteggere?**
**Da chi voglio proteggerli?**
:
I tuoi potenziali avversari possono essere ladri, coinquilini oppure ospiti.
I tuoi avversari potrebbero includere ladri, coinquilini od ospiti.
**Quanto è probabile che io abbia bisogno di proteggerle?**
**Quanto è probabile che necessiti di proteggerli?**
:
Nel tuo vicinato ci sono precedenti di furto? Quanto sono affidabili i tuoi coinquilini o ospiti? Quali sono le capacità dei tuoi avversari? Quali sono i rischi che dovresti considerare?
Nel tuo vicinato si sono verificati furti precedenti? Quanto sono affidabili i tuoi coinquilini od ospiti? Quali sono le capacità dei tuoi avversari? Quali rischi dovresti considerare?
**Quanto sono catastrofiche le conseguenze se fallisci?**
**Quanto sono negative le conseguenze se fallisci?**
:
C'è qualcosa nella tua casa che non puoi sostituire? Hai il tempo o i soldi per rimpiazzare queste cose? Hai un'assicurazione che copre i beni rubati dalla tua casa?
In casa, hai qualcosa che non puoi sostituire? Hai il tempo o il denaro per sostituire quelle cose? Hai un'assicurazione che copre i beni rubati dalla tua abitazione?
**Quanti problemi sei disposto ad affrontare per prevenire le conseguenze?**
**Quanti problemi sei disposto ad affrontare per impedire tali conseguenze?**
:
Sei disposto ad acquistare una cassaforte per i tuoi documenti sensibili? Puoi permetterti di comprare una buona serratura? Hai il tempo di aprire una cassetta di sicurezza presso la tua banca e tenere lì i tuoi oggetti di valore?
Sei disposto ad acquistare una cassaforte per i documenti sensibili? Puoi permetterti di acquistare una serratura di alta qualità? Hai il tempo di aprire una cassetta di sicurezza presso la tua banca locale e mantenervi i tuoi oggetti preziosi?
Solo una volta che ti sarai fatto queste domande sarai nella posizione di valutare quali misure adottare. Se i tuoi possedimenti sono di valore, ma la probabilità di un'irruzione è bassa, potresti non voler investire troppo denaro in una serratura. Ma se la probabilità di effrazione è alta, è meglio dotarsi della migliore serratura sul mercato e considerare l'aggiunta di un sistema di sicurezza.
Solo una volta esserti posto queste domande, potrai valutare quali misure adottare. Se i tuoi possedimenti sono preziosi, ma la probabilità di un furto è bassa, potresti non voler investire troppi soldi in una serratura. Ma, se la probabilità di un furto è elevata, vorrai dotarti della migliore serratura sul mercato e considerare di aggiungere un sistema di sicurezza.
La stesura di un piano di sicurezza ti aiuterà a comprendere le minacce per te più rilevanti e a valutare le tue risorse, i tuoi avversari e le loro capacità, oltre alla probabilità dei rischi a cui vai incontro.
Creare un piano di sicurezza ti aiuterà a comprendere le minacce uniche per te e a valutare le tue risorse, i tuoi avversari e le loro capacità, insieme alla probabilità dei rischi che affronti.
## Approfondimenti consigliati
## Ulteriori Letture
Per le persone che cercano di aumentare la loro privacy e sicurezza online, abbiamo compilato un elenco di minacce comuni che i nostri visitatori affrontano o obiettivi che i nostri visitatori hanno, per darti qualche ispirazione e dimostrare la base dei nostri consigli.
Per coloro che cercano di incrementare la propria privacy e sicurezza online, abbiamo compilato un elenco delle minacce più comuni affrontate dai nostri visitatori o degli obiettivi dei nostri visitatori, per ispirarti e dimostrare le basi dei nostri consigli.
- [Obiettivi e minacce comuni :material-arrow-right-drop-circle:](common-threats.md)
## Fonti
- [EFF Surveillance Self Defense: Your Security Plan (EFF Autodifesa da sorveglianza: il tuo piano di sicurezza)](https://ssd.eff.org/en/module/your-security-plan)
- [Difesa Personale di Sorveglianza EFF: Il tuo piano di sicurezza](https://ssd.eff.org/en/module/your-security-plan)

36
i18n/it/basics/why-privacy-matters.md
View File

@ -3,57 +3,57 @@ title: "Perchè la privacy è importante"
icon: 'material/shield-account'
---
Nell'era moderna dello sfruttamento dei dati digitali, la tua privacy non è mai stata così importante, eppure molti credono che sia già una causa persa. Non è così. ==La tua privacy è in palio==, e devi prendertene cura. La Privacy è questione di potere, ed è molto importante che questo potere finisca nelle mani giuste.
Nell'era moderna dello sfuttamento dei dati digitali, la tua privacy non è mai stata più importante, eppure, molti credono che sia già una causa persa. Non è così. ==La tua privacy è in palio== e devi prendertene cura. La privacy è questione di potere, ed è davvero importante che tale potere finisca nelle mani giuste.
La privacy riguarda dopotutto le informazioni umane, e questo è importante poiché sappiamo che le informazioni umane conferiscono potere sugli esseri umani. Se ci interessa la nostra capacità di diventare esseri umani autentici, realizzati e liberi, dobbiamo preoccuparci innanzitutto delle regole che si applicano alle informazioni che ci riguardano. Gran parte della società moderna in cui viviamo si basa sulle **informazioni**. Quando fai acquisti online, leggi notizie, cerchi qualcosa, voti, cerchi indicazioni stradali o qualsiasi altra cosa, ti stai affidando a informazioni. Se viviamo in una società basata sulle informazioni, le nostre informazioni sono importanti e di conseguenza la privacy è importante.
La privacy riguarda dopotutto le informazioni umane ed è importante perché sappiamo che, queste, confriscono potere sugli esseri umani. Se ci interessa della nostra capacità di essere autentici, realizzati e liberi, dobbiamo preoccuparci dellee regole applicate alle informazioni che ci riguardano. Gran parte della nostra società moderna si struttura intorno alle **informazioni**. Quando fai acquisti online, leggi le notizie, cerchi qualcosa, voti, cerchi indicazioni o qualsiasi altra cosa, ti stai basando su delle informazioni. Se viviamo in una società basata sulle informazioni, le nostre informazioni contano e, dunque, la privacy è importante.
## Che cos'è la privacy?
## Cos'è la privacy?
Molte persone confondono il significato di **privacy**, **sicurezza**, e **anonimato**. Vedrai persone criticare diversi prodotti definendoli "non privati", quando in realtà intendono che non forniscono l'anonimato, per esempio. In questo sito, trattiamo tutti e tre gli argomenti, ma è importante capire la differenza tra loro e quando ciascuno di essi entra in gioco.
In molti confondono i concetti di **privacy**, **sicurezza** e **anonimato**. Vedrai persone criticare vari prodotti come "non privati", quando in realtà intendono che non forniscono, ad esempio, anonimato. Su questo sito web, copriamo tutti e tre gli argomenti, ma è importante che tu ne comprenda le differenze, nonché quando ognuno di essi entra in gioco.
**Privacy**
:
==La privacy è la garanzia che i tuoi dati siano visti solo dalle parti a cui intendi farli visualizzare.== Nel contesto di un'app di messaggistica istantanea, ad esempio, la crittografia end-to-end fornisce la privacy mantenendo il messaggio visibile solo a te stesso e al destinatario.
==La privacy è la garanzia che i tuoi dati siano visualizzati soltanto dalle parti cui intendi farle visualizzare.== Nel contesto della messaggistica istantanea, ad esempio, la crittografia end-to-end fornisce la privacy, mantenendo i tuoi messaggi visibili soltanto a te stesso e al destinatario.
**Sicurezza**
:
La sicurezza è la capacità di fidarsi delle applicazioni che utilizziche le parti coinvolte sono quelle che dicono di esseree di mantene le app sicure. Nel contesto della navigazione web, ad esempio, la sicurezza può essere garantita attraverso i certificati HTTPS.
La sicurezza è la capacità di fidarsi delle applicazioni che utilizzi, che le parti coinvolte siano quelle che dicono di essere, e di mantenere sicure tali applicazioni. Nel contesto della navigazione del web, ad esempio, la sicurezza può essere fornita dai certificati HTTPS.
:
I certificati dimostrano che stai parlando direttamente con il sito web che stai visitando e impediscono agli aggressori sulla tua rete di leggere o modificare i dati inviati o provenienti dal sito web in questione.
I certificati dimostrano che stai parlando direttamente con il sito web che stai visitando e impediscono ai malintenzionati sulla tua rete di leggere o modificare i dati inviati al o dal sito web.
**Anonimato**
:
L'anonimato è la capacità di agire senza un identificatore persistente. Potresti ottenere questo risultato online utilizzando [Tor](../tor.md), che consente di navigare in Internet con un indirizzo IP ed una connessione di rete casuale anziché utilizzare la tua.
L'anonimato è la capacità di agire senza un identificativo persistente. Potresti ottenerlo online con [Tor](../tor.md), che ti consente di navigare in Internet con un indirizzo IP e una connessione di rete casuali, invece che con i tuoi.
:
**Pseudonimato** è un concetto simile, ma consente di avere un identificatore persistente senza che venga collegato alla tua vera identità. Se tutti ti conoscono come `@GamerGuy12` online, ma nessuno conosce il tuo vero nome, quello è il tuo pseudonimo.
Lo **pseudonimato** è un concetto simile, ma ti consente di avere un identificativo persistente, senza che sia collegato alla tua identità reale. Se tutti ti conoscono online come `@GamerGuy12`, ma nessuno conosce il tuo vero nome, quello è il tuo pseudonimo.
Tutti questi concetti si sovrappongono, ma è possibile avere qualsiasi combinazione di tutti e tre. La perfezione per la maggior parte delle persone la si raggiunge quando tutti e tre i concetti si sovrappongono. Tuttavia, è più difficile da raggiungere di quanto molti inizialmente credano. A volte, dovrai sacrificarne uno dei 3, e va bene anche così. È qui che entra in gioco la **modellazione delle minacce** che consente di prendere decisioni informate sui [software e sui servizi](../tools.md) da utilizzare.
Tutti questi concetti si sovrappongono, ma è possibile che si presentino in qualsiasi combinazione. La perfezione per gran parte delle persone, si raggiunge quando tutti i tre concetti si sovrappongono. Tuttavia, è più difficile da ottenere di quanto in molti inizialmente credano. Talvolta, devi compromettere una di esse, e va bene anche così. È qui che entra in gioco il **modello di minaccia**, che ti consente di compiere decisioni informate sui [software e servizi](../tools.md) che utilizzi.
[:material-book-outline: Per saperne di più sulla Modellazione delle minacce](threat-modeling.md ""){.md-button}
[:material-book-outline: Scopri di più sui modelli di minaccia](threat-modeling.md ""){.md-button}
## Privacy vs Segretezza
Una controargomentazione abbastanza comune ai movimenti a favore della privacy è l'idea che una persona non ha bisogno di privacy se non ha **"nulla da nascondere".** Si tratta di un concetto sbagliato e pericoloso, perché da l'idea che le persone che richiedono la privacy debbano essere devianti, criminali o sbagliate.
Un'antitesi comune ai movimenti a favore della privacy è laa nozione che la privacy non è necessaria, se non si ha **"nulla da nascondere."** Questo è un concetto sbagliato e pericoloso, poiché dà l'idea che le persone che richiedono privacy, siano devianti, criminali o sbagliati.
==Non bisogna confondere la privacy con la segretezza.== Sappiamo cosa succede in bagno, ma comunque tu chiudi la porta. Questo perché vuoi la privacy, non la segretezza. Ci sono sempre alcuni fatti che ci riguardano—per esempio, informazioni sulla salute personale o sulle abitudini sessualiche non vorremmo che il mondo intero conoscesse, ed è giusto così. La necessità di privacy è legittima, ed è questo che ci rende umani. La privacy consiste nel rafforzare i diritti sulle proprie informazioni, non nel nascondere i segreti.
==Non dovresti confondere la privacy con la segretezza.== Sappiamo cosa succede in bagno, eppure chiudi comunque la porta. Questo perché vuoi privacy, non segretezza. Ci sono sempre alcuni fatti che ci riguardano, ad esempio, le informazioni sanitarie o le abitudini sessuali, che non vogliamo siano note al mondo intero, ed è giusto così. La necessità di privacy è legittima, ed è ciò che ci rende umani. La privacy consiste nell'emancipare i tuoi diritti sulle tue informazioni, non nel nascondere i segreti.
## La privacy è controllo?
Una definizione comune di privacy è che si tratta della possibilità di *controllare* chi ha accesso ai tuoi dati. È una trappola in cui è facile caderci, infatti è la definizione di privacy su cui abbiamo gestito questo sito per molto tempo. Sembra bello, piace a molte persone, ma in pratica non funziona.
Una definizione comune di privacy è che sia l'abilità di *controllare* chi ha accesso ai propri dati. È una trappola in cui è facile cadere, difatti, è la definizione di privacy che abbiamo adoperato su questo sito web per molto tempo. Sembra bello, e piace a molte persone ma, in pratica, non funziona.
Prendi i moduli di consenso per i cookie ad esempio. Potresti trovarli decine di volte al giorno sui vari siti web che visiti, con una bella serie di caselle e slider che ti consentono di "selezionare" le preferenze per adattarle alle tue esigenze. Alla fine, ci limitiamo a cliccare il pulsante "Accetto", perché vogliamo solo leggere l'articolo o fare un acquisto. Nessuno vuole completare una verifica della propria privacy personale su ogni singolo sito web che visita. Si tratta di un esercizio di [architettura delle scelte](https://en.wikipedia.org/wiki/Choice_architecture), progettato per farvi prendere la via d'uscita più veloce invece di addentrarvi in un labirinto di opzioni di configurazione che non hanno bisogno di esistere in primo luogo.
Ad esempio, considera i moduli di consenso per i cookie. Potresti incontrarli dozzine di volte al giorno su vari siti web che visiti, con una bella serie di caselle e cursori che ti consentono di "curare" le tue preferenze, affinché si adeguino esattamente alle tue esigenze. Alla fine, ci limitiamo a cliccare sul pulsante "Acconsento", perché vogliamo soltanto leggere l'articolo o effettuare un acquisto. Nessuno desidera completare un controllo sulla privacy personale su ogni singolo sito web che visita. Questo è un esercizio di [architettura delle scelte](https://en.wikipedia.org/wiki/Choice_architecture), progettato per farti intraprendere la scelta facile, invece di addentrarti in un labirinto di opzioni di configurazione, che non necessitano di esistere in primo luogo.
==Il controllo della tua privacy all'interno della maggior parte delle app è soltanto un'illusione.== È un'interfaccia scintillante con ogni tipo di scelta che si può fare con i propri dati, ma raramente riesci a trovare le scelte che stai effettivamente cercando, come "usa i miei dati solo per aiutarmi" Questo tipo di controllo ha lo scopo di farti sentire in colpa per le tue scelte, perché "potevi scegliere" di rendere private le app che utilizzi di solito e hai deciso di non farlo.
==Il controllo della tua privacy in molte app è un'illusione.== È un'interfaccia scintillante con ogni sorta di scelte che puoi effettuare sui tuoi dati, ma raramente contenente le scelte che cerchi, come "utilizza i miei dati soltanto per aiutarmi." Questo tipo di controllo ha lo scopo di farti sentire in colpa per le tue scelte: "potevi scegliere" di rendere più private le app che utilizzi, ma hai deciso di non farlo.
La privacy è un elemento che deve essere integrato nei [ software e nei servizi](../tools.md) che utilizziamo di default; non puoi rendere la maggior parte delle app private da solo.
La privacy dev'essere integrata nei [software e servizi](../tools.md) che utilizziamo di default, non puoi rendere private gran parte delle app, da solo.
## Fonti
- [Perchè la Privacy è importante](https://www.amazon.com/Why-Privacy-Matters-Neil-Richards/dp/0190939044) (2021) di Neil Richards
- [Il nuovo petrolio: Perchè la privacy & la sicurezza sono importanti](https://thenewoil.org/en/guides/prologue/why/)
- [Il nuovo petrolio: Perchè la privacy e la sicurezza contano](https://thenewoil.org/en/guides/prologue/why/)
- [@Thorin-Oakenpants su GitHub](https://github.com/privacytools/privacytools.io/issues/1760#issuecomment-597497298)