Le tue email viaggiano in chiaro? Probabilmente si'. Ecco come funziona la crittografia email, perche' e' importante per il GDPR e cosa puoi fare oggi.
La crittografia emaile' l'insieme di tecnologie che rendono il contenuto delle email illeggibile a chiunque non sia il destinatario previsto. Senza crittografia, un'email e' come una cartolina: chiunque la intercetti durante il trasporto puo' leggerla.
Il problema e' che l'email e' stata progettata negli anni '70 senza alcuna considerazione per la sicurezza. Il protocollo SMTP originale trasmette tutto in chiaro. Le tecnologie di crittografia sono state aggiunte dopo, come strati di protezione sopra un sistema fondamentalmente insicuro.
Oggi esistono tre approcci principali: TLS per la crittografia in transito, S/MIME e PGP per la crittografia end-to-end. Ognuno ha vantaggi e limiti.
Crittografia in transito
TLS cripta la connessione tra i server email durante il trasporto. E' come mettere la cartolina in una busta: durante il viaggio nessuno puo' leggerla. Ma una volta arrivata al server del destinatario, il messaggio e' di nuovo in chiaro.
La maggior parte dei provider email moderni supporta TLS, ma il problema e' che e' spesso opportunistico: se il server ricevente non supporta TLS, l'email viene inviata in chiaro senza avvisarti. Non c'e' garanzia che la crittografia venga effettivamente applicata.
Pro
Trasparente, automatico, nessun setup utente
Contro
Non end-to-end, opportunistico, il server vede il contenuto
Crittografia end-to-end con certificati
S/MIME usa certificati digitali (come quelli dei siti web HTTPS) per criptare il contenuto dell'email. Solo il destinatario con il certificato corretto puo' decifrare il messaggio. Nemmeno il server email puo' leggere il contenuto.
E' integrato in Outlook, Apple Mail e altri client. Il problema: ogni persona ha bisogno di un certificato personale, di solito a pagamento, e devi avere il certificato pubblico del destinatario prima di potergli scrivere in modo cifrato.
Pro
End-to-end, integrato nei client, firma digitale
Contro
Certificati a pagamento, setup complesso, scambio chiavi manuale
Crittografia end-to-end open source
PGP (e la sua versione open source GPG) funziona con un sistema di chiavi pubbliche e private. Ogni utente genera una coppia di chiavi: la pubblica la condivide, la privata la tiene segreta. Per inviarti un'email cifrata, uso la tua chiave pubblica; solo la tua chiave privata la puo' decifrare.
E' il metodo preferito dai tecnici e dagli attivisti, ma in ambito aziendale e' praticamente inutilizzabile: richiede software aggiuntivo, gestione manuale delle chiavi e una curva di apprendimento significativa.
Pro
Open source, gratuito, decentralizzato, end-to-end
Contro
Difficile da usare, gestione chiavi complessa, non integrato
Il GDPR (art. 32) richiede di implementare "misure tecniche adeguate" per proteggere i dati personali. La crittografia e' esplicitamente citata come esempio. Non e' un obbligo assoluto, ma in caso di data breach, l'assenza di crittografia viene considerata una negligenza dal Garante.
La direttiva NIS2, in vigore da ottobre 2024, rafforza ulteriormente questi obblighi per le aziende in settori critici, includendo la sicurezza delle comunicazioni email tra le misure necessarie.
In pratica: se invii via email dati personali, dati sanitari, informazioni finanziarie o segreti commerciali senza alcuna forma di crittografia, stai correndo un rischio legale misurabile. E la maggior parte delle email aziendali italiane viaggia ancora senza crittografia end-to-end.
MailSniper opera a livello di gateway email, aggiungendo un livello di protezione prima ancora che l'email raggiunga la tua casella. Ecco come interagisce con la crittografia:
MailSniper garantisce che tutte le connessioni email in entrata e in uscita usino TLS. Se un server non supporta TLS, puoi configurare regole per bloccare o avvisare, eliminando il problema del TLS opportunistico.
SPF, DKIM e DMARC verificano che l'email provenga davvero dal mittente dichiarato. Non e' crittografia del contenuto, ma protegge dall'impersonificazione — un rischio altrettanto grave.
Tutti i dati gestiti da MailSniper sono crittografati in transito e a riposo. L'infrastruttura Libraesva risiede in Europa, in conformita' con il GDPR.
MailSniper non sostituisce S/MIME o PGP — li integra. Mentre la crittografia end-to-end protegge il contenuto, MailSniper protegge dal phishing, malware e social engineering che la crittografia non puo' fermare.