Nel 2025 l’utente medio ha affidato al proprio cloud preferito molto più di quanto immagina: la scansione della carta d’identità, il 730, il contratto di affitto, foto che non vorrebbe mai mostrare a nessuno, backup completi del telefono, documenti di lavoro riservati. In molti casi, tutto questo convive serenamente nella stessa cartella.
Lo facciamo perché è comodo, perché funziona, perché ci fidiamo dell’aura di infallibilità che circondano le varie Google, Apple, Microsoft e Amazon. Se ci dicono che i nostri dati sono al sicuro, siamo portati a crederci. E tecnicamente non mentono: sì, è tutto cifrato. Ma c’è un dettaglio che raramente viene dichiarato con la stessa chiarezza: le chiavi di cifratura non sono nelle nostre mani!
Perché la cifratura “non basta”
La narrazione comune è che la cifratura sia sinonimo di sicurezza assoluta. Nel marketing funziona, nella realtà molto meno. La differenza la fa il controllo della chiave: se a detenerla è il fornitore del servizio, allora la protezione non è realmente end-to-end. Significa che:
– i dati possono essere tecnicamente decifrati da chi gestisce l’infrastruttura;
– eventuali dipendenti, partner o attori malevoli che ottengono accesso privilegiato possono leggere ciò che crediamo protetto;
– richieste governative o legali possono forzare la consegna dei contenuti, senza che l’utente ne venga informato.
In altre parole, la promessa di sicurezza è condizionata: finché tutto va bene, funziona. Il problema è che in cybersecurity “tutto va bene” non è mai un presupposto affidabile.
La vera domanda é: di chi ci fidiamo?
Le Big Tech investono enormi risorse nella protezione dei loro sistemi, questo è innegabile, ma il modello di fiducia non cambia: l’utente delega completamente il controllo dei propri dati. E quando la superficie di attacco è così ampia, non è più solo una questione tecnica ma anche di governance, processi interni, politiche aziendali e pressioni esterne. Nel 2025 la consapevolezza sta crescendo, ma molto lentamente. La maggior parte delle persone carica documenti sensibili senza porsi domande basilari come:
– chi può accedere ai miei file oltre a me?
– cosa succede se un dipendente malintenzionato sfrutta il suo accesso interno?
– i miei dati possono essere usati per addestrare sistemi di machine learning?
– posso davvero cancellare un file in modo definitivo?
Sono domande scomode … ma necessarie.
L’alternativa è riprendersi le chiavi
Negli ultimi anni sono nati servizi che applicano la cifratura end-to-end reale, in cui la chiave è generata e custodita dall’utente. Il fornitore non può leggere i dati e, anche se volesse, non avrebbe i mezzi tecnici per farlo. Questo approccio riduce drasticamente il rischio e ribalta il paradigma: non più “fidati di noi”, ma “non devi fidarti di nessuno, nemmeno di noi”.
Implementarlo non è complesso quanto sembra, e spesso significa solo scegliere strumenti diversi. Per un professionista o per un’azienda, però, comporta un cambiamento culturale: comprendere che la comodità non può essere l’unico criterio di scelta quando in gioco ci sono informazioni sensibili.
Concludendo
Il cloud non è il nemico, la mancanza di consapevolezza, sì. Affidare gigabyte di vita privata o aziendale a un servizio che detiene le chiavi dei nostri dati è oggi uno dei rischi più sottovalutati. Non si tratta di paranoia, ma di responsabilità. La sicurezza non è mai un interruttore da attivare: è un processo, e inizia da una scelta semplice ma cruciale — pretendere il controllo.