Sicurezza Posta Elettronica

Crittografia Email Aziendale: Quando Serve, Come Attivarla e Cosa Cambia per la Compliance

Crittografia email aziendale: quando serve, come attivarla e cosa cambia per la compliance

Due mesi fa un commercialista mi ha chiamato preoccupato. Aveva letto un articolo sulla crittografia email e si era convinto che tutte le comunicazioni del suo studio fossero a rischio intercettazione. Quaranta minuti di telefonata per capire la situazione: usava Google Workspace, aveva SPF e DKIM configurati, la 2FA attiva su tutti gli account, e le email viaggiavano gia cifrate in transito con TLS. Il suo problema di sicurezza reale? Tre collaboratori che usavano la stessa password per tutto. Non la crittografia end-to-end.

Questa storia riassume il 90% delle conversazioni che ho sulla crittografia email con le PMI italiane. C'e molta confusione, molta ansia alimentata da articoli generici, e poca chiarezza su cosa serve davvero e cosa no. In questo articolo metto in ordine le cose: cos'e la crittografia email, quali tipi esistono, quando serve e quando e una complicazione inutile.

Perche tutti parlano di crittografia email (e perche la maggior parte delle PMI non ne ha bisogno)

La crittografia email e diventata un argomento caldo per due motivi. Il primo e il GDPR: il regolamento europeo parla di "misure tecniche adeguate" per proteggere i dati personali, e la crittografia e una di queste misure. Il secondo e il mercato: i vendor di sicurezza hanno tutto l'interesse a vendere soluzioni di cifratura, e lo fanno dipingendo scenari apocalittici che per la maggior parte delle PMI non sono realistici.

La realta e piu sfumata. Il GDPR non impone la crittografia end-to-end delle email. Dice che devi adottare misure "adeguate al rischio". Per uno studio legale che scambia documenti riservati via email, la crittografia end-to-end puo essere una misura adeguata. Per una PMI manifatturiera che manda ordini ai fornitori, le email sono gia protette a sufficienza dal TLS in transito -- a patto che tutto il resto sia configurato bene. Ho trattato il tema della privacy delle email aziendali in ottica GDPR in un articolo dedicato: la crittografia e una tessera del puzzle, non il puzzle intero.

TLS in transito: la crittografia che hai gia senza saperlo

Partiamo da quello che probabilmente hai gia. TLS (Transport Layer Security) e il protocollo che cifra le email mentre viaggiano dal tuo server di posta a quello del destinatario. E lo stesso tipo di protezione che vedi quando un sito web mostra il lucchetto nel browser.

Se usi Google Workspace, Microsoft 365, o la maggior parte dei provider email moderni, le tue email viaggiano gia cifrate con TLS. Non hai dovuto fare nulla per attivarlo -- e attivo di default. Google riporta che il 90% delle email in uscita e il 96% di quelle in entrata su Gmail viaggiano su connessioni TLS (dati Google Transparency Report). Microsoft 365 usa TLS 1.2 come standard su tutte le connessioni.

Cosa protegge TLS: il contenuto dell'email non puo essere letto da chi intercetta la comunicazione tra il tuo server e quello del destinatario. E come spedire una lettera in una busta sigillata invece che su una cartolina.

Cosa NON protegge TLS: l'email e leggibile dal tuo provider e dal provider del destinatario. Se qualcuno ha accesso al server di posta -- per un attacco, per un ordine giudiziario, per un errore di configurazione -- puo leggere il contenuto. TLS protegge il tragitto, non la destinazione. Per la maggior parte delle comunicazioni aziendali, questo livello di protezione e sufficiente. Ma ci sono casi in cui non basta.

Crittografia end-to-end: S/MIME vs PGP, differenze pratiche

La crittografia end-to-end fa un passo in piu: l'email viene cifrata sul dispositivo del mittente e puo essere decifrata solo dal destinatario. Nessuno nel mezzo -- neanche il provider -- puo leggere il contenuto. Esistono due standard principali: S/MIME e PGP.

S/MIME (Secure/Multipurpose Internet Mail Extensions). Funziona con certificati digitali emessi da autorita di certificazione riconosciute. Ogni utente ha un certificato personale che contiene una chiave pubblica e una chiave privata. Mandi un'email cifrata usando la chiave pubblica del destinatario; solo lui puo decifrarla con la sua chiave privata. S/MIME e integrato nativamente in Outlook, Apple Mail e nella maggior parte dei client email aziendali. Il vantaggio: non serve installare nulla in piu, funziona con i client che gia usi. Lo svantaggio: i certificati costano (dai 15 ai 50 EUR/anno per certificato personale) e devono essere gestiti -- scadono, vanno rinnovati, vanno distribuiti ai contatti.

PGP (Pretty Good Privacy) / GPG. Funziona con un sistema di chiavi pubbliche e private simile a S/MIME, ma senza autorita di certificazione centralizzata. Ogni utente genera la propria coppia di chiavi e la distribuisce direttamente ai contatti. Il vantaggio: e gratuito e non dipende da nessuna autorita esterna. Lo svantaggio: e complesso da usare per utenti non tecnici. Servono plugin o client dedicati (come Thunderbird con OpenPGP integrato), la gestione delle chiavi e manuale, e se un dipendente perde la chiave privata le email cifrate diventano illeggibili per sempre.

Per una PMI, quale scegliere? Se la tua azienda ha bisogno di crittografia end-to-end -- e tra poco vediamo quando effettivamente serve -- S/MIME e la scelta pratica. Si integra con gli strumenti che gia usi, il costo dei certificati e gestibile, e la curva di apprendimento per i dipendenti e ragionevole. PGP lo consiglio solo a chi ha competenze tecniche interne e una ragione specifica per evitare autorita di certificazione centralizzate. Per la PMI media italiana, PGP e una complicazione non necessaria.

Crittografia nativa in Google Workspace e Microsoft 365

Sia Google che Microsoft hanno integrato funzionalita di crittografia nelle loro piattaforme. Vediamole per quello che sono -- senza il marketing.

Google Workspace — Confidential Mode. Quando scrivi un'email in Gmail, puoi attivare la "modalita riservata". L'email non viene consegnata come email tradizionale: il destinatario riceve un link per visualizzare il contenuto in una finestra protetta. Puoi impostare una scadenza (dopo la quale l'email non e piu accessibile), impedire l'inoltro, la copia, il download e la stampa, e richiedere un codice di verifica via SMS. Suona bene. La realta: non e crittografia end-to-end. Google puo ancora leggere il contenuto. E una forma di DRM (controllo degli accessi), non di cifratura vera. Utile per mandare informazioni sensibili a destinatari esterni con un livello di controllo in piu, ma non e la soluzione per chi ha bisogno di crittografia reale. Google offre anche S/MIME nativo, ma solo nei piani Enterprise -- non nei piani Business che usa la maggior parte delle PMI. I piani Enterprise hanno pricing personalizzato su richiesta (dal 2024 non esiste piu un listino pubblico -- devi contattare le vendite Google per un preventivo).

Microsoft 365 — OME e S/MIME. Microsoft 365 offre due strumenti. OME (Office 365 Message Encryption) funziona in modo simile al Confidential Mode di Google: il destinatario riceve un link per visualizzare l'email in una pagina web protetta. E incluso nei piani Business Premium (circa 20 EUR/utente/mese) e nei piani E3/E5. Non richiede che il destinatario abbia Microsoft 365 -- funziona con qualsiasi provider. S/MIME e disponibile su tutti i piani Microsoft 365 Business, ma richiede la configurazione dei certificati per ogni utente tramite la console admin di Exchange Online. Microsoft non fornisce i certificati -- devi acquistarli separatamente da un'autorita di certificazione. La configurazione di Outlook con S/MIME e relativamente semplice una volta che i certificati sono in posizione, ma la gestione dei certificati su scala (rinnovo, distribuzione, revoca) richiede attenzione.

Ho messo le due piattaforme a confronto in un articolo dedicato: le differenze sulla crittografia sono una delle tante variabili da considerare nella scelta.

Quando la crittografia email serve davvero

Dopo tutta questa teoria, arriviamo al punto che interessa: quando una PMI italiana ha davvero bisogno di crittografia end-to-end? Ci sono settori e situazioni specifiche dove la risposta e si.

Studi legali. Le comunicazioni tra avvocato e cliente sono coperte dal segreto professionale. Un'email intercettata che contiene la strategia difensiva di un cliente e un danno potenzialmente enorme. Gli studi legali strutturati dovrebbero usare S/MIME almeno per le comunicazioni con i clienti su casi sensibili.

Commercialisti e consulenti fiscali. Dichiarazioni dei redditi, dati patrimoniali, situazioni societarie -- sono dati personali sensibili ai sensi del GDPR. Non tutte le email di un commercialista hanno bisogno di cifratura, ma quelle che contengono documentazione fiscale dei clienti si.

Sanita. Dati sanitari, referti, comunicazioni tra medico e paziente. Il GDPR classifica i dati sanitari come "categorie particolari" che richiedono protezione rafforzata. Se invii referti via email -- cosa che molti ambulatori e laboratori fanno -- la crittografia end-to-end non e un'opzione, e un obbligo pratico.

Aziende che trattano dati sensibili GDPR in volume. Se la tua azienda gestisce dati biometrici, dati giudiziari, dati sull'orientamento politico o religioso, o altri dati di categoria particolare, e le email sono un canale di trasmissione di questi dati, la crittografia end-to-end e una misura tecnica che il Garante si aspetta di trovare in caso di ispezione. Ne parlo anche nell'articolo sulla conservazione delle email: proteggere non basta, devi anche dimostrare come le proteggi.

Comunicazioni con l'estero su proprieta intellettuale. Se scambi progetti, brevetti, formule o segreti industriali via email con partner esteri, la crittografia end-to-end protegge il contenuto anche se il traffico transita per infrastrutture di paesi con standard di privacy diversi dai nostri.

Quando NON serve: la verita che pochi dicono

E qui devo essere onesto, anche se so che non e la risposta che molti vendor vorrebbero sentire.

La maggior parte delle PMI italiane non ha bisogno di crittografia end-to-end per le email. Un'azienda manifatturiera che manda ordini, conferme, fatture e comunicazioni operative ai propri fornitori e clienti e gia protetta a sufficienza dal TLS in transito. Il rischio reale di intercettazione del traffico email tra due provider che usano TLS e estremamente basso -- e comunque molto piu basso del rischio che un dipendente clicchi su un'email di phishing e consegni le credenziali a un attaccante.

Lo dico con i numeri: nella mia esperienza con PMI italiane, i problemi di sicurezza email che ho gestito in 15 anni di consulenza sono stati causati nel 95% dei casi da password deboli, phishing, mancanza di 2FA, e configurazioni DNS sbagliate. Zero casi di intercettazione del traffico email in transito. Zero. Il problema non e il contenuto che viaggia -- e la porta di casa che rimane aperta.

Aggiungere crittografia end-to-end a un'azienda che non ha ancora configurato SPF, DKIM e DMARC, che non usa la 2FA, e che non forma i dipendenti sul phishing e come installare un sistema di allarme in una casa senza serrature. Puoi farlo, ma stai risolvendo il problema sbagliato.

Come attivare la crittografia su Google Workspace e Microsoft 365

Se hai valutato che la crittografia end-to-end ti serve, ecco come attivarla sulle due piattaforme piu usate dalle PMI.

Google Workspace — Confidential Mode (tutti i piani):

  1. E gia attivo di default. Quando componi un'email in Gmail, clicca sull'icona del lucchetto con l'orologio in basso.
  2. Imposta la scadenza e, se vuoi, il codice SMS di verifica.
  3. Invia. Il destinatario riceve un link invece dell'email completa.

Ricorda: non e crittografia end-to-end vera. E controllo degli accessi.

Google Workspace — S/MIME (solo piani Enterprise):

  1. Nella console Admin, vai a App > Google Workspace > Gmail > Impostazioni utente.
  2. Attiva S/MIME nella sezione dedicata.
  3. Ogni utente deve caricare il proprio certificato S/MIME nelle impostazioni di Gmail.
  4. I certificati devono essere acquistati separatamente (Actalis, Sectigo, DigiCert sono i fornitori piu usati in Italia -- Actalis offre certificati S/MIME gratuiti per uso personale).

Microsoft 365 — OME (piani Business Premium, E3, E5):

  1. OME si attiva dalla console admin di Exchange Online, sezione Regole del flusso di posta.
  2. Puoi creare regole che cifrano automaticamente le email in base a criteri: destinatario esterno, parole chiave nell'oggetto, presenza di allegati specifici.
  3. Oppure l'utente puo cifrare manualmente: in Outlook, nella composizione dell'email, clicca su Opzioni > Crittografia > Crittografa.
  4. Il destinatario riceve un'email con un link per visualizzare il contenuto protetto.

Microsoft 365 — S/MIME (tutti i piani Business):

  1. Acquista i certificati S/MIME per ogni utente che deve cifrare.
  2. Nella console admin di Exchange Online, carica i certificati per ogni utente oppure lascia che ogni utente carichi il proprio in Outlook.
  3. In Outlook desktop: File > Opzioni > Centro protezione > Impostazioni Centro protezione > Sicurezza email. Qui configuri il certificato S/MIME.
  4. Da quel momento, puoi firmare digitalmente e cifrare le email con un clic.

Un punto pratico che molti trascurano: la crittografia end-to-end funziona solo se anche il destinatario ha un certificato S/MIME e te lo ha condiviso. Se mandi un'email cifrata a qualcuno che non ha S/MIME configurato, l'email non parte. Questo significa che devi coordinarti con i tuoi interlocutori -- e per una PMI che comunica con decine di fornitori e clienti diversi, questo coordinamento puo diventare un freno operativo significativo.

Costi e complessita reali

Metto i numeri sul tavolo, come faccio sempre.

TLS in transito: gratuito. Gia incluso in qualsiasi provider moderno. Costo di gestione: zero.

Confidential Mode Google / OME Microsoft: incluso nei piani che probabilmente hai gia (Confidential Mode in tutti i piani Workspace, OME nel Business Premium). Costo aggiuntivo: zero se sei gia sul piano giusto. Se devi passare da Business Starter a Business Premium su Microsoft 365, il salto e da circa 5 a circa 20 EUR/utente/mese.

S/MIME: certificati personali da circa 15 a 50 EUR/anno per utente, a seconda del fornitore e del livello di validazione. Per 10 utenti: da 150 a 500 EUR/anno. Piu il tempo di configurazione iniziale (calcola mezza giornata per un consulente) e la gestione dei rinnovi annuali.

PGP/GPG: gratuito come software. Ma il costo reale e nel tempo: formazione degli utenti, gestione delle chiavi, supporto quando qualcuno perde la chiave o non riesce a decifrare un'email. Per una PMI senza reparto IT interno, il costo nascosto di PGP supera quello dei certificati S/MIME nel giro di pochi mesi.

La complessita non e solo tecnica. E organizzativa. Ogni nuovo dipendente ha bisogno di un certificato. Ogni certificato scade e va rinnovato. Ogni interlocutore esterno con cui vuoi comunicare in modo cifrato deve avere un certificato compatibile. E quando qualcosa non funziona -- e succede -- serve qualcuno che sappia diagnosticare il problema. Per uno studio legale con 5 avvocati e un consulente IT di fiducia, e gestibile. Per una PMI con 30 dipendenti e nessun IT interno, puo diventare un incubo operativo.

Il mio punto di vista: la crittografia e l'ultimo miglio

Dopo 15 anni di consulenza IT con le PMI, ho una posizione chiara su questo tema. La crittografia end-to-end e l'ultimo miglio della sicurezza email -- non il primo. E la cosa che fai quando tutto il resto e gia a posto.

Il primo miglio e configurare SPF, DKIM e DMARC sul tuo dominio. Senza questi tre record DNS, le tue email possono essere falsificate da chiunque, e le email legittime che invii rischiano di finire nello spam. L'ho visto decine di volte: aziende che si preoccupano della crittografia ma non hanno nemmeno un record SPF. E come preoccuparsi delle intercettazioni telefoniche quando la porta dell'ufficio e aperta.

Il secondo miglio e la 2FA su tutti gli account email. Una password rubata con un attacco di phishing da accesso completo alla casella -- e a quel punto la crittografia in transito non serve a nulla, perche l'attaccante legge le email direttamente dalla webmail. La 2FA blocca questo scenario nel 99% dei casi.

Il terzo miglio e la formazione. I dipendenti devono sapere riconoscere un'email di phishing, non condividere le password, non aprire allegati sospetti. Nessuna tecnologia compensa un utente che clicca su "Aggiorna la tua password" in un'email che viene da un dominio con tre lettere sbagliate.

Il quarto miglio e il backup delle email. Se perdi tutto, devi poter ripristinare. La crittografia protegge il contenuto in transito, ma non protegge dalla cancellazione, dal ransomware o dall'errore umano.

Il quinto miglio -- solo dopo i primi quattro -- e la crittografia end-to-end. Se hai fatto tutto il resto e hai un motivo specifico per cifrare (settore regolamentato, dati sensibili, segreti industriali), allora ha senso investire in S/MIME o in una soluzione OME. Se non hai fatto i primi quattro passi, spendere tempo e soldi sulla crittografia end-to-end e una scelta di priorita sbagliata.

Non lo dico per scoraggiare nessuno. Lo dico perche ho visto troppe aziende comprare soluzioni di crittografia costose mentre i dipendenti usavano "password123" come password dell'email. La sicurezza si costruisce dal basso, non dall'ultimo piano. E la crittografia e l'ultimo piano.

Se vuoi capire da dove partire per mettere in sicurezza le email della tua azienda -- dalla configurazione DNS alla formazione, passando per la scelta dell'infrastruttura giusta -- qui spiego come lavoro con le PMI sulla sicurezza email aziendale.

Potrebbe interessarti