Web Key Directory: la tecnologia che ogni dominio di posta elettronica dovrebbe adottare per garantire autenticità e sicurezza delle comunicazioni - TL;DR

Perché la crittografia è il fondamento della privacy digitale

La crittografia è la tecnologia che trasforma informazioni leggibili in codice incomprensibile per chiunque non possieda la chiave di decodifica. È ciò che protegge le transazioni bancarie, le comunicazioni governative e i dati sanitari. Nel contesto del GDPR europeo, la crittografia forte permette anche il trasferimento di dati personali fuori dall’UE: quando i dati sono adeguatamente crittografati, le persone non sono più identificabili, semplificando la conformità normativa per le comunicazioni internazionali. Eppure, paradossalmente, la tecnologia di comunicazione più utilizzata al mondo – la posta elettronica – rimane largamente non crittografata, esponendo miliardi di messaggi quotidiani a potenziali intercettazioni. Questo articolo esplora come il protocollo Web Key Directory (WKD) risolva finalmente questo paradosso, rendendo la crittografia delle email semplice e automatica: proprio come oggi visitiamo siti web sicuri (HTTPS) senza dover fare nulla di speciale, con WKD anche le email vengono crittografate automaticamente senza alcun intervento dell’utente.

Il Problema Fondamentale che Tutti Affrontiamo

Ogni giorno, miliardi di e-mail attraversano internet trasportando informazioni sensibili: contratti, referti medici, documenti finanziari, conversazioni personali. Eppure la maggior parte di questi messaggi viaggia completamente in chiaro, leggibile come una cartolina per chiunque li intercetti. La tecnologia per crittografare le e-mail esiste dal 1991 con PGP (Pretty Good Privacy) software freeware realizzato da Philip Zimmermann, ma dopo tre decenni, le e-mail crittografate rimangono l’eccezione piuttosto che la regola.

flowchart TB Title["📧 FLUSSO EMAIL TRADIZIONALE (NON CRITTOGRAFATA)"] Title --> Flow subgraph Flow[" "] Mittente["👤 MITTENTE
Invia in testo chiaro"] Mittente -->|"📝 TESTO CHIARO"| Internet subgraph Internet["🌐 INTERNET"] direction TB Exposed["⚠️ EMAIL ESPOSTA A:
━━━━━━━━━━━━
• ISP (Provider Internet)
• Server di posta
• Hacker/Intercettatori
• Agenzie governative
• Data broker
━━━━━━━━━━━━
Possono leggere, copiare
salvare e analizzare"] end Internet -->|"📝 TESTO CHIARO"| Destinatario Destinatario["👤 DESTINATARIO
Riceve in testo chiaro"] end Flow --> Warning Warning["🚨 ATTENZIONE
━━━━━━━━━━━━━━━━━━
Ogni passaggio può leggere, salvare e analizzare il tuo messaggio
I dati rimangono esposti indefinitamente su server multipli"] style Title fill:#dc2626,color:#fff style Flow fill:transparent,stroke:none style Mittente fill:#fef3c7,stroke:#f59e0b,stroke-width:2px style Internet fill:#fee2e2,stroke:#dc2626,stroke-width:3px style Exposed fill:#fecaca,color:#7f1d1d style Destinatario fill:#fef3c7,stroke:#f59e0b,stroke-width:2px style Warning fill:#991b1b,color:#fff,stroke:#dc2626,stroke-width:3px

Perché? La risposta sta in un problema ingannevolmente semplice: la distribuzione delle chiavi.

Immagina di volermi inviare un messaggio crittografato. Per farlo, hai bisogno della mia chiave pubblica - pensala come un lucchetto aperto che solo io posso sbloccare. Ma come ottieni questa chiave? Come puoi essere certo che sia davvero la mia e non quella di un impostore? Questa sfida ha paralizzato l’adozione della crittografia e-mail per decenni, lasciando le nostre comunicazioni digitali vulnerabili.

graph TB A[Mittente] -.->|"Come ottengo la tua chiave?
Come verifico che sia la tua?
Dove dovrei cercarla?"| B[Destinatario] style A fill:#f9f9f9 style B fill:#f9f9f9

Le soluzioni tradizionali hanno tutte fallito.

Lo scambio manuale di chiavi funziona tra individui ma non scala.

I keyserver centralizzati sono diventati inquinati da chiavi false e sollevano serie preoccupazioni sulla privacy - chiunque può vedere con chi ti stai preparando a comunicare in modo sicuro. I profili social media che dichiarano di contenere chiavi sono banalmente falsificabili.

Il risultato? La maggior parte delle persone semplicemente rinuncia del tutto alla crittografia e-mail.

L’Avvento del Web Key Directory

Web Key Directory (WKD) rappresenta un ripensamento fondamentale di come distribuiamo le chiavi crittografiche.

Invece di affidarsi a keyserver di terze parti o scambio manuale, il protocollo WKD sfrutta qualcosa che già abbiamo: il sistema dei nomi di dominio e l’infrastruttura HTTPS che alimenta il web moderno.

Ho esplorato questa tecnologia in profondità già nel febbraio 2023, pubblicando “Identità digitale: Web Key Directory come possibile soluzione” in tempi non sospetti, quando pochi discutevano del potenziale di WKD. Quell’articolo gettò le basi per comprendere WKD non solo come protocollo tecnico, ma come cambiamento fondamentale nel modo in cui affrontiamo l’identità digitale e la comunicazione sicura.

Ho continuato a sviluppare questi temi anche nel mio ultimo libro “Intelligenza Artificiale, Privacy e Reti Neurali: L’equilibrio tra innovazione, conoscenza ed etica nell’era digitale”, dove esploro come la verifica crittografica dell’identità diventi ancora più critica in un futuro dominato dall’IA dove distinguere le comunicazioni umane da quelle delle macchine è essenziale.

La forza del WKD sta nella sua eleganza funzionale, fondata sulla semplicità. Quando si controlla un dominio - diciamo esempio.com - già si dimostra questo controllo attraverso la capacità di configurare record DNS e servire contenuti via HTTPS. WKD si basa su questa relazione di fiducia esistente. Se ci si fida abbastanza di esempio.com, tanto da inviare e-mail ai suoi account, ci si può fidare delle chiavi crittografiche pubblicate sulla sua infrastruttura.

Ecco come funziona in pratica: quando si compone un’e-mail per alice@esempio.com, il client e-mail interroga automaticamente un URL specifico sul server di esempio.com. Se Alice ha pubblicato lì la sua chiave, il client del mittente la scarica, la verifica e abilita la crittografia - tutto senza che si muova un dito. Nessuna ricerca manuale, nessuna verifica del fingerprint della chiave tramite telefonate, nessuna autorità centralizzata.

La crittografia semplicemente si realizza.

sequenceDiagram participant Utente participant Cliente-mail as Client e-mail participant ServerWKD as Server WKD Utente->>Cliente-mail: Componi e-mail per alice@esempio.com Cliente-mail->>Cliente-mail: Calcola URL WKD
SHA1("alice") → z-base32 Cliente-mail->>ServerWKD: Richiesta HTTPS a:
openpgpkey.esempio.com/.well-known/... ServerWKD-->>Cliente-mail: Restituisce chiave pubblica di Alice Cliente-mail->>Cliente-mail: Verifica chiave Cliente-mail-->>Utente: e-mail crittografata automaticamente ✓ Note over Utente,ServerWKD: Tempo totale: ~1 secondo
Zero interazione utente

Perché Questo è più importante che mai: la battaglia globale per la crittografia

Come membro della Global Encryption Coalition, ho testimoniato in prima persona come la crittografia sia diventata la linea di difesa principale per i diritti umani nell’era digitale.

La Coalition, che rappresenta oltre 400 organizzazioni e individui in più di 100 paesi, comprende una verità fondamentale: la crittografia non è solo uno strumento tecnico—è una pietra angolare della democrazia, della privacy e della dignità umana.

Viviamo in un’era di sorveglianza digitale senza precedenti e di violazioni di dati.

Ogni e-mail non crittografata che si invia crea registrazioni permanenti che potrebbero essere esposte, vendute o citate in giudizio anni da ora.

Vanno considerate le implicazioni:

flowchart TB Start["📧 EMAIL NON CRITTOGRAFATA"] Start --> Journey subgraph Journey[" "] Tu["👤 Bob"] Tu -->|"📨 Invia email"| Access subgraph Access["⚠️ CHI PUÒ ACCEDERE"] List["INFRASTRUTTURA:
• Bob ISP + Alice ISP
• Mail server (entrambi)
• Backup e archivi
• Filtri spam/antivirus
• Provider cloud

SORVEGLIANZA:
• Programmi governativi
• Servizi intelligence
• Data broker

CRIMINALI:
• Hacker
• Dipendenti infedeli"] end Access -->|"📨 Email esposta"| Dest Dest["👤 Alice"] end Journey --> Warning Warning["
🚨 RISULTATO FINALE
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
L'email 'privata' viene:
📋 Copiata da 10+ entità diverse
💾 Salvata indefinitamente sui loro server
🔍 Analizzata continuamente per vari scopi
📁 Archiviata per anni o per sempre
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
"] style Start fill:#1e40af,color:#fff,stroke:#1e3a8a,stroke-width:2px style Journey fill:transparent,stroke:#6b7280,stroke-width:2px style Tu fill:#fbbf24,stroke:#f59e0b,stroke-width:2px style Access fill:transparent,stroke:#f59e0b,stroke-width:3px style List fill:#ffffff,color:#000,stroke:#e5e7eb style Dest fill:#fbbf24,stroke:#f59e0b,stroke-width:2px style Warning fill:#ef4444,color:#fff,stroke:#dc2626,stroke-width:3px

Le tue discussioni mediche con i dottori, conversazioni legali con avvocati, negoziazioni aziendali, relazioni personali - tutte preservate indefinitamente in testo chiaro su server multipli.

Il protocollo WKD cambia questa dinamica fondamentalmente.

Quando implementato correttamente, rende le e-mail crittografate tanto semplici quanto quelle non crittografate.

Il tuo client e-mail gestisce tutto automaticamente, trasformando l’e-mail da un mezzo insicuro a un canale di comunicazione privato.

Non si tratta solo di proteggere segreti; si tratta di preservare il diritto umano fondamentale alla corrispondenza privata nell’era digitale.

Inoltre, il protocollo WKD affronta la crisi di verifica dell’identità che affrontiamo online.

L’e-mail spoofing - dove gli attaccanti inviano messaggi che sembrano provenire da fonti fidate - costa alle aziende miliardi ogni anno e abilita innumerevoli truffe.

Quando WKD è combinato con firme digitali, i destinatari possono verificare crittograficamente che i messaggi provengano genuinamente dal mittente dichiarato.

Niente più frodi del CEO, niente più attacchi di phishing che impersonano la tua banca, niente più incertezza se quel messaggio urgente dall’IT sia legittimo.

I vantaggi strategici dell’implementazione

Per le organizzazioni, il protocollo WKD offre benefici convincenti oltre alla semplice crittografia.

Infatti, dimostra competenza tecnica e impegno per la sicurezza, fattori sempre più importanti nelle relazioni commerciali. Quando i clienti vedono che la tua organizzazione ha implementato correttamente il protocollo WKD, capiscono che prendi sul serio la protezione dei dati.

Questo può essere un fattore decisivo nelle attività.

❌ Keyserver Tradizionale✅ Web Key Directory (WKD)
🚫Caricamento Non Autenticato
Chiunque può caricare chiavi a nome tuo
Rischio: impersonificazione
🔒Controllo del Proprietario
Solo chi controlla il dominio può pubblicare
Garanzia di autenticità
Nessuna Verifica
Zero controlli sulla proprietà dell'email
Rischio: furto d'identità
Verifica HTTPS
Certificato SSL conferma l'autenticità
Verifica crittografica
👁️Privacy Compromessa
Grafo sociale pubblicamente visibile
Metadati esposti
🛡️Privacy Preservata
Nessun database pubblico o tracciamento
Totale privacy
🔗Dati Immutabili
Impossibile rimuovere chiavi caricate
Chiavi compromesse per sempre
🔄Gestione Completa
Controllo su aggiornamenti e revoche
Ciclo di vita gestibile
🎯Centralizzato
Server centrali come punto di fallimento
Rischio: interruzioni globali
🌐Decentralizzato
Ogni nome a dominio è indipendente
Resilienza massima
📊 Conclusione: WKD risolve i problemi critici di sicurezza, privacy e controllo dei keyserver tradizionali, offrendo un'alternativa moderna e affidabile per la distribuzione delle chiavi PGP.

Le implicazioni per la privacy sono altrettanto significative.

A differenza dei keyserver tradizionali, WKD non rivela nulla sui tuoi pattern di comunicazione.

Non c’è un database centrale che traccia chi cerca le chiavi di chi, nessun registro pubblico delle tue preparazioni per comunicazioni sicure.

Controlli le tue chiavi sulla tua infrastruttura, mantenendo completa sovranità sulla tua identità crittografica.

Considera anche il panorama normativo.

Con il GDPR in Europa, il CCPA in California e regolamenti simili che si diffondono globalmente, le organizzazioni affrontano crescente responsabilità per le violazioni dei dati. Le comunicazioni crittografate riducono significativamente questo rischio.

Se le e-mail crittografate vengono compromesse, gli attaccanti ottengono testo cifrato illeggibile piuttosto che informazioni utilizzabili.

Il protocollo WKD rende questa protezione realizzabile su scala.

Il contesto italiano e la certezza dell’identità digitale

Nel contesto italiano, dove l’identità digitale è già regolamentata attraverso SPID e CIE, WKD offre un livello complementare ma fondamentale di verifica. Mentre SPID e CIE forniscono un’identità verificata dal governo per i servizi pubblici, WKD estende questa certezza alle comunicazioni quotidiane via e-mail.

Si pensi alle implicazioni per i professionisti italiani. Un avvocato che comunica con clienti su questioni sensibili, un commercialista che invia documenti fiscali, un notaio che coordina transazioni immobiliari - tutti questi professionisti gestiscono informazioni che richiedono non solo riservatezza ma anche certezza sull’identità. WKD fornisce entrambe, senza dipendere da infrastrutture governative o servizi commerciali.

La conformità al GDPR diventa anche più semplice. Quando si implementa WKD, si dimostra di aver messo in atto misure tecniche e organizzative adeguate per proteggere i dati personali - un requisito fondamentale del regolamento (art. 32 del GDPR). Non è solo una questione di evitare sanzioni; è dimostrare rispetto per i dati che sono stati affidati al soggetto che effettua il trattamento.

Comprendere l’architettura tecnica

La bellezza tecnica della WKD sta nel modo in cui riutilizza l’infrastruttura web esistente per la distribuzione delle chiavi.

Piuttosto che creare nuovi protocolli o sistemi, usa ciò che esiste: DNS, HTTPS e serving di file statici.

Struttura Directory WKD (Metodo Advanced)

openpgpkey.esempio.com/
│
└── .well-known/
    └── openpgpkey/
        └── esempio.com/              ← Dominio e-mail
            │
            ├── policy                ← File che indica supporto WKD
            │
            └── hu/                   ← Directory "Hashed User"
                │
                ├── kwtfi7pgr93wergze6aymr9j8x1mp1wm
                │   └── [Chiave pubblica di Alice]
                │       ↑
                │       SHA1("alice") → z-base32 encoding
                │
                ├── 9hb6x5cnwqok7zn5pnx41jym5jq8wi4s
                │   └── [Chiave pubblica di Bob]
                │       ↑
                │       SHA1("bob") → z-base32 encoding
                │
                └── [altri file hash per altri utenti...]

Nota: Ogni file contiene la chiave OpenPGP binaria dell'utente
      I nomi dei file sono hash per proteggere la privacy

WKD definisce due metodi per la scoperta delle chiavi, come specificato nell’Internet-Draft aggiornato di giugno 2025 (draft-koch-openpgp-webkey-service).

Il Metodo Direct posiziona le chiavi in un sottodominio come openpgpkey.esempio.com, richiedendo un singolo record DNS e una struttura di directory semplice.

Il Metodo Advanced, che preferisco, permette di servire domini multipli da un singolo sottodominio includendo il dominio nella struttura del percorso. Questa flessibilità si rivela inestimabile per organizzazioni che gestiscono domini multipli o domini e-mail che differiscono dalla loro presenza web principale.

La posizione effettiva della chiave usa un sistema di hashing intelligente.

Invece di esporre gli indirizzi e-mail direttamente negli URL (che permetterebbe attacchi di enumerazione), WKD fa l’hash della parte locale degli indirizzi e-mail usando SHA-1 e li codifica con z-base32. Questo significa che alice@esempio.com diventa una stringa opaca come kwtfi7pgr93wergze6aymr9j8x1mp1wm, non rivelando nulla sull’indirizzo e-mail effettivo mentre permette il recupero preciso della chiave.

Considerazioni di implementazione nel mondo reale

Implementare la WKD richiede pianificazione attenta ma risorse sorprendentemente modeste. È necessario un server web capace di servire file statici su HTTPS - qualcosa che praticamente ogni organizzazione ha già (o dovrebbe avere). I requisiti di storage sono minimi; le chiavi pubbliche tipicamente misurano solo pochi kilobyte. Non c’è database da mantenere, nessuna logica applicativa complessa da debuggare, nessun versioning API da gestire.

Le considerazioni di sicurezza, tuttavia, meritano attenzione attenta. Il rate limiting diventa essenziale per prevenire attacchi di enumerazione dove gli avversari tentano di scoprire indirizzi e-mail validi controllando migliaia di hash potenziali. Gli header Cross-Origin Resource Sharing (CORS) necessitano configurazione per permettere agli strumenti web di verificare la tua implementazione WKD. Non sono requisiti complessi, ma sono facili da trascurare.

Anche la strategia di gestione delle chiavi conta. Mentre WKD gestisce la distribuzione, si ha ancora bisogno di processi per generazione, rotazione e revoca delle chiavi.

Come si gestirà le partenze dei dipendenti? E le caselle condivise?

Queste domande operative richiedono risposte prima del deployment, non dopo.

La Rivoluzione Keyoxide: oltre la semplice crittografia

WKD diventa ancora più potente quando è utilizzato insieme a Keyoxide, un progetto open source che può essere utilizzato

per verificare l’identità online delle persone, al fine di garantire che si stia interagendo con chi si suppone essere e non con dei falsi. A differenza dei passaporti reali, Keyoxide funziona con identità online o “personaggi”, il che significa che queste identità possono essere anonime e che è possibile avere più personaggi separati per proteggere la propria privacy, sia online che nella vita reale (la traduzione è nostra).

Mentre WKD prova che controlli un dominio, Keyoxide estende questa verifica attraverso le piattaforme, creando un’identità digitale crittograficamente dimostrabile che abbraccia l’intera presenza online.

🔐 STACK DI VERIFICA DELL'IDENTITÀ DIGITALE
1
📝 KEYOXIDE - Prove d'Identità
Verifica identità online decentralizzate (es.: ✓ GitHub ✓ Mastodon ✓ Sito web)
Crea un profilo pubblico con prove verificabili da multiple piattaforme
2
🔑 CHIAVE OPENPGP - Crittografia
Contiene prove crittografiche firmate digitalmente
Le prove sono incorporate nella chiave e non modificabili
3
🌐 WKD - Distribuzione Automatica
Scoperta automatica delle chiavi via HTTPS
Standard IETF per la distribuzione sicura delle chiavi
4
🛡️ HTTPS + DNS - Autenticazione
Prova crittografica della proprietà del dominio
Certificato SSL e controllo DNS verificano l'autenticità
✅ RISULTATO: Identità Digitale Non Falsificabile
Ogni livello rinforza la sicurezza del precedente

Questa combinazione affronta uno dei problemi fondamentali di internet: provare l’identità senza affidarsi ad autorità centralizzate. Quando qualcuno riceve un’e-mail, può non solo verificare che sia crittografata con chiavi dal dominio del mittente, ma anche confermare che la stessa identità crittografica controlla, ad esempio, specifici account e siti web (GitHub, Mastodon, sito web) e altre titolarità online. Ciò crea una rete di identità non falsificabile che rende l’impersonificazione virtualmente impossibile.

Le implicazioni si estendono ben oltre la sicurezza individuale.

Per i giornalisti, tutto questo significa che le fonti possono verificare che stanno davvero comunicando con chi intendono raggiungere. Per le aziende, significa che contratti e negoziazioni possono essere condotti con certezza assoluta sulle identità dei partecipanti. Per attivisti e dissidenti, significa canali di comunicazione sicuri che non dipendono dal fidarsi di terze parti.

Per chi usa servizi e-mail: Gmail, ProtonMail e Altri Provider

La distinzione fondamentale

È importante chiarire subito un punto cruciale: WKD può essere implementato solo da chi controlla un dominio e-mail.

Se si usa un indirizzo @gmail.com, @outlook.com, @protonmail.com o simili, non si può implementare WKD direttamente.

Tuttavia, questo non significa che non se ne possa beneficiarne.

Provider che supportano WKD

Per titolati di nomi a dominio: una precisazione importante

Se si è titolari di un nome a dominio (es. @azienda.com) con record MX che puntano a ProtonMail, Posteo, Mailbox.org o qualsiasi altro provider, è utile sapere che tutti i provider e-mail implementano WKD solo per i propri nomi a dominio, non per i quelli dei clienti.

Se si ha la disponibilità di un server web (anche uno spazio hosting economico è sufficiente), conviene implementare WKD per massimizzare i benefici della crittografia automatica.

Per implementare WKD servono due requisiti:

  • titolarità di un nome a dominio;
  • un server web dove pubblicare le chiavi (con supporto HTTPS).

Esempi concreti:

  • ProtonMail ha WKD per @proton.me e @protonmail.com, ma non per altri nomi a dominio;
  • Posteo ha WKD per @posteo.de, ma non per altri nomi a dominio;
  • Mailbox.org ha WKD per @mailbox.org, ma non per altri nomi a dominio;
  • E così via per tutti i provider.

Implementare la propria WKD porta vantaggi significativi:

  • gli utenti esterni possono trovare automaticamente la chiave pubblica del mittente titolare del nome a dominio;
  • ottienere tutti i benefici della scoperta automatica delle chiavi;
  • le persone non devono più cercare e verificare manualmente la chiave del mittente, titolare del nome a dominio.

Come procedere: Si può esportare la chiave pubblica dal proprio provider (ogni provider offre questa funzione nelle impostazioni) e pubblicarla via WKD sul proprio server seguendo le istruzioni in questo articolo.

Non c’è alcun conflitto: il provider gestisce il servizio e-mail, si gestisce la distribuzione della chiave pubblica - lavorano insieme perfettamente.

I Provider con Supporto WKD:

I Provider che NON supportano WKD:

  • Gmail - Nessun supporto OpenPGP nativo o WKD
  • Outlook/Microsoft - Nessun supporto WKD
  • Tuta (ex Tutanota) - Usa un sistema di crittografia proprietario, non OpenPGP, quindi nessun supporto WKD
  • Yahoo Mail - Nessun supporto WKD
  • iCloud Mail - Nessun supporto WKD

Cosa si può fare come utente

Per chi usa un provider che supporta WKD (come ProtonMail):

  • le e-mail verso domini con WKD attivo vengono crittografate automaticamente;
  • la propria chiave pubblica è automaticamente disponibile per chi usa WKD;
  • non è necessario fare nulla: tutto funziona in background.

Per chi usa un provider senza supporto WKD (come Gmail):

  1. Opzione 1: Considerare il passaggio a un provider che supporta WKD e OpenPGP;
  2. Opzione 2: Usare estensioni browser come Mailvelope o FlowCrypt;
  3. Opzione 3: Se la privacy è critica, acquistare un proprio dominio e configurare WKD.

Perché è importante

Anche se non si può implementare WKD direttamente, la scelta del provider e-mail ha conseguenze importanti:

  • Con ProtonMail o altri provider WKD-enabled, si contribuisce alla rete di comunicazioni crittografate;
  • Più persone usano provider con supporto WKD, più la rete diventa forte;
  • È un voto con il portafoglio: si supportano provider che investono in privacy e sicurezza.

Per le organizzazioni: un messaggio chiaro

Se si gestisce un’organizzazione che usa Google Workspace, Microsoft 365 o simili con dominio personalizzato (@tuaazienda.com), si può e si dovrebbe implementare WKD. Non importa quale provider e-mail si usi: se si controlla il nome a dominio, si può configurare WKD seguendo le istruzioni in questo articolo. I dipendenti potranno ricevere e-mail crittografate da chiunque usi client compatibili WKD, aumentando significativamente la sicurezza aziendale.

Come implementare e utilizzare WKD in pratica

Per gli utenti: setup iniziale

L’implementazione di WKD richiede due attori:

  • chi pubblica la chiave (tu o la tua organizzazione) e
  • chi la utilizza (i tuoi corrispondenti).

Ecco come procedere passo per passo.

Passo 1: Generare la coppia di chiavi OpenPGP

# Con GnuPG (disponibile per Windows, Mac, Linux)
gpg --full-generate-key

# Scegliere:
# - RSA e RSA (default)
# - Lunghezza chiave: 4096 bit
# - Validità: 2-3 anni (rinnovabile)
# - Nome reale: Il proprio nome
# - e-mail: indirizzo-e-mail@esempio.com

Passo 2: Esportare la chiave pubblica

# Trovare l'ID della chiave
gpg --list-keys indirizzo-e-mail@esempio.com

# Esportare in formato binario per WKD
gpg --export indirizzo-e-mail@esempio.com > chiave-pubblica.key

Passo 3: Calcolare il nome del file WKD

# Calcolare l'hash della parte locale dell'e-mail
echo -n "nome-locale" | sha1sum | cut -d' ' -f1 | python3 -c "
import sys, base64
h = bytes.fromhex(sys.stdin.read().strip())
print(base64.b32encode(h).decode().lower())"

Per gli amministratori: pubblicazione della chiave

Configurazione del server web (per esempio, nginx):

server {
    server_name openpgpkey.esempio.com;

    # Abilita HTTPS (obbligatorio)
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;

    # Configura CORS per verifica web
    location /.well-known/openpgpkey/ {
        add_header Access-Control-Allow-Origin "*";
        add_header Access-Control-Allow-Methods "GET";

        # Imposta il content-type corretto
        location ~ /hu/ {
            default_type application/octet-stream;
        }
    }

    # Rate limiting per sicurezza
    limit_req_zone $binary_remote_addr zone=wkd:10m rate=10r/s;
    limit_req zone=wkd burst=20;
}

Struttura delle directory da creare:

# Crea la struttura
mkdir -p /var/www/openpgpkey/.well-known/openpgpkey/esempio.com/hu/

# Copia la chiave con il nome hash corretto
cp chiave-pubblica.key /var/www/openpgpkey/.well-known/openpgpkey/esempio.com/hu/[hash-calcolato]

# Crea il file policy (anche vuoto)
touch /var/www/openpgpkey/.well-known/openpgpkey/esempio.com/policy

# Imposta i permessi
chmod 644 /var/www/openpgpkey/.well-known/openpgpkey/esempio.com/hu/*
chmod 644 /var/www/openpgpkey/.well-known/openpgpkey/esempio.com/policy

Come funziona nell’uso quotidiano

Scenario 1: Invio di e-mail crittografata

Quando si scrive a mario@azienda.com - ad esempio - con Thunderbird configurato:

  1. Si compone l’e-mail normalmente;
  2. Thunderbird cerca automaticamente la chiave su https://openpgpkey.esempio.com;
  3. Se trova la chiave, appare un lucchetto verde;
  4. Si clicca “Invia” e l’e-mail parte crittografata;
  5. Risultato: Solo Mario può leggere il contenuto.
flowchart TB Title["🔑 ESPERIENZA UTENTE: TRADIZIONALE vs WKD"] Title --> Compare subgraph Compare[" "] direction LR subgraph Traditional["❌ SENZA WKD"] direction TB T1["😕 'Hai la chiave PGP?'"] T2["🔍 'Dove la trovo?'"] T3["🤔 'È davvero la tua?'"] T4["📧 Scambio manuale via email/telefono"] T5["☎️ Verifica fingerprint a voce"] T6["⏱️ Tempo: 10-30 minuti"] T1 --> T2 --> T3 --> T4 --> T5 --> T6 end subgraph VS[" "] Versus["VS"] end subgraph WKD["✅ CON WKD"] direction TB W1["✍️ Scrivi email"] W2["🔐 Crittografia automatica"] W3["✨ Nessuna azione richiesta"] W4["⏱️ Tempo: 0 secondi aggiuntivi"] W1 --> W2 --> W3 --> W4 end Traditional -.-> VS VS -.-> WKD end style Title fill:#1e40af,color:#fff,stroke-width:2px style Compare fill:transparent,stroke:none style Traditional fill:#fee2e2,stroke:#dc2626,stroke-width:3px style WKD fill:#dcfce7,stroke:#16a34a,stroke-width:3px style VS fill:transparent,stroke:none style T6 fill:#ef4444,color:#fff style W4 fill:#22c55e,color:#fff

Scenario 2: Verifica firma digitale

Si riceve un’e-mail importante da fornitori@partner.com:

  1. Il client mostra automaticamente “✓ Firma Valida”
  2. Si sa con certezza matematica che:
    • Viene realmente da partner.com
    • Non è stata modificata in transito
    • Si può usare come prova legale

In un contesto WKD, ciò che è stato appena descritto è vero.

Tuttavia, al fine di evitare equivoci, è bene precisare che se un client di posta mostra un’icona tipo “✓ Firma Valida” per un’e-mail firmata digitalmente, non sempre questo garantisce con certezza matematica che:

  • L’e-mail provenga realmente dal dominio partner.com
  • Il contenuto non sia stato modificato in transito
  • La firma sia automaticamente utilizzabile come prova legale senza ulteriori verifiche

Perché la firma digitale abbia pieno valore legale e possa essere usata come prova occorre che:

  • La firma digitale sia rilasciata da un certificatore accreditato e riconosciuto (es. AgID in Italia)
  • Il certificato associato alla firma non sia scaduto, revocato o sospeso al momento della verifica
  • Venga effettuata una verifica approfondita del certificato e dell’integrità del messaggio
  • La verifica si basi sul certificato del firmatario riconosciuto dal client e corrispondente al mittente reale

In altre parole, la semplice icona “✓ Firma Valida” nel client indica che la firma è formalmente valida, ma per avere certezza matematica e valore probatorio legale bisogna accertarsi che il certificato digitale sia valido, non sospeso o revocato, e che l’identità del firmatario sia effettivamente quella dichiarata. Solo così si può considerare la firma come prova legale solida.

Scenario 3: Protezione multi-dispositivo

Si configura WKD una volta, funziona ovunque:

  • Desktop: Thunderbird, Outlook (con plugin)
  • Mobile: K-9 Mail, Faire-mail (Android); Canary Mail (iOS)
  • Webmail: Mailvelope, FlowCrypt
  • Terminal: Mutt, NeoMutt con auto-crypt

Vantaggi concreti nell’uso quotidiano

Per i professionisti:

  • Avvocati: Comunicazioni cliente-avvocato automaticamente protette;
  • Medici: Referti e consulti crittografati senza sforzo aggiuntivo;
  • Commercialisti: Documenti fiscali protetti end-to-end;
  • Notai: Atti e documenti con valore legale rafforzato.

Per le aziende:

  • Zero Training: I dipendenti non devono imparare nulla di nuovo;
  • Conformità Automatica: GDPR compliance per design;
  • Audit Trail: Ogni comunicazione verificabile crittograficamente;
  • Phishing Protection: Impossibile impersonare domini con WKD attivo.

Per gli individui:

  • Privacy by Default: Ogni e-mail potenzialmente crittografata;
  • Nessun Costo: Usa infrastruttura esistente;
  • Nessun Vendor Lock-in: Standard aperto, funziona con qualsiasi provider;
  • Controllo Totale: Tu gestisci le tue chiavi, nessun intermediario.

Si può verificare che la WKD funzioninel modo seguente:

# Test locale con GnuPG
gpg --locate-keys --auto-key-locate clear,wkd,nodefault indirizzo-e-mail@esempio.com

# Se configurato correttamente, dovrebbe scaricare automaticamente la chiave

Si possono utilizzare strumenti di validazione online:

  • Il validatore più completo disponibile

  1. Web Key Directory Validator (https://www.webkeydirectory.com/)

    • Verifica sia il metodo Direct che Advanced
    • Controlla tutti i requisiti tecnici: CORS headers, Content-Type, policy file
    • Verifica che la chiave non sia scaduta o revocata
    • Testa la disabilitazione del directory listing per sicurezza
    • Controlla il supporto per il metodo HEAD

  2. WKD Checker di dp42.dev (https://wkd.dp42.dev/)

    • Interfaccia moderna e pulita
    • Test rapido della configurazione WKD
    • Mostra informazioni dettagliate sulla chiave trovata

  3. WKD Checker di Miarecki (https://miarecki.eu/tools/wkd-checker/)

    • Strumento alternativo per verifica WKD
    • Utile per confronto e doppio controllo
    • Interfaccia semplice ed efficace

Cosa verificano questi strumenti:

  • ✓ Presenza del file policy
  • ✓ Headers HTTP corretti (200 OK)
  • ✓ CORS configurato correttamente (Access-Control-Allow-Origin: *)
  • ✓ Content-Type appropriato (application/octet-stream)
  • ✓ Chiave OpenPGP valida e non scaduta
  • ✓ User ID corrispondente all’e-mail
  • ✓ Capacità di crittografia della chiave
  • ✓ Directory listing disabilitato per sicurezza

Monitoraggio e manutenzione:

  • Controllare i log del web server per richieste WKD;
  • Rinnovare le chiavi prima della scadenza;
  • Mantienere backup sicuri delle chiavi private;
  • Documentare il processo per il team IT.

Integrazione con sistemi esistenti

WKD si integra perfettamente con:

  • Active Directory: Script PowerShell per pubblicare chiavi dei dipendenti;
  • LDAP: Sincronizzazione automatica chiavi-utenti;
  • Mail Server: Postfix/Dovecot con firma automatica in uscita;
  • Webmail: Roundcube, Zimbra con plugin OpenPGP;
  • Mobile Device Management: Distribuzione chiavi su dispositivi aziendali.

La bellezza di WKD sta nella sua semplicità operativa: una volta configurato, funziona silenziosamente in background, rendendo la crittografia e-mail trasparente come l’HTTPS ha reso sicura la navigazione web.

WKD nell’era dell’intelligenza artificiale: una difesa essenziale

La convergenza di WKD e AI rappresenta un punto di svolta critico per l’identità digitale e la sicurezza delle comunicazioni.

Come ho chiarito nel mio libro “Intelligenza Artificiale, Privacy e Reti Neurali: L’equilibrio tra innovazione, conoscenza ed etica nell’era digitale”, l’ascesa dell’AI generativa cambia fondamentalmente il panorama delle minacce per le comunicazioni digitali. WKD si trasforma da utile strumento di sicurezza a componente essenziale della verifica dell’identità umana in un mondo saturo di AI.

WKD: la prova crittografica di autenticità nell’era dell’AI

Siamo entrati in un’era in cui l’AI può imitare perfettamente stili di scrittura, generare comunicazioni aziendali convincenti e creare e-mail indistinguibili da quelle scritte da esseri umani. I modelli GPT possono analizzare le tue e-mail precedenti e riprodurre il tuo tono, vocabolario e persino i tuoi errori di battitura tipici. La sintesi vocale può falsificare chiamate telefoniche. I deepfake video possono simulare videoconferenze. In questo panorama, le firme crittografiche via WKD potrebbero diventare l’ultima prova affidabile che una comunicazione provenga genuinamente da uno specifico essere umano.

Considera le implicazioni: quando si riceve un’e-mail urgente dal CEO che richiede un bonifico, come si sa che è davvero il CEO?

Quando un fornitore invia specifiche di progetto riviste, come si può verificare che non siano state generate da un’AI addestrata su e-mail rubate?

WKD fornisce la risposta attraverso la certezza matematica. Un’AI potrebbe imitare perfettamente lo stile di scrittura, ma non può falsificare una firma crittografica senza la chiave privata.

Il timestamp pre-AI: documenti di autenticità indiscutibile

Documenti e comunicazioni firmati crittograficamente via WKD prima della diffusione capillare dell’AI generativa acquisiranno uno status speciale nei prossimi anni. Questi documenti “autentici pre-AI” non possono essere creati o modificati retroattivamente da tecnologie future. Rappresentano un registro permanente e inalterabile dell’intento umano prima dell’era del contenuto sintetico.

Questo ha profonde implicazioni legali. I contratti firmati con chiavi WKD prima dell’esplosione dell’AI portano un’autenticità intrinseca che i documenti post-AI potrebbero non raggiungere mai. I tribunali potrebbero sviluppare standard probatori diversi per documenti pre-AI firmati crittograficamente rispetto alle comunicazioni post-AI. Le organizzazioni che implementano WKD oggi stanno creando una catena ininterrotta di fiducia crittografica che si estende all’indietro nell’era pre-AI, fornendo protezione legale cruciale contro future dispute che coinvolgono falsi generati dall’AI.

Workflow AI abilitati da WKD: responsabilità nei sistemi automatizzati

Man mano che le organizzazioni integrano sempre più l’AI nei loro flussi di lavoro comunicativi, WKD fornisce un’infrastruttura di responsabilità essenziale. Quando un assistente AI redige e-mail per conto di un dirigente, WKD può firmare crittograficamente queste comunicazioni con la chiave dell’umano responsabile, creando chiare catene di responsabilità. Non si tratta di prevenire l’uso dell’AI, ma di garantire la responsabilità quando i sistemi AI interagiscono con il mondo esterno.

flowchart TB Title["🤖 FLUSSO DI COMUNICAZIONE AI-ASSISTITA CON WKD"] Title --> Step1 Step1["1️⃣ GENERAZIONE AI
━━━━━━━━━━━━━
🤖 Assistente AI genera
bozza email intelligente"] Step1 --> Step2 Step2["2️⃣ REVISIONE UMANA
━━━━━━━━━━━━━
👤 Un essere umano
rivede e approva
il contenuto finale"] Step2 --> Step3 Step3["3️⃣ FIRMA CRITTOGRAFICA
━━━━━━━━━━━━━
🔐 WKD firma
automaticamente
con chiave privata umana"] Step3 --> Step4 Step4["4️⃣ VERIFICA DESTINATARIO
━━━━━━━━━━━━━
Il destinatario può verificare:
✓ Identità umana via WKD
✓ Approvazione umana
✓ Responsabilità legale"] Step4 --> Result Result["🎯 RISULTATO FINALE
━━━━━━━━━━━━━━━━━━
⚡ Efficienza dell'AI
+
👤 Responsabilità Umana
━━━━━━━━━━━━━━━━━━
Il meglio di entrambi i mondi"] style Title fill:#6366f1,color:#fff,stroke:#4f46e5,stroke-width:2px style Step1 fill:#dbeafe,stroke:#3b82f6,stroke-width:2px style Step2 fill:#fef3c7,stroke:#f59e0b,stroke-width:2px style Step3 fill:#dcfce7,stroke:#16a34a,stroke-width:2px style Step4 fill:#e0e7ff,stroke:#6366f1,stroke-width:2px style Result fill:#4ade80,color:#fff,stroke:#22c55e,stroke-width:3px

Questo modello preserva i guadagni di efficienza dell’AI mantenendo la responsabilità umana.

La firma crittografica via WKD diventa una dichiarazione: “Io, il detentore della chiave, mi assumo la responsabilità di questo contenuto, indipendentemente da come è stato prodotto.

Difesa contro il social engineering potenziato dall’AI

Gli attacchi di social engineering stanno venendo rivoluzionati dall’AI.

Gli attaccanti ora possono:

  • analizzare migliaia di comunicazioni pubbliche per imitare perfettamente stili di scrittura;
  • generare e-mail di phishing altamente personalizzate su scala;
  • creare voci sintetiche per attacchi di vishing;
  • produrre deepfake video per frodi sofisticate.

Le difese tradizionali stanno crollando. I dipendenti non possono più fare affidamento sul riconoscimento dello stile di scrittura, sul controllo degli errori grammaticali o persino sul fidarsi delle chiamate telefoniche.

WKD fornisce una difesa binaria: o il messaggio è firmato crittograficamente dalla chiave del mittente dichiarato, o non lo è. Non c’è via di mezzo che l’AI possa sfruttare.

Le organizzazioni senza WKD affrontano una minaccia esistenziale dagli attacchi potenziati dall’AI. Una singola frode del CEO generata dall’AI di successo può mandare in bancarotta un’azienda. WKD trasforma questa vulnerabilità in una semplice verifica: nessuna firma valida = nessuna fiducia, indipendentemente da quanto convincente appaia il messaggio.

Ponte tra identità governativa e resistenza all’AI

Nel contesto italiano, e sempre più in tutta Europa, WKD può fare da ponte tra i sistemi di identità digitale governativi (SPID, CIE, eIDAS) e i protocolli di comunicazione resistenti all’AI. Mentre SPID verifica chi sei per il governo, WKD estende questa verifica nelle comunicazioni quotidiane, creando un sistema di identità multilivello resiliente alla manipolazione dell’AI.

flowchart TB Title["🏛️ ARCHITETTURA DI IDENTITÀ STRATIFICATA"] Title --> Gov Gov["⚖️ Livello Governativo (SPID/CIE)
'Questa persona è legalmente identificata'"] Gov -->|Binding| Crypto Crypto["🔐 Livello Crittografico WKD
'Questa chiave specifica appartiene a questa identità'"] Crypto -->|Firma| Comm Comm["✉️ Livello di Comunicazione
'Questo messaggio prova crittograficamente la sua origine'"] Comm --> Equals Equals(["="]) Equals --> Result Result["🛡️ Stack di Identità Resistente all'AI"] style Title fill:#1e3a8a,color:#fff style Gov fill:#fef3c7,stroke:#d97706,stroke-width:2px style Crypto fill:#dbeafe,stroke:#2563eb,stroke-width:2px style Comm fill:#dcfce7,stroke:#16a34a,stroke-width:2px style Equals fill:#fff,stroke:#94a3b8,stroke-width:2px,stroke-dasharray: 5 5 style Result fill:#e0e7ff,stroke:#4f46e5,stroke-width:3px

Questo approccio stratificato crea difesa in profondità contro l’impersonificazione AI. Un attaccante dovrebbe compromettere molteplici sistemi indipendenti per impersonare con successo qualcuno, rendendo la frode su larga scala potenziata dall’AI economicamente non praticabile.

L’urgenza dell’implementazione

La finestra per implementare WKD come difesa dall’AI si sta chiudendo rapidamente. Ogni giorno, i sistemi AI diventano più sofisticati, analizzando pattern nelle comunicazioni non firmate, costruendo profili per attacchi futuri.

Le organizzazioni che implementano WKD oggi guadagnano:

  1. protezione retroattiva: tutte le comunicazioni firmate da oggi in poi sono protette contro future impersonificazioni AI;
  2. effetti di rete: man mano che più organizzazioni adottano WKD, l’intero ecosistema e-mail diventa più resistente agli attacchi AI;
  3. vantaggio competitivo: i primi ad adottare possono garantire l’autenticità delle comunicazioni mentre i concorrenti rimangono vulnerabili;
  4. chiarezza legale: le comunicazioni firmate crittograficamente forniscono chiare tracce probatorie, essenziali mentre il contenuto generato dall’AI inonda il sistema legale.

La domanda non è se l’AI renderà obsoleta l’e-mail non firmata, ma se l’organizzazione avrà un’infrastruttura di identità crittografica in atto quando succederà.

Sfide di implementazione e soluzioni

Nonostante la sua eleganza, l’implementazione WKD può presentare sfide. Il problema più comune riguarda la generazione incorretta dell’hash. Molte implementazioni usano erroneamente SHA-256 invece di SHA-1, o base32 standard invece della codifica z-base32. Queste differenze sottili rompono completamente la scoperta delle chiavi, portando a frustrazione e abbandono.

flowchart TB Title["⚙️ IMPLEMENTAZIONE WKD: CONFRONTO"] Title --> Container subgraph Container[" "] direction LR subgraph Wrong["❌ ERRORI COMUNI"] direction TB W1["🚫 SHA-256 invece di SHA-1"] W2["🚫 base32 invece di z-base32"] W3["🚫 Path senza dominio"] W4["🚫 CORS non configurato"] W1 ~~~ W2 W2 ~~~ W3 W3 ~~~ W4 end subgraph VS[" "] direction TB Versus["VS"] end subgraph Right["✅ IMPLEMENTAZIONE CORRETTA"] direction TB R1["✓ USA SHA-1 per hashing"] R2["✓ USA z-base32 encoding"] R3["✓ Includi dominio nel path"] R4["✓ Configura header CORS"] R1 ~~~ R2 R2 ~~~ R3 R3 ~~~ R4 end Wrong -.-> VS VS -.-> Right end style Title fill:#2563eb,color:#fff,stroke:#1e40af,stroke-width:2px style Container fill:transparent,stroke:none style Wrong fill:#fee2e2,stroke:#dc2626,stroke-width:2px style Right fill:#dcfce7,stroke:#16a34a,stroke-width:2px style VS fill:transparent,stroke:none style W1 fill:#fecaca,stroke:#ef4444,color:#000 style W2 fill:#fecaca,stroke:#ef4444,color:#000 style W3 fill:#fecaca,stroke:#ef4444,color:#000 style W4 fill:#fecaca,stroke:#ef4444,color:#000 style R1 fill:#bbf7d0,stroke:#22c55e,color:#000 style R2 fill:#bbf7d0,stroke:#22c55e,color:#000 style R3 fill:#bbf7d0,stroke:#22c55e,color:#000 style R4 fill:#bbf7d0,stroke:#22c55e,color:#000 style Versus fill:#f9fafb,stroke:#d1d5db,stroke-width:2px,stroke-dasharray: 5 5

Gli header CORS presentano un altro ostacolo comune.

Senza una corretta configurazione CORS, gli strumenti di verifica web non possono controllare la tua implementazione WKD, portando gli amministratori a credere incorrettamente che il loro setup sia fallito. La soluzione coinvolge l’aggiunta di header Access-Control appropriati, ma saperlo richiede comprensione di come i browser moderni applicano le politiche same-origin.

I problemi di permessi fanno regolarmente inciampare le implementazioni. Il server web deve poter leggere i file delle chiavi, ma non li vuoi scrivibili da tutti. Trovare il giusto equilibrio tra sicurezza e funzionalità richiede comprensione del contesto utente del tuo server web e del modello di permessi del tuo sistema.

Forse la sfida più grande, però, è l’inerzia organizzativa. Implementare WKD richiede coordinamento tra amministratori e-mail, amministratori web e team di sicurezza, gruppi che non sempre comunicano efficacemente. Il successo richiede non solo implementazione tecnica ma anche allineamento organizzativo sull’importanza della comunicazione crittografata.

Il percorso da seguire

La traiettoria è chiara: l’e-mail crittografata sta evolvendo da una preoccupazione di nicchia a un’aspettativa standard. I principali client e-mail ora includono supporto WKD di default. I governi stanno iniziando a raccomandare o richiedere comunicazioni crittografate per settori sensibili. Le normative sulla privacy trattano sempre più la trasmissione di dati non crittografati come negligenza.

Le organizzazioni che implementano WKD oggi si posizionano davanti a questa curva. Non stanno solo adottando una tecnologia; stanno abbracciando una filosofia che rispetta la privacy degli utenti, prende sul serio la sicurezza e riconosce che la fiducia deve essere guadagnata attraverso azioni verificabili, non solo dichiarazioni di policy.

Per gli individui, WKD rappresenta il recupero del controllo sull’identità digitale e sulla comunicazione. In un mondo dove i giganti tecnologici monetizzano ogni aspetto delle nostre vite digitali, WKD offre qualcosa di rivoluzionario: privacy senza chiedere permesso, sicurezza senza canoni di abbonamento, verifica dell’identità senza sorveglianza.

Prendere la decisione

La domanda non è se implementare WKD, ma quanto velocemente si può fare. Ogni giorno senza WKD è un altro giorno di esposizione non necessaria, un altro giorno di messaggi che potrebbero essere crittografati ma non lo sono, un altro giorno di incertezza sull’identità digitale.

Le barriere tecniche sono state in gran parte risolte. I client e-mail moderni supportano WKD nativamente. La configurazione, pur richiedendo attenzione ai dettagli, è ben documentata. I requisiti infrastrutturali sono minimi. Ciò che rimane è la decisione di agire.

Per le organizzazioni, questa decisione dovrebbe essere semplice. I costi di implementazione WKD sono trascurabili rispetto a una singola violazione dei dati. Il miglioramento della reputazione da comunicazioni adeguatamente protette supera di gran lunga il modesto sforzo di implementazione. I benefici operativi della distribuzione automatica delle chiavi eliminano il carico di supporto continuo.

Per gli individui, specialmente quelli in professioni sensibili, avvocati, medici, giornalisti, attivisti, WKD sta diventando infrastruttura essenziale. È la differenza tra sperare che le tue comunicazioni rimangano private e sapere che sono protette da certezza matematica.

WKD e il Movimento Globale per la Crittografia

Al fianco della Global Encryption Coalition

Come orgoglioso membro della Global Encryption Coalition, credo che implementare tecnologie come WKD non sia solo una scelta tecnica, ma è una dichiarazione di valori. La Coalition, che unisce oltre 400 organizzazioni, aziende e individui da più di 100 paesi, sostiene un messaggio semplice ma potente: la crittografia forte è essenziale per proteggere i diritti umani, la libertà di stampa, la libera espressione e la privacy nel nostro mondo interconnesso.

Il lavoro della Coalition diventa più critico ogni giorno mentre governi in tutto il mondo propongono legislazioni che indebolirebbero la crittografia attraverso backdoor, key escrow o scansione lato client. Queste proposte, spesso fatte in nome della sicurezza, fraintendono fondamentalmente che non esiste una crittografia che funzioni solo per i “buoni.” Qualsiasi debolezza introdotta per le forze dell’ordine può e sarà sfruttata da criminali, regimi autoritari e attori ostili.

WKD rappresenta esattamente il tipo di crittografia decentralizzata e controllata dall’utente che la Global Encryption Coalition promuove. Incarna i principi per cui lottiamo:

  • nessuna backdoor: WKD usa crittografia OpenPGP standard senza algoritmi indeboliti o chiavi master;
  • controllo utente: individui e organizzazioni mantengono controllo completo sulle loro chiavi crittografiche;
  • decentralizzazione: nessuna autorità centrale può compromettere o spegnere l’intero sistema;
  • trasparenza: basato su standard aperti che possono essere verificati da chiunque;
  • accessibilità: gratuito da implementare e usare, garantendo che la crittografia sia disponibile a tutti, non solo ai privilegiati.

Perché la crittografia è un diritto umano

Le Nazioni Unite e la comunità internazionale hanno ripetutamente riconosciuto la crittografia come essenziale per i diritti umani. La risoluzione dell’Assemblea Generale ONU A/RES/79/175 del dicembre 2024, intitolata “The right to privacy in the digital age”, rafforza l’importanza della crittografia per proteggere i diritti fondamentali nell’era digitale. Nel suo report del 2015 (A/HRC/29/32), il Relatore Speciale David Kaye ha stabilito le basi affermando che “la crittografia e l’anonimato consentono agli individui di esercitare i loro diritti alla libertà di opinione e di espressione nell’era digitale”.

La Corte Europea dei Diritti Umani ha emesso una sentenza storica nel 2024 nel caso Podchasov c. Russia (n. 33502/19) che rappresenta una svolta nel dibattito sulla crittografia. La Corte ha dichiarato che misure quali la conservazione indiscriminata di tutte le comunicazioni, l’accesso diretto ai dati da parte di organismi di sicurezza statale e l’obbligo di decriptare le comunicazioni violano l’articolo 8 della Convenzione Europea dei Diritti dell’Uomo e non sono necessarie in una società democratica. Particolarmente significativo è il riconoscimento da parte della Corte che la crittografia costituisce uno strumento essenziale per proteggere la privacy e altri diritti fondamentali come la libertà di espressione. La sentenza evidenzia che la creazione di backdoor per consentire l’accesso governativo alle comunicazioni crittografate indebolirebbe la sicurezza per tutti gli utenti e favorirebbe una sorveglianza generalizzata indiscriminata, contraria alla Convenzione. La Corte ha suggerito l’adozione di alternative investigative che non compromettano la crittografia, come intercettazioni legittime su dispositivi sequestrati o operazioni sotto copertura.

Il Digital Watch Observatory nel suo report del 2025 evidenzia come “la crittografia sia essenziale per i diritti umani, la sicurezza e la libertà di espressione,” denunciando le crescenti pressioni governative per backdoor che minerebbero questi diritti fondamentali. La risoluzione ONU A/HRC/RES/54/21 afferma esplicitamente “il diritto alla privacy nell’era digitale,” associandolo all’uso legittimo della crittografia per proteggere le comunicazioni. Questi principi sono rafforzati dall’Articolo 17 del Patto Internazionale sui Diritti Civili e Politici (ICCPR).

Bisognerebbe considerare chi dipende dalla crittografia ogni giorno:

  • giornalisti che proteggono le fonti in regimi autoritari;
  • difensori dei diritti umani che coordinano case sicure e vie di fuga;
  • sopravvissuti ad abusi domestici che cercano aiuto senza che l’abusante lo sappia;
  • attivisti per la democrazia che organizzano proteste contro governi oppressivi;
  • whistleblower che espongono corruzione e malefatte;
  • operatori sanitari che proteggono la privacy dei pazienti;
  • avvocati che devono mantenere il segreto professionale.

Come sottolineato da Amnesty International nel loro report “Encryption: A Matter of Human Rights” (2016) e ribadito nel 2025, per questi individui la crittografia non riguarda l’avere “qualcosa da nascondere”—riguarda l’avere qualcosa da proteggere: le loro vite, la loro libertà, la loro capacità di lottare per la giustizia. Un report del 2025 dell’EUI evidenzia che diversi governi hanno bloccato tecnologie di crittografia end-to-end, dimostrando quanto sia cruciale difendere questo diritto fondamentale.

L’imperativo economico della crittografia forte

Oltre ai diritti umani, la Global Encryption Coalition sottolinea il ruolo critico della crittografia nell’economia digitale.

Ogni giorno, la crittografia protegge:

  • 3 trilioni di dollari in transazioni e-commerce globali;
  • 4 miliardi di dati personali online;
  • infrastrutture critiche dalle reti elettriche ai sistemi idrici;
  • sistemi finanziari che processano milioni di transazioni al secondo;
  • cartelle cliniche contenenti le nostre informazioni più sensibili;
  • proprietà intellettuale del valore di trilioni in valore economico.

WKD rafforza questa sicurezza economica rendendo le comunicazioni e-mail aziendali—dove si negoziano accordi, si firmano contratti e si discutono strategie—crittograficamente sicure per default.

WKD: crittografia pratica per un impatto globale

Ciò che rende WKD particolarmente allineato con la missione della Global Encryption Coalition è la sua natura pratica e implementabile. Mentre promuoviamo i diritti di crittografia a livello politico, WKD fornisce uno strumento concreto che organizzazioni e individui possono implementare oggi. Non richiede di attendere legislazioni, non dipende dalla benevolenza dei giganti tecnologici, e non necessita di investimenti massicci in infrastruttura.

Ogni nome a dominio che implementa WKD diventa parte di una rete globale e decentralizzata di comunicazione sicura. Questo approccio dal basso per l’adozione della crittografia è esattamente ciò che si immagina: la crittografia che si diffonde non attraverso mandati ma attraverso il riconoscimento della sua necessità fondamentale.

Global Encryption Coalition - Make the Switch

La campagna Make the Switch della Global Encryption Coalition incoraggia tutti ad adottare comunicazioni crittografate. Implementare WKD è un modo potente per rispondere a questa chiamata.

Chi lo fa:

  1. protegge le comunicazioni da sorveglianza e manomissioni;
  2. contribuisce agli effetti di rete che rendono la crittografia più onnipresente;
  3. invia un messaggio ai decisori politici che i cittadini esigono crittografia forte;
  4. supporta il movimento globale per i diritti digitali e la privacy.

Come la Coalition spesso sottolinea, la crittografia è sotto costante minaccia da legislazioni ben intenzionate ma mal concepite. Il proposto regolamento UE Chat Control, l’Online Safety Bill del Regno Unito, e misure simili in tutto il mondo cercano di minare la crittografia end-to-end. La nostra risposta deve essere rapida e decisiva: implementare crittografia forte ovunque, renderla il default, e dimostrare attraverso l’azione che la privacy non è negoziabile.

Un impegno personale per la crittografia

Il mio coinvolgimento con la Global Encryption Coalition nasce da una profonda convinzione che la privacy sia un diritto umano fondamentale, non un privilegio. Attraverso il mio blog, le mie pubblicazioni, il mio libro “Intelligenza Artificiale, Privacy e Reti Neurali: L’equilibrio tra innovazione, conoscenza ed etica nell’era digitale”, e implementazioni pratiche come WKD, lavoro per rendere la crittografia accessibile e comprensibile a tutti.

La Coalition fornisce risorse, ricerca e advocacy che amplificano sforzi individuali come il mio. Quando stiamo insieme—tecnologi, attivisti, aziende e cittadini—creiamo una forza inarrestabile per la privacy e la sicurezza.

WKD è un pezzo di questo puzzle più grande, ma è un pezzo che ogni proprietario di dominio e-mail può mettere in atto oggi.

Il percorso avanti con solidarietà globale

La Global Encryption Coalition ci ricorda che la lotta per la crittografia è globale e continua. Mentre alcuni governi spingono per una crittografia indebolita, altri riconoscono la sua importanza vitale. Il Global Encryption Day della Coalition celebra queste vittorie mentre evidenzia le sfide in corso.

L’implementazione WKD è un’azione concreta che puoi intraprendere per supportare questo movimento globale. È un’implementazione tecnica con implicazioni politiche, una misura di sicurezza con ramificazioni per i diritti umani, e una scelta personale con impatto collettivo.

Visita globalencryption.org per saperne di più sul lavoro della Coalition, accedere a risorse sulla politica di crittografia, e unirti a migliaia di altri nella difesa del diritto alla comunicazione privata. Insieme, non si implementa solo tecnologia, ma si protegge la democrazia, abilitando la libera espressione, e garantendo che il futuro digitale rimanga libero e aperto.

Conclusioni

WKD rappresenta più di un semplice protocollo tecnico; incarna una visione di come dovrebbe funzionare la comunicazione digitale. Una visione dove la privacy è predefinita, non opzionale, la verifica dell’identità non richiede di fidarsi di corporazioni o governi, l’infrastruttura della fiducia è distribuita, resiliente e sotto il controllo dell’utente.

Ho implementato WKD non solo perché potevo, ma perché credo che questa visione valga la pena di essere costruita.

Come scrissi nel mio articolo su WKD del febbraio 2023 - pubblicato in tempi non sospetti, ben prima dell’attuale ondata di interesse per l’identità decentralizzata - questa tecnologia rappresenta una soluzione fondamentale alle sfide di identità digitale che affrontiamo da decenni. Quell’esplorazione precoce gettò le basi filosofiche e pratiche che ancora oggi guidano la mia implementazione. Ogni dominio che implementa WKD rafforza la rete, rende l’e-mail crittografata più onnipresente e ci avvicina a un mondo dove la comunicazione privata è la norma piuttosto che l’eccezione.

Gli strumenti esistono. Gli standard sono maturi. Il supporto dei client è diffuso. Ciò di cui abbiamo bisogno ora è l’adozione - organizzazioni e individui che scelgono di prendere il controllo delle loro identità crittografiche e proteggere le loro comunicazioni.

L’internet che vogliamo - privato, sicuro, decentralizzato - non si costruirà da solo. Richiede scelte consapevoli da parte di persone che capiscono sia cosa è in gioco sia cosa è possibile. WKD è una di quelle scelte, disponibile oggi, che ci muove verso quell’internet migliore.

Si uniranno a questo movimento? Si implementerà WKD per aiutare a normalizzare l’e-mail crittografata?

I passi tecnici sono documentati, i benefici sono chiari.

Il nostro futuro digitale dipende dalle decisioni infrastrutturali che prendiamo oggi.

Hashtag correlati

#WebKeyDirectory, #WKD, #OpenPGP, #crittografia, #e-mail, #identitàdigitale, #privacy, #sicurezza, #Keyoxide