Proteggiti

Per i giornalisti, gli attivisti e chiunque maneggi fonti sensibili, la sicurezza digitale non è una preoccupazione astratta ma una parte pratica del lavoro. La posta in gioco è più alta che per un utente ordinario: una lista di contatti trapelata può esporre una fonte, e un account compromesso può vanificare mesi di indagine o di organizzazione accurate. Questa guida è un quadro di partenza, non un sostituto di una formazione adeguata quando il rischio è serio.

Comincia dalla modellazione delle minacce

Tutto ciò che è utile comincia con la modellazione delle minacce — decidere, con onestà, chi potrebbe volere le tue informazioni e cosa potrebbe realmente fare per ottenerle. Un cronista locale, un corrispondente internazionale e un organizzatore di comunità affrontano avversari molto diversi, e le giuste precauzioni discendono da questo quadro anziché da una lista generica. Prepararsi in eccesso per la minaccia sbagliata spreca impegno; prepararsi insufficientemente per quella vera è pericoloso.

I fondamentali, solo che di più

Gli stessi fondamentali che proteggono gli utenti ordinari proteggono anche te, solo che contano di più. Un gestore di password con password uniche per ogni account, l'autenticazione a due fattori ovunque sia disponibile e un account email ben protetto costituiscono la base. Poiché l'email è la chiave di recupero della maggior parte degli altri servizi, blindarla con una password forte e un secondo fattore è spesso la singola misura più utile che tu possa prendere.

• Comincia dalla modellazione delle minacce: chi è l'avversario realistico?
• Preferisci una chiave hardware o un'app di autenticazione alla 2FA via SMS
• Usa la messaggistica e l'email cifrate end-to-end per impostazione predefinita
• Attenzione ai metadati — chi ha contattato chi può esporre una fonte
• Cifra i dispositivi, compartimenta gli account e diffida del phishing
• La sicurezza è collettiva: proteggi fonti e colleghi, e cerca un aiuto esperto se il rischio è elevato

Per l'autenticazione a due fattori in particolare, preferisci una chiave di sicurezza hardware o un'app di autenticazione ai codici inviati via SMS. I codici via SMS possono essere intercettati o reindirizzati tramite attacchi alla rete telefonica o tramite il SIM-swapping, in cui un aggressore convince un operatore a trasferire il tuo numero sul proprio dispositivo. Una chiave fisica è nettamente più difficile da sconfiggere da remoto e vale il suo modesto costo per gli account ad alto rischio.

Cifra le comunicazioni e bada ai metadati

Proteggi le tue comunicazioni con la crittografia end-to-end per impostazione predefinita. La messaggistica cifrata end-to-end significa che solo tu e il tuo interlocutore potete leggere ciò che inviate, e usare i messaggi effimeri quando è opportuno limita la quantità di cronologia sensibile che si accumula su ciascun dispositivo. Per l'email, un fornitore cifrato end-to-end o ad accesso zero mantiene la corrispondenza archiviata privata nei confronti del fornitore, il che conta quando una sola ingiunzione potrebbe altrimenti esporla.

Pensa con cura ai metadati, perché la cifratura del contenuto non li nasconde. Anche quando il corpo di un messaggio è cifrato, il registro di chi ha contattato chi, quando e da dove può esporre una fonte da solo. Ridurre i metadati significa scegliere strumenti che li minimizzano, essere deliberato su quali account e numeri colleghi tra loro, e riconoscere che lo schema delle tue comunicazioni può essere altrettanto rivelatore del loro contenuto.

Proteggi i dispositivi e compartimenta

Metti in sicurezza i dispositivi stessi, non solo gli account. La cifratura integrale del disco protegge ciò che si trova su un portatile o un telefono se viene perso o sequestrato, un codice di accesso forte vale ben più di un PIN corto o di uno sblocco facciale a cui ti si può costringere, e aggiornamenti software rapidi chiudono le vulnerabilità note su cui fanno leva i veri attacchi. Un dispositivo lasciato sbloccato o non aggiornato mina ogni scelta prudente fatta sugli account.

Compartimenta per limitare i danni quando qualcosa va storto. Separare il lavoro sensibile dagli account personali, usare identità o dispositivi diversi per progetti diversi e tenere isolato il materiale legato alle fonti fanno sì che una compromissione non si trasformi in un'esposizione totale. Questa disciplina è faticosa, ed è proprio per questo che vale la pena integrarla in una routine anziché improvvisare sotto pressione.

L'anello umano e la sicurezza come impegno collettivo

Ricorda che l'anello più debole è spesso umano, non tecnico. Il phishing — un messaggio convincente che ti induce a digitare una password o ad approvare un accesso — sconfigge la cifratura forte aggirandola. Rallentare prima di cliccare, verificare le richieste inattese tramite un secondo canale e trattare l'urgenza stessa come un segnale d'allarme ti proteggono dagli attacchi che, in realtà, riescono più di frequente.

Infine, tratta la sicurezza come collettiva anziché individuale. Le tue protezioni valgono solo quanto quelle delle persone con cui comunichi, quindi condividere le buone pratiche con fonti e colleghi eleva la sicurezza di tutti insieme. Quando il rischio è elevato, cerca organizzazioni e formatori dedicati, specializzati nella protezione di giornalisti e attivisti; questa guida indica la giusta direzione, ma le situazioni serie meritano un aiuto esperto e adattato al contesto.