Probabilmente hai visto Box al lavoro: è uno dei grandi nomi della gestione dei contenuti cloud per le aziende, costruito attorno a collaborazione, flussi di lavoro e controllo amministrativo. Ma «usato da grandi aziende» non è lo stesso di «privato», quindi la vera domanda è: Box è davvero sicuro, e sicuro rispetto a chi? Questa guida dà una risposta onesta e mostra come rendere i tuoi file davvero privati.
Cosa protegge davvero Box
Box prende sul serio la sicurezza di base ed è solido contro le minacce esterne.
- Cifratura in transito e a riposo - i file viaggiano su TLS e sono archiviati cifrati con AES-256 sui server di Box.
- Doppio fattore e SSO - Box supporta la 2FA e il single sign-on aziendale (SAML), rendendo molto più difficile il furto dell'account.
- Controlli di amministrazione granulari - gli amministratori impostano permessi delle cartelle, link condivisi a scadenza, fiducia dei dispositivi e criteri di accesso molto precisi.
- Molta conformità - Box vanta certificazioni come HIPAA, FedRAMP, PCI DSS, ISO 27001 e l'allineamento al GDPR, un grande motivo del suo uso nei settori regolamentati.

Gli extra aziendali: KeySafe e Shield
Due componenti a pagamento spingono Box oltre la maggior parte dei cloud di consumo. Box KeySafe consente a un'organizzazione di gestire le proprie chiavi di cifratura (basate su un servizio di gestione delle chiavi) e di ottenere un registro di audit di ogni uso della chiave - utile per la conformità e per revocare l'accesso. Box Shield aggiunge rilevamento delle minacce, avvisi di anomalia e controlli di accesso basati sulla classificazione. Sono veri punti di forza aziendali.
Il limite sulla privacy: Box non è zero-knowledge
Ecco il limite onesto. Per impostazione predefinita, Box detiene le chiavi di cifratura. È ciò che alimenta ricerca, anteprime, condivisione e recupero da parte dell'amministratore - ma significa anche che Box può tecnicamente leggere i tuoi contenuti e, come azienda statunitense, può essere obbligato a consegnare dati leggibili secondo leggi come il CLOUD Act. «Cifrato» qui significa cifrato contro i terzi, non contro il fornitore.
Nemmeno KeySafe rende Box zero-knowledge: le chiavi vengono comunque usate per elaborare i tuoi file lato Box. È diverso dalla cifratura lato client, zero-knowledge, in cui il fornitore vede solo testo cifrato e non detiene mai una chiave utilizzabile.
Come rendere davvero privati i file su Box
Se vuoi file che nessuno tranne te possa aprire, tieni la chiave sul tuo dispositivo:
- Cifra prima del caricamento con uno strumento gratuito e open-source come Cryptomator. Crea una cassaforte cifrata nella tua cartella Box: viene caricato solo testo cifrato e solo tu detieni la password.
- Usa un fornitore zero-knowledge per i dati più sensibili, dove la cifratura lato client è il default e non un componente aggiuntivo.
Preferisci lo zero-knowledge? pCloud + Crypto
Giurisdizione svizzera · Cifratura lato client con il componente Crypto · Piani a vita
In sintesi
Box è una piattaforma davvero sicura e pronta per la conformità, pensata per la collaborazione aziendale, e contro gli attaccanti esterni regge bene. Ciò che non è, per impostazione predefinita, è privato rispetto a Box stesso: il fornitore detiene le chiavi e risponde alla giurisdizione USA. Se questo conta per un dato file, cifralo lato client prima che raggiunga Box, oppure archivialo con un servizio zero-knowledge - allora «sicuro» e «privato» finalmente significano la stessa cosa.
Domande frequenti
- Box è sicuro?
- Contro gli attaccanti esterni sì: Box è uno dei cloud di consumo più sicuri. Cifra i file in transito (TLS) e a riposo (AES-256), supporta l'autenticazione a due fattori e il SSO, offre permessi di amministrazione granulari e vanta pesanti certificazioni (HIPAA, FedRAMP, ISO 27001, GDPR). Il punto è che questo è «sicuro contro i terzi», non «privato rispetto a Box». Per impostazione predefinita Box detiene le chiavi di cifratura, quindi può tecnicamente accedere ai tuoi contenuti e può essere obbligato a consegnare dati leggibili secondo la legge USA. Per la collaborazione aziendale è solido; per dati che solo tu devi poter leggere, non è zero-knowledge.
- Box usa la cifratura end-to-end?
- No, non per impostazione predefinita. Box cifra i dati in transito e a riposo, e Box gestisce quelle chiavi, quindi il modello è cifratura lato server, non end-to-end. Questo protegge dall'intercettazione e dal furto dei dischi, ma poiché Box detiene le chiavi, esso (e chi lo obbliga legalmente) può accedere ai contenuti. La vera cifratura end-to-end o zero-knowledge, in cui solo tu detieni la chiave, non è il default di Box. Puoi aggiungerla cifrando i file localmente prima del caricamento.
- Box è zero-knowledge?
- No. Anche con il suo componente aziendale per la gestione delle chiavi (KeySafe), le chiavi servono a elaborare i tuoi contenuti lato Box, quindi Box non è un servizio zero-knowledge come pCloud Crypto, Tresorit o una cassaforte Cryptomator. KeySafe dà a un'organizzazione più controllo e un registro di audit sull'uso delle chiavi, prezioso per la conformità, ma non è come la cifratura lato client, in cui il fornitore non vede mai una chiave utilizzabile né il tuo testo in chiaro.
- Box è conforme a HIPAA e GDPR?
- Box è molto usato in settori regolamentati e supporta la conformità a quadri come HIPAA, FedRAMP, PCI DSS, ISO 27001 e il GDPR, e firma un accordo di responsabile del trattamento per i clienti sanitari. Ma «pronto per la conformità» non è «privato per progettazione»: questi quadri regolano come i dati vengono trattati e protetti, non se il fornitore possa leggerli. Box può, a meno che tu non cifri prima lato client.
- Come rendo davvero privati i file su Box?
- Cifrali tu prima che raggiungano Box. Uno strumento gratuito e open-source come Cryptomator crea una cassaforte cifrata nella tua cartella Box: viene caricato solo testo cifrato e solo tu detieni la chiave. In alternativa, per dati davvero sensibili, usa un fornitore zero-knowledge la cui cifratura lato client sia il default. In entrambi i casi l'obiettivo è lo stesso: la chiave non lascia mai il tuo controllo.
Cloud storage cifrato → pCloud
Con sede in Svizzera · add-on Crypto lato client · piani a vita



