Qual è la differenza tra cifratura lato client e lato server?

Con la cifratura lato server, il tuo file viaggia verso il fornitore (su TLS), e il fornitore lo cifra sui suoi server usando chiavi che controlla. Poiché il fornitore detiene le chiavi, può tecnicamente leggere, scansionare o divulgare i tuoi dati sotto costrizione legale. Con la cifratura lato client, il file viene cifrato prima sul tuo dispositivo, e solo tu detieni la chiave — il fornitore archivia testo cifrato che davvero non può aprire. Quella lato server protegge dagli hacker esterni; quella lato client protegge anche dal fornitore stesso e da chiunque possa costringerlo.

La cifratura lato client è la stessa cosa della cifratura end-to-end?

Si sovrappongono ampiamente. La cifratura lato client descrive dove avviene la cifratura — sul tuo dispositivo, prima dell'upload. La cifratura end-to-end descrive il percorso — i dati sono leggibili solo agli estremi, mai nel mezzo. In pratica, un cloud zero-knowledge implementa la cifratura lato client in modo che i dati restino protetti end-to-end: cifrati sul tuo dispositivo, decifrati solo sui tuoi dispositivi, testo cifrato ovunque nel mezzo. Il filo conduttore è semplice: solo tu detieni la chiave.

Cosa succede se dimentico la password con la cifratura lato client?

Questo è il compromesso onesto. Poiché solo tu detieni la chiave e il fornitore non la vede mai, di solito non esiste un reset della password che recuperi i tuoi dati — se perdi la password (e qualsiasi chiave di recupero emessa dal servizio), i file cifrati sono di fatto irrecuperabili. È il rovescio della vera privacy: un fornitore che può reimpostare la tua password per ripristinare i tuoi file è un fornitore che potrebbe anche leggerli. Con la cifratura lato client, conserva la password e la chiave di recupero in modo sicuro, idealmente in un gestore di password.

Quali servizi cloud usano la cifratura lato client?

Diversi lo fanno per design: Proton Drive e Tresorit cifrano sul dispositivo di default; pCloud lo offre tramite il suo add-on opzionale Crypto; MEGA lo applica all'intero account. Puoi anche aggiungere tu stesso la cifratura lato client sopra qualsiasi cloud usando strumenti come Cryptomator o VeraCrypt, che creano una cassaforte cifrata prima che i file si sincronizzino. I servizi mainstream Google Drive, Dropbox e iCloud sono generalmente lato server di default — il fornitore detiene le chiavi — quindi cerca specificamente «lato client», «end-to-end» o «zero-knowledge» se ti interessa la privacy nei confronti del fornitore.

Cos'è la cifratura lato client? Come funziona e perché conta (2026)

Q: Cos'è la cifratura lato client?

La cifratura lato client significa che i tuoi dati vengono cifrati sul tuo dispositivo — il client — prima di essere inviati ovunque. La chiave di cifratura è derivata dalla tua password (o da un file chiave) e resta sul tuo dispositivo; il server non la riceve mai. Quindi quando carichi un file, il fornitore archivia solo testo cifrato che non può aprire, scansionare o consegnare in forma leggibile. È il meccanismo tecnico alla base dell'archiviazione «zero-knowledge» e «cifrata end-to-end»: il servizio trasporta i tuoi dati senza mai poterli leggere.

Quando un servizio cloud dice che i tuoi file sono «cifrati», la domanda cruciale è chi può decifrarli. Con la maggior parte dei servizi mainstream, la risposta è: il fornitore può. La cifratura lato client ribalta tutto — i tuoi file vengono cifrati sul tuo dispositivo prima ancora di lasciarlo, così l'azienda archivia dati che davvero non può leggere. Questa guida spiega come funziona, in cosa differisce dalla normale cifratura lato server, i suoi compromessi onesti e quali servizi la usano davvero.

Cos'è la cifratura lato client

La cifratura lato client significa che la cifratura avviene sul client — il tuo telefono o computer — prima che i tuoi dati vengano caricati. La chiave che blocca e sblocca i tuoi file è derivata dalla tua password e resta sul tuo dispositivo. Il server non la riceve mai.

Il risultato: quando carichi un file, il fornitore detiene solo testo cifrato — un blob illeggibile che non può aprire, scansionare, indicizzare o consegnare in forma leggibile. È il meccanismo tecnico alla base delle etichette «zero-knowledge» e «cifrato end-to-end» che vedi sull'archiviazione orientata alla privacy.

Come funziona, passo dopo passo

Digiti la tua password nell'app. Da essa, l'app deriva una chiave di cifratura — localmente.
Prima di qualsiasi upload, l'app cifra il file sul tuo dispositivo con quella chiave.
Solo il testo cifrato viene inviato al server (sempre su TLS, quindi cifrato anche in transito).
Quando apri il file, il testo cifrato torna indietro e viene decifrato sul tuo dispositivo con la tua chiave.

In nessun momento il file leggibile — o la chiave — esiste sui server del fornitore. È proprio questo il punto: il servizio è un corriere di buste sigillate che non può dissigillare.

Lato client vs lato server

È qui che vive la maggior parte della confusione su «è privato?»:

Cifratura lato server — il tuo file viene caricato, poi il fornitore lo cifra sui suoi server con chiavi che controlla. Buona contro gli hacker esterni e i dischi rubati, ma il fornitore può comunque leggere, scansionare o divulgare i tuoi dati. È l'impostazione predefinita per Google Drive, Dropbox e iCloud.
Cifratura lato client — il tuo file viene cifrato prima sul tuo dispositivo, e solo tu detieni la chiave. Il fornitore archivia testo cifrato che non può leggere. Buona contro gli hacker e contro il fornitore stesso (e le richieste legali che gli possono essere notificate).

L'unica differenza che conta è chi detiene la chiave. Per la versione «modello di archiviazione» di questa distinzione, vedi end-to-end vs zero-knowledge nell'archiviazione cloud.

Un lucchetto sopra una mappa del mondo resa in codice binario

Cosa protegge — e cosa no

Protegge: i contenuti dei tuoi file dal fornitore, dal suo personale, da chiunque violi i suoi server e da chiunque lo costringa legalmente. Tutti loro vedono solo testo cifrato.

Non protegge, in generale:

Alcuni metadati — a seconda del servizio, dimensioni dei file, timestamp o struttura delle cartelle possono restare visibili al fornitore anche quando i contenuti non lo sono.
Un dispositivo compromesso — se un malware o qualcuno con accesso usa il tuo dispositivo sbloccato, la cifratura viene aggirata nel punto in cui i file vengono decifrati: l'endpoint.
Una password persa — poiché solo tu detieni la chiave, di solito non c'è recupero se perdi la password e la chiave di recupero (vedi le FAQ). La vera privacy e «il fornitore può reimpostarla per me» si escludono a vicenda.

La cifratura lato client è potente, non totale — protegge i tuoi dati a riposo e in transito, non i dispositivi che detengono le chiavi.

Quali servizi la usano davvero

Alcuni la integrano per design; con altri la aggiungi tu stesso:

Integrata — Proton Drive e Tresorit cifrano sul dispositivo di default; pCloud la offre tramite l'add-on opzionale Crypto; MEGA la applica all'intero account.
Aggiungerla tu stesso — strumenti come Cryptomator o VeraCrypt creano una cassaforte cifrata sopra qualsiasi cloud, così i file sono cifrati lato client prima di sincronizzarsi. Vedi il nostro confronto Cryptomator vs VeraCrypt.

I servizi mainstream Google Drive, Dropbox e iCloud sono generalmente lato server di default. Se ti interessa la privacy nei confronti del fornitore, cerca specificamente lato client, end-to-end o zero-knowledge. Confronta le opzioni nella nostra guida miglior cloud storage cifrato gratuito.

Choix éditorial

4.5 / 5

Archiviazione cifrata lato client → pCloud + Crypto

Giurisdizione svizzera · File cifrati sul tuo dispositivo con l'add-on Crypto (zero-knowledge) · Piani lifetime

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre

Come verificare che un servizio la usi davvero

Il linguaggio del marketing è sfuggente. Qualche verifica onesta:

Dice «lato client», «end-to-end» o «zero-knowledge» — non solo «cifrato» o «sicuro»?
Avverte che una password persa significa dati persi? Quell'avviso è un buon segno — significa che loro non possono reimpostarla, quindi non possono nemmeno leggerla.
La cifratura è attiva di default o è un add-on (come pCloud Crypto) che devi abilitare?
Il client è open-source o auditato in modo indipendente? Un codice verificabile batte una promessa.

Se un fornitore può mostrarti i tuoi file dopo una semplice email di «password dimenticata», i tuoi dati non sono mai stati cifrati lato client.

In conclusione

La cifratura lato client è il meccanismo che rende l'archiviazione cloud «privata» davvero privata: i tuoi file sono bloccati sul tuo dispositivo, e solo tu detieni la chiave, così il fornitore archivia testo cifrato che non può leggere. Batte la normale cifratura lato server perché protegge dal fornitore stesso — al costo di una reale responsabilità per la tua password. Per un'archiviazione genuinamente privata, cerca lato client / zero-knowledge per design, oppure aggiungila tu stesso con uno strumento a cassaforte. Per capire prima il quadro generale, parti da cos'è l'archiviazione cloud.

Guida editoriale basata sul funzionamento della cifratura lato client (chiavi sul dispositivo, archiviazione del solo testo cifrato) e sui suoi compromessi documentati (metadati, sicurezza degli endpoint, nessun recupero della password). Il link commerciale porta l'attributo rel="sponsored nofollow"; può essere applicata una commissione di affiliazione senza costi aggiuntivi per te.

Choix éditorial

4.5 / 5

Store your files privately → pCloud

Swiss privacy · 10 GB free · optional zero-knowledge Crypto