Priviy
chiffrement-cloudCOMP

Cryptomator vs VeraCrypt 2026: confronto della cifratura zero-knowledge lato client

Cryptomator e VeraCrypt sono i due riferimenti open source per la cifratura lato client nel 2026, ma risolvono problemi diversi. Confronto 2026 — architettura, audit (Cure53, OSTIF/QuarksLab), prestazioni, mobile, volumi nascosti, sincronizzazione cloud e un verdetto segmentato basato sulle capacità documentate e su come è costruito ciascuno strumento.

Di Eric Gerard · Éditeur · Priviy15 min di lettura

L'essenziale

Cryptomator e VeraCrypt sono i due riferimenti open source per la cifratura zero-knowledge lato client nel 2026 — non una promessa di marketing, ma un'architettura verificabile riga per riga. Entrambi derivano le chiavi dalla tua password in locale, cifrano i dati prima di qualsiasi transito di rete e non inviano mai alcun materiale crittografico a un server di terze parti. La differenza non sta nella sicurezza — sta nel modello d'uso.

Cryptomator cifra file per file: ogni documento diventa un blob di testo cifrato indipendente, il che rende il tutto compatibile con i client cloud (Dropbox, Google Drive, iCloud, pCloud, OneDrive) — solo i file modificati vengono risincronizzati. VeraCrypt cifra per contenitore: crei un file .hc di dimensione fissa (oppure cifri un intero disco), montato come volume virtuale. Qualsiasi modifica in un contenitore da 50 GB innesca un ricaricamento di 50 GB lato cloud — non praticabile.

In base alle capacità e all'architettura documentate di ciascuno strumento su desktop (macOS, Linux, Windows) e mobile (iOS, Android), ecco la matrice che separa i due strumenti e il verdetto segmentato per caso d'uso. Se vuoi capire la distinzione tra end-to-end e zero-knowledge, parti da quell'articolo; qui ci addentriamo nella meccanica fine dello strato client.

Perché la cifratura lato client conta di più nel 2026

Tre pressioni strutturali convergono nel 2026 e rendono la cifratura lato client non negoziabile per chiunque archivi dati sensibili online:

  1. Il CLOUD Act statunitense (2018) continua a consentire al DOJ di esigere che i fornitori statunitensi consegnino dati archiviati fuori dagli USA — vedi la nostra analisi CLOUD Act vs GDPR. Google Drive, Dropbox, OneDrive e iCloud sono tutti coperti, anche per gli account europei.
  2. L'articolo 32 del GDPR impone "misure tecniche adeguate" per il trattamento dei dati personali — la multa media della CNIL nel 2025 contro le PMI per cifratura insufficiente ha raggiunto i 18.000 €.
  3. Violazioni dei fornitori: negli ultimi 24 mesi, Dropbox (incidente HelloSign, maggio 2024), LastPass (vault rubato ad agosto 2022, ancora sfruttato a fine 2025) e persino iCloud (CelebGate 2014 + fughe minori 2023) hanno dimostrato che la sicurezza lato server non basta mai.

La cifratura lato client sposta la fiducia dal fornitore alla tua password locale. È più esigente (perdere la password = perdere i dati, nessun recupero possibile), ma è l'unica protezione che affronta le tre pressioni di cui sopra simultaneamente.

Cryptomator — l'architettura per file costruita per il cloud

Cryptomator è pubblicato da Skymatic GmbH (Bonn, Germania) sotto licenza MIT su desktop e GPLv3 su mobile. Il progetto è finanziato da app mobile a pagamento (iOS 12 €/anno) e contributi della comunità — nessuna trappola freemium, nessun livello "Pro" nascosto.

Il modello crittografico

Quando crei un vault Cryptomator, ecco cosa accade:

  1. Derivazione della chiave: la tua password passa attraverso scrypt (KDF memory-hard) con parametri N=32768, r=8, p=1 — calibrato per ~1 secondo su una CPU moderna, il che rende gli attacchi brute-force su GPU proibitivamente costosi.
  2. Chiave master: 256 bit, cifrata con la chiave derivata e archiviata in masterkey.cryptomator.
  3. Cifratura dei file: ogni file riceve una chiave di sessione AES-256 unica in modalità GCM (dal Cryptomator 1.6, 2022 — in precedenza CTR + HMAC). Un'intestazione di file di 88 byte contiene il nonce + la chiave cifrata dalla chiave master.
  4. Cifratura dei nomi dei file: modalità AES-SIV (RFC 5297) con codifica Base32 + chunking a 220 caratteri per restare compatibile con i filesystem e i client cloud.
  5. Metadati strutturali: la gerarchia delle cartelle stessa è cifrata tramite il meccanismo "dir.c9r" → solo un attaccante che ottiene sia il testo cifrato SIA la tua chiave master può ricostruire l'albero delle directory.

Ciò che rimane osservabile sul server cloud: la dimensione dei file cifrati (allineata ai blocchi, ~32 byte di overhead), i timestamp di modifica e il numero totale di file. Non il nome, non il contenuto, non la struttura logica.

Le app mobile

Questo è il grande elemento differenziante nel 2026. L'app iOS (12 €/anno, pagata a Skymatic tramite l'Apple App Store) legge i vault Cryptomator archiviati su qualsiasi fornitore cloud configurato in Files.app: iCloud Drive, Dropbox, Google Drive, OneDrive, pCloud, S3, WebDAV. L'app Android (gratuita, F-Droid + Play Store) copre gli stessi fornitori e aggiunge Nextcloud.

Poiché Cryptomator decifra i file su richiesta anziché montare un intero volume, aprire un vault di grandi dimensioni e decifrare un singolo file sono progettati per essere quasi istantanei nell'uso quotidiano — non c'è differenza percepibile rispetto a un file non cifrato quando apri un documento, dato che viene decifrato solo il file che tocchi.

Gli audit Cure53

Cure53 (Berlino, il team di riferimento storico per gli audit crittografici — clienti: Mozilla, 1Password, Threema) ha pubblicato due rapporti su Cryptomator:

  • CMR-01-001 (2017): il primo audit pubblico del codice di Cryptomator.
  • CMR-02-001 (2022): un audit di follow-up dopo diversi anni di sviluppo.

I rapporti completi sono pubblicamente disponibili sul sito di Cure53 e sul blog di Cryptomator — piena trasparenza, nessun NDA. Consulta i rapporti pubblicati per i risultati esatti e la loro risoluzione. Da confrontare con VeraCrypt, che non ha un audit recente dal 2016 (vedi sezione dedicata).

I limiti di Cryptomator

Quattro limiti strutturali del design di Cryptomator:

  1. Nessun volume nascosto — è impossibile creare un volume esca per scenari di coercizione. Se qualcuno ti costringe a rivelare la tua password Cryptomator, accede al 100% del contenuto.
  2. Dipendenza dal client di sincronizzazione cloud — Cryptomator non sincronizza nulla da solo. Hai bisogno di Dropbox/GDrive/iCloud Drive/pCloud installato per la sincronizzazione. È una scelta di design (separazione delle responsabilità) ma moltiplica le superfici d'attacco.
  3. Metadati strutturali deducibili — la dimensione dei file cifrati rimane visibile. Un attaccante che sa che archivi tipicamente PDF da 200-300 KB può dedurre il tipo di contenuto dai pattern di dimensione.
  4. App iOS a pagamento — 12 €/anno per iOS rimane una barriera psicologica rispetto agli strumenti completamente gratuiti.

VeraCrypt — l'architettura a contenitore costruita per l'uso locale

VeraCrypt è pubblicato da IDRIX (Francia, Mounir Idrassi) sotto licenza Apache 2.0 + TrueCrypt License v3.0. Il progetto è un fork di TrueCrypt (abbandonato a maggio 2014 in circostanze poco chiare), mantenuto dal 2013 con un forte focus sulla cifratura dell'intero disco e dei contenitori.

Il modello crittografico

VeraCrypt offre tre opzioni di cifrario, che possono essere messe in cascata:

  • AES-256 (Rijndael, NIST FIPS 197) — predefinito, accelerato via hardware su tutte le CPU recenti.
  • Serpent-256 (finalista AES del 1998, più conservativo dal punto di vista crittografico).
  • Twofish-256 (un altro finalista AES, Bruce Schneier).

Puoi abilitare le cascate: AES-Twofish, AES-Twofish-Serpent (tripla cifratura, ~30% di calo di prestazioni ma massima resistenza). È unico sul mercato consumer — nessun altro strumento offre questo livello di paranoia configurabile.

La derivazione della chiave usa PBKDF2-HMAC-SHA-512 con 500.000 iterazioni per impostazione predefinita dal 2023 (in precedenza 200.000). È più pesante di scrypt su una CPU moderna (3-5 secondi per montare il volume) ma è deliberato: accetti il ritardo per guadagnare resistenza al brute-force.

Volumi nascosti — la funzione killer

Questo è il punto di forza unico di VeraCrypt. Puoi creare un contenitore esterno (visibile con la password A) che in realtà contiene un contenitore nascosto interno (accessibile con la password B). Entrambi occupano lo stesso file su disco, indistinguibili senza la password B.

Caso d'uso: negabilità plausibile sotto coercizione. Se sei costretto a rivelare la tua password, dai la password A — l'attaccante vede contenuti plausibili (vecchie fatture, foto pubbliche) ma non può provare che esista un volume nascosto. È un caso d'uso estremo (giornalista investigativo, attivista, whistleblower) che Cryptomator non affronta.

Cifratura dell'intero disco

VeraCrypt può cifrare l'intera partizione di sistema Windows (con un bootloader pre-boot che chiede la password prima di Windows), una partizione non di sistema, un disco esterno, o creare un file contenitore portatile. È la soluzione di riferimento per cifrare un SSD esterno o una chiavetta USB — Cryptomator non è costruito per questo.

Limite: nessun supporto macOS ufficiale per il disco di sistema dall'arrivo di Apple Silicon (M1/M2/M3/M4). Su Mac, VeraCrypt funziona solo in modalità "file contenitore" — per cifrare l'intero disco macOS serve FileVault (Apple). Su Windows e Linux, la cifratura dell'intero disco funziona pienamente.

L'audit OSTIF + QuarksLab del 2016

L'Open Source Technology Improvement Fund (OSTIF) ha finanziato un audit indipendente di QuarksLab (Parigi) nel 2016. Rapporto pubblico di 50 pagine. Risultati:

  • 4 vulnerabilità critiche identificate, tra cui 3 ereditate da TrueCrypt e non corrette dai fork precedenti.
  • 2 vulnerabilità di alta gravità legate alla gestione della memoria (potenziali fughe di materiale crittografico).
  • Tutte corrette in VeraCrypt 1.19 (ottobre 2016).

Il rapporto rimane l'ultima revisione indipendente di rilievo di VeraCrypt — sono quasi 9 anni senza un nuovo audit finanziato al 2026. È la principale debolezza comparativa rispetto a Cryptomator. La revisione del codice da parte della comunità prosegue su GitHub, ma non equivale a un audit pagato di Cure53 o QuarksLab.

I limiti di VeraCrypt

  1. Nessuna app mobile ufficiale — un ostacolo assoluto per l'uso multi-dispositivo nel 2026.
  2. Non cloud-friendly — ogni modifica nel contenitore innesca un ricaricamento completo lato cloud, il che rende l'uso con Dropbox/GDrive impraticabile oltre i 100 MB.
  3. Cadenza di rilascio lenta — l'ultima versione stabile è VeraCrypt 1.26.7 (ottobre 2023). Nessun rilascio importante nel 2024-2025-2026 anche mentre emergevano nuove vulnerabilità CPU (Spectre v3, Downfall).
  4. UX datata — interfaccia Win32 classica, nessuna modalità scura, nessuna procedura guidata moderna. Curva di apprendimento ripida per utenti non tecnici.

La tabella comparativa a 12 criteri

CriterioCryptomatorVeraCrypt
ArchitetturaPer file (ogni file cifrato separatamente)Contenitore / intero disco
AlgoritmiAES-GCM-256 + AES-SIV per i nomiAES-256, Serpent, Twofish (cascadabili)
Derivazione della chiavescrypt (N=32768, memory-hard)PBKDF2-HMAC-SHA-512 (500.000 iterazioni)
Piattaforme desktopWindows, macOS (Intel + Apple Silicon), LinuxWindows, macOS (solo contenitore su M1+), Linux, FreeBSD
Mobile ufficialeiOS (12 €/anno) + Android (gratuita)Nessuno (solo fork di terze parti)
Compatibile con la sincronizzazione cloudSì, ottimaleNo (ricaricamento completo a ogni modifica)
Volumi nascosti / negabilitàNoSì (funzione distintiva)
Open sourceMIT (desktop) + GPLv3 (mobile)Apache 2.0 + TrueCrypt License v3.0
Audit recenteCure53 2022 (CMR-02-001) pubblicoOSTIF/QuarksLab 2016 — divario di 9 anni
Cadenza di rilascio~3 rilasci / annoUltimo rilascio stabile 1.26.7 (ott. 2023)
Dimensione massima fileIllimitata (filesystem cloud)Limitata dalla dimensione del contenitore (fissata alla creazione)
Condivisione per filePossibile (inviare un singolo file .c9r è inutile senza la chiave master)No (intero contenitore o niente)

Questa tabella separa nettamente i due strumenti sulla dimensione dell'uso anziché sulla sicurezza. In termini di sicurezza pura, entrambi si collocano al vertice dello stato dell'arte open source. Ma i loro modelli strutturali divergono abbastanza da non competere direttamente — si completano a vicenda.

Un flusso di lavoro pratico multipiattaforma

Un laptop aperto su una scrivania
Un laptop aperto su una scrivania

Per la maggior parte delle persone i due strumenti sono complementari più che concorrenti. Una configurazione robusta che funziona su macOS, Linux, Windows, iOS e Android si presenta così:

  • Documenti quotidiani (fatture, contratti, note professionali, foto): un unico vault Cryptomator sincronizzato tramite un cloud che già usi — ad esempio pCloud Crypto (vedi recensione pCloud 2026). Il design per file di Cryptomator significa che la sincronizzazione incrementale funziona come previsto: modificare un PDF da 200 KB innesca solo un trasferimento di circa quella dimensione, non dell'intero vault. Lo stesso vault è raggiungibile da ogni dispositivo, incluso il mobile.
  • Archivio a lungo termine (chiavi del wallet crypto, copie scansionate dei documenti, cartelle cliniche, backup di esportazione del password manager): un contenitore VeraCrypt — facoltativamente con un volume nascosto per la negabilità plausibile — archiviato su un SSD esterno cifrato tenuto air-gapped, collegato solo per aggiornamenti periodici.
  • Combinazione: con questa separazione, nessun file critico deve esistere in chiaro su un dispositivo sincronizzato — il lavoro quotidiano passa per Cryptomator, l'archivio freddo per VeraCrypt.

Cosa tenere a mente:

  • La sincronizzazione incrementale per file di Cryptomator è il motivo per cui si abbina bene a qualsiasi client cloud; un contenitore VeraCrypt, al contrario, si ricarica per intero a ogni modifica, quindi tieni i contenitori fuori dalla sincronizzazione cloud.
  • Su un SSD esterno veloce, la cifratura dell'intero disco di VeraCrypt aggiunge solo un piccolo overhead rispetto a un disco non cifrato, dato che l'accelerazione hardware AES-NI gestisce la maggior parte del lavoro.
  • Un volume nascosto vale solo quanto la tua disciplina: aprire con la password esterna rivela contenuti esca, aprire con la password interna rivela il contenuto reale — ma non devi mai scrivere sul volume esterno in modo da sovrascrivere quello nascosto.

Casi d'uso: chi dovrebbe scegliere cosa

Scegli Cryptomator se:

  • usi prevalentemente il cloud (Dropbox, Google Drive, iCloud, OneDrive, pCloud)
  • vuoi accesso multi-dispositivo incluso il mobile (iOS + Android)
  • preferisci una UX moderna e un audit recente (Cure53 2022)
  • hai un budget limitato (gratuito su desktop, 12 €/anno solo per iOS)
  • non hai bisogno di negabilità plausibile sotto coercizione

Scegli VeraCrypt se:

  • vuoi cifrare un disco esterno, una chiavetta USB o un'intera partizione
  • hai bisogno di volumi nascosti per la negabilità plausibile (giornalista, attivista, whistleblower)
  • preferisci algoritmi cascadabili per la massima paranoia (AES + Twofish + Serpent)
  • lavori solo su desktop senza bisogno di mobile
  • accetti una UX datata in cambio di potenza tecnica

Scegli entrambi (consigliato per l'80% degli utenti avanzati) se:

  • hai un flusso di lavoro cloud quotidiano E archivi critici a lungo termine
  • vuoi separare le superfici d'attacco (violazione cloud ≠ violazione del dispositivo)
  • capisci che la resilienza viene dalla diversità degli strumenti, non da una singola scelta

Sicurezza — sintesi degli audit pubblici verificati

Fonti verificabili (URL pubblici consultati a maggio 2026):

  • Cryptomator Cure53 2017: rapporto CMR-01-001 disponibile su cure53.de/pentest-report_cryptomator.pdf e sul blog di Skymatic. Vedi il rapporto per i risultati dettagliati.
  • Cryptomator Cure53 2022: rapporto CMR-02-001 disponibile su cure53.de/pentest-report_cryptomator_v6.pdf. Vedi il rapporto per i risultati dettagliati.
  • VeraCrypt OSTIF/QuarksLab 2016: "VeraCrypt Audit Final Report" disponibile su ostif.org/the-veracrypt-audit-results. Audit condotto dopo il fork di TrueCrypt; vedi il rapporto per le vulnerabilità identificate e corrette.
  • Cryptomator GitHub: codice sorgente su github.com/cryptomator/cryptomator (desktop) + github.com/cryptomator/ios + github.com/cryptomator/android. Licenze MIT / GPLv3.
  • VeraCrypt GitHub: codice sorgente su github.com/veracrypt/VeraCrypt. Mirror ufficiale veracrypt.io. Licenza Apache 2.0.

Per chiunque voglia verificare di persona, i rapporti di audit di Cure53 e QuarksLab sono scritti in inglese tecnico ma accessibili a uno sviluppatore senior — nessun gating, nessun NDA.

Limiti onesti — ciò che nessuno dei due strumenti risolve

Per chiudere con l'onestà che Eric esige su questo sito, ecco contro cosa né Cryptomator né VeraCrypt proteggono:

  1. Un keylogger sul tuo sistema operativo — se il tuo MacBook o Windows è compromesso da un malware che registra i tasti, la tua password viene rubata nel momento in cui la digiti. Nessuna cifratura locale resiste a un sistema operativo compromesso.
  2. Un attacco cold boot sulla RAM — un attaccante fisico con accesso al tuo computer mentre un volume è montato può estrarre la chiave master dalla RAM. Mitigazione: non lasciare mai un volume montato quando esci dalla stanza.
  3. Un futuro attacco crittanalitico quantistico — AES-256 è considerato parzialmente resistente ai quanti (Grover dimezza la forza effettiva → 128 bit effettivi, ancora ampiamente sicuro). Ma né Cryptomator né VeraCrypt implementano la cifratura post-quantistica ibrida (Kyber-768 / X25519) nel 2026 — solo Proton Drive ha annunciato una roadmap PQC per la fine del 2026.
  4. Perdita della password — non esiste alcun meccanismo di recupero. È il rovescio dello zero-knowledge. Soluzione: archivia la password in un password manager robusto (Bitwarden, KeePassXC), con un backup offline cifrato (carta in una cassaforte + Sealed Recovery Card).

La cifratura lato client è necessaria ma non sufficiente. Deve inserirsi in una postura di sicurezza più ampia: sistema operativo aggiornato, antivirus attivo, 2FA ovunque, password manager dedicato, backup 3-2-1.

Verdetto finale segmentato

  • Per il 70% degli utenti (flusso di lavoro cloud, più dispositivi incluso il mobile, nessun modello di minaccia a livello statale) → Cryptomator, gratuito su desktop, 12 €/anno su iOS, combinato con un cloud zero-knowledge come Proton Drive o pCloud Crypto.
  • Per il 15% degli utenti (necessità di cifrare un disco esterno o una partizione di sistema Windows/Linux, nessun bisogno di mobile) → VeraCrypt da solo, in attesa di un possibile successore post-quantistico.
  • Per il 10% degli utenti avanzati (flusso di lavoro cloud quotidiano + archivio critico a lungo termine) → entrambi combinati, come nel flusso di lavoro pratico descritto sopra.
  • Per il 5% degli utenti con un modello di minaccia a livello statale (giornalista investigativo, attivista, whistleblower, dissidente politico) → VeraCrypt con volumi nascosti su un disco esterno air-gapped + Cryptomator per lo strato cloud quotidiano meno sensibile.

Nessuna soluzione rende l'altra obsoleta. Nel 2026 la scelta non è "quale dei due" ma "quale per quale uso". E l'errore più frequente resta quello di non cifrare nulla perché la scelta sembra complicata — non lo è, Cryptomator è installabile e utilizzabile in 10 minuti.

FAQ

Le domande più frequenti sono già coperte nel blocco FAQ strutturato qui sopra (visibile anche nel rich snippet di Google): scelta tra Cryptomator e VeraCrypt, ambito dello zero-knowledge, audit indipendenti, supporto mobile, combinazione dei due.

Per approfondire, dai un'occhiata anche a:

Choix éditorial
4.5 / 5

Add zero-knowledge encryption → pCloud Crypto

Client-side encryption · only you hold the key · Swiss jurisdiction

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB
Voir l'offre
Articoli correlati

Leggi successivo