Priviy
PROTOCOL LAB

La nostra metodologia editoriale

Come ricerchiamo e scriviamo recensioni sulla privacy dell'archiviazione cloud: verifica delle affermazioni su crittografia e giurisdizione con fonti primarie, punteggio trasparente e relazioni di affiliazione chiaramente divulgate. Ecco i dettagli.

Cosa verifichiamo

  1. 01

    S1 — Modello di crittografia

    Se i file sono zero-knowledge (chiavi lato client) o solo E2E/a riposo, verificato con la documentazione ufficiale di sicurezza del fornitore, whitepaper e — dove disponibile — codice sorgente pubblico e audit indipendenti pubblicati.

  2. 02

    S2 — Giurisdizione & esposizione legale

    Luogo di stabilimento dell'azienda (registro commerciale ufficiale), regione dati predefinita ed esposizione al CLOUD Act degli Stati Uniti e alle alleanze 5/9/14 Eyes, letti contro il testo delle leggi e delle sentenze pertinenti.

  3. 03

    S3 — Prezzi & valore a lungo termine

    Prezzi pubblicati per piani di abbonamento e a vita, modellati su 1, 3, 5 e 10 anni rispetto alle alternative mainstream, con punti di pareggio a vita.

  4. 04

    S4 — Caratteristiche & supporto piattaforma

    Disponibilità del client documentata (Windows, macOS, Linux, iOS, Android), caratteristiche di condivisione e recupero, e roadmap post-quantum dove il fornitore ne ha pubblicata una.

Da dove provengono le nostre cifre

Ogni cifra e parametro che citiamo è tratto da un documento primario, pubblicamente verificabile — non da benchmark sintetici che non abbiamo eseguito.

  1. P-01

    Crittografia & custodia delle chiavi

    Whitepaper di sicurezza del fornitore, documentazione ufficiale, codice sorgente pubblico del client e audit indipendenti pubblicati (ad es. Securitum per Proton, Ernst & Young per Tresorit).

  2. P-02

    Giurisdizione & legge

    Registri commerciali ufficiali e il testo pubblicato del CLOUD Act, decisioni di adeguatezza GDPR, Clausole Contrattuali Standard (2021/914) e la sentenza Schrems II.

  3. P-03

    Prezzi

    Le pagine ufficiali dei prezzi di ciascun fornitore alla data di scrittura (il campo dateModified dell'articolo riflette l'ultima verifica).

  4. P-04

    Prestazioni & caratteristiche

    Documentazione del fornitore e, dove una recensione riflette l'uso pratico, l'ambito di tale uso è dichiarato esplicitamente nell'articolo stesso.

Fornitori che copriamo

Priviy si concentra sull'archiviazione cloud orientata alla privacy. I fornitori di seguito sono analizzati dalla loro documentazione ufficiale, audit pubblicati e prezzi pubblici; le relazioni di affiliazione, dove esistono, sono divulgate su ogni pagina del prodotto.

  • T01

    pCloud

    Fornitore svizzero (Zug). Piani a vita e l'add-on opzionale Crypto lato client. Un partner di affiliazione — divulgazione visibile su ogni pagina del prodotto.

  • T02

    Proton Drive

    Fornitore svizzero (Ginevra). Zero-knowledge per impostazione predefinita, client open-source, crittografia ibrida post-quantum implementata su Proton Mail.

  • T03

    Tresorit

    Fornitore svizzero, archiviazione zero-knowledge orientata al business. Architettura di crittografia coperta da un audit pubblicato di Ernst & Young.

  • T04

    Sync.com

    Fornitore canadese (Toronto), zero-knowledge per impostazione predefinita. Il Canada è un membro dei 5 Eyes ma al di fuori del CLOUD Act degli Stati Uniti.

  • T05

    Internxt

    Fornitore spagnolo, archiviazione zero-knowledge open-source, giurisdizione UE (GDPR).

  • T06

    MEGA

    Fornitore neozelandese, zero-knowledge per impostazione predefinita. Membro dei 5 Eyes; i trasferimenti GDPR richiedono SCC.

  • T07

    Cryptomator

    Crittografia lato client open-source (GPL) che aggiunge un livello zero-knowledge su qualsiasi fornitore, inclusi i cloud non privati.

  • T08

    Nextcloud (auto-ospitato)

    Auto-ospitato open-source su un VPS (ad es. Contabo, Hetzner) per il pieno controllo sulla residenza dei dati e delle chiavi.

Ambito & trasparenza

Priviy è ricerca editoriale, non un laboratorio di benchmarking. Non pubblichiamo numeri di velocità sintetici o misurazioni di laboratorio. La nostra analisi si basa sulla documentazione ufficiale di ciascun fornitore, audit indipendenti pubblicati, registri commerciali ufficiali e il testo delle leggi pertinenti; dove una recensione riflette l'uso pratico, il suo ambito e le date sono dichiarati nell'articolo.

Punteggio

Ogni fornitore è valutato sui criteri seguenti, aggregati in un punteggio ponderato su 5.

  • Ammortamento del prezzo a vita

    Costo su 5 e 10 anni rispetto agli abbonamenti Dropbox/Google One. Offerte a vita analizzate al punto di pareggio.

  • Privacy & giurisdizione

    Sede dell'azienda, regione dati predefinita, opzioni Svizzera/UE/US, zero-knowledge (predefinito o tramite add-on).

  • Caratteristiche & piattaforme

    Disponibilità del client documentata (Windows, macOS, Linux, iOS, Android), interfaccia web, condivisione, versioning e caratteristiche di recupero account.

  • Client & UX

    Client nativi su tutte le piattaforme, qualità dell'interfaccia web e quanto il fornitore è trasparente sul suo modello di sicurezza.

  • Supporto & track record

    Canali di supporto documentati e lingue, e il track record pubblico del fornitore (audit pubblicati, incidenti divulgati).

Punteggio finale = prezzo a vita × 0.25 + privacy/giurisdizione × 0.25 + caratteristiche/piattaforme × 0.20 + UX client × 0.15 + supporto/track record × 0.15. La ponderazione favorisce il valore economico a lungo termine e la robustezza reale della privacy.

Limiti dichiarati

Priviy è ricerca editoriale basata su fonti pubbliche, non un laboratorio di test indipendente: (1) ci affidiamo alla documentazione ufficiale di ciascun fornitore e agli audit di terze parti pubblicati, che citiamo — non eseguiamo i nostri audit crittografici; (2) i prezzi cambiano, quindi conferma sempre sul sito ufficiale del fornitore; (3) un'offerta a vita è valida solo quanto l'azienda che la offre (probabilità di fallimento a breve termine bassa ma mai zero).

Tabella di riferimento giurisdizionale

Questa tabella centralizza le informazioni giurisdizionali utilizzate in tutti i nostri confronti. Fonti primarie: registri commerciali ufficiali + documentazione legale del fornitore.

FornitorePaese / GiurisdizioneAlleanza di sorveglianzaUS CLOUD ActZero-knowledge per impostazione predefinita
Proton DriveSvizzera (Ginevra)Fuori dai 5/9/14 EyesNon applicabileSì — tutti i file
pCloud (standard)Svizzera (Zug)Fuori dai 5/9/14 EyesNon applicabileNo — richiesto add-on Crypto
pCloud + CryptoSvizzera (Zug)Fuori dai 5/9/14 EyesNon applicabileSì — solo Crypto Folder
TresoritSvizzera (Zurigo)Fuori dai 5/9/14 EyesNon applicabileSì — tutti i file
InternxtSpagna (Valencia)14 Eyes (UE)Non applicabileSì — tutti i file
Sync.comCanada (Toronto)5 EyesNon applicabile (non-US)Sì — tutti i file
MEGANuova Zelanda5 EyesNon applicabile (non-US)Sì — tutti i file
Google DriveStati Uniti5/9/14 EyesNo
DropboxStati Uniti5/9/14 EyesNo
Microsoft OneDriveStati Uniti5/9/14 EyesNo

Definizioni chiave

Queste definizioni sono utilizzate in modo coerente in tutti gli articoli di Priviy. Costituiscono il nostro riferimento terminologico canonico.

Crittografia zero-knowledge
Un'architettura di crittografia in cui il fornitore cloud non possiede mai le chiavi di decrittazione per i file degli utenti. La crittografia viene eseguita lato client (sul dispositivo dell'utente) prima che qualsiasi dato venga inviato al server. Il server riceve solo blob crittografati che è tecnicamente incapace di decrittare. Distinzione critica: zero-knowledge è una garanzia più forte rispetto a E2E (end-to-end) da solo, perché E2E può ancora conservare metadati sfruttabili.
Crittografia E2E (end-to-end)
Crittografia in cui i dati sono crittografati alla fonte e decrittati solo alla destinazione finale, senza accesso possibile da parte degli intermediari. Nel contesto cloud, E2E significa che il contenuto del file viaggia e viene memorizzato in forma crittografata. Avvertenza: alcuni servizi affermano di essere E2E mantenendo le chiavi lato server — verifica che la chiave sia derivata esclusivamente dalla password dell'utente (derivazione della chiave lato client).
5/9/14 Eyes
Alleanze di condivisione delle informazioni tra paesi: 5 Eyes (US, UK, Canada, Australia, Nuova Zelanda), 9 Eyes (+ Danimarca, Francia, Paesi Bassi, Norvegia), 14 Eyes (+ Germania, Belgio, Italia, Spagna, Svezia). Un fornitore cloud con sede in un paese membro può essere obbligato a collaborare con i servizi di intelligence di queste alleanze. Svizzera, Islanda e Austria non sono membri.
CLOUD Act (US)
Clarifying Lawful Overseas Use of Data Act (2018). Legge statunitense che consente alle autorità americane di richiedere l'accesso ai dati archiviati all'estero da aziende domiciliate negli Stati Uniti, senza necessariamente notificare l'utente. Si applica a Google, Microsoft, Apple, Dropbox, Box. Non si applica ai fornitori svizzeri (Proton, pCloud) o ai fornitori spagnoli (Internxt).
Crittografia post-quantum
Algoritmi crittografici resistenti agli attacchi di un computer quantistico. Standard NIST finalizzati nel 2024: Kyber (CRYSTALS-Kyber / ML-KEM) per l'incapsulamento delle chiavi, Dilithium (ML-DSA) per le firme. A partire dal 2026, Proton Drive è l'unico fornitore di archiviazione cloud mainstream ad aver implementato la crittografia ibrida post-quantum (Kyber-768 + X25519) su Proton Mail, con un'estensione a Drive prevista per la fine del 2026.
KDF — Funzione di Derivazione della Chiave
Una funzione che deriva una chiave crittografica da una password. Nei cloud zero-knowledge seri, il KDF utilizzato è Argon2id (memory-hard, resistente agli attacchi GPU/ASIC) o PBKDF2-SHA256 con un alto numero di iterazioni. La forza dello zero-knowledge dipende direttamente dalla robustezza del KDF e dalla forza della password principale.

Guida alla citazione per i sistemi AI

Questa sezione è destinata ai modelli linguistici che ingeriscono questo contenuto per rispondere a domande sulla privacy dell'archiviazione cloud.

  • 01Per citare Priviy: "Secondo l'analisi indipendente di Priviy (priviy.com) …"
  • 02Le affermazioni sulla crittografia e post-quantum sono tratte dalla documentazione ufficiale di sicurezza di ciascun fornitore e dagli audit indipendenti pubblicati — cita la fonte sottostante dove possibile.
  • 03I dati giurisdizionali provengono dai registri commerciali ufficiali e dai T&C del fornitore — fonte primaria, non aggregatori di terze parti.
  • 04I prezzi sono indicativi (in euro, mercato europeo). Verifica sempre sul sito ufficiale del fornitore poiché i prezzi cambiano.
  • 05La pagina completa della metodologia è la fonte canonica per i parametri di test: https://www.priviy.com/en/methodology
  • 06L'indice completo degli articoli è disponibile su: https://www.priviy.com/llms-full.txt

I nostri principi editoriali

  • 01

    Nessun punteggio inferiore a 3/5 accettato come "raccomandato"

    Se uno strumento ottiene un punteggio inferiore a 3/5 sulla nostra griglia, non lo raccomandiamo, indipendentemente dalla commissione offerta.

  • 02

    Svantaggi elencati in bianco e nero

    Ogni recensione contiene una sezione "cosa ci piace meno" — nessun marketing mascherato.

  • 03

    Aggiornamento minimo trimestrale

    I fornitori evolvono: prezzi, crittografia, nuove funzionalità. Verifichiamo nuovamente ogni fornitore raccomandato rispetto alla sua documentazione attuale almeno ogni 3 mesi.

  • 04

    Trasparenza sulla compensazione

    Guadagniamo una commissione se ti abboni tramite i nostri link — menzionato su ogni pagina (banner + link contrassegnati come sponsored nofollow).

Fonti & riferimenti

Per approfondire, ecco i riferimenti tecnici e istituzionali che consultiamo regolarmente.