Trasparenza tecnica, non slogan commerciali. Ecco cosa accade, passaggio per passaggio, quando inserisci un'informazione nella Cassaforte Digitale. Ogni fase è progettata per garantire che i tuoi dati siano protetti con gli standard più avanzati disponibili.
Passaggio 1 — Generazione e protezione del PIN Master
Il tuo PIN Master viene generato dal server in modo casuale e ti viene trasmesso una sola volta su canale cifrato TLS 1.3. Immediatamente dopo la trasmissione, il PIN Master in chiaro viene scartato dalla memoria del server. Ciò che resta nel database è esclusivamente l'hash Argon2ID — un'impronta digitale matematicamente irreversibile.
Perché Argon2ID e non i vecchi algoritmi? Argon2ID è progettato per essere memory-hard: richiede grandi quantità di memoria RAM oltre che di potenza di calcolo per ogni singolo tentativo. Questo lo rende enormemente più resistente agli attacchi con hardware specializzato (GPU, FPGA, ASIC) rispetto ad algoritmi come SHA-256 o bcrypt. È lo standard raccomandato dall'OWASP e vincitore della Password Hashing Competition.
Passaggio 2 — Cifratura del contenuto
Quando inserisci un'informazione, il server deriva una chiave crittografica dal tuo PIN Master e cifra il contenuto con AES-256-CBC, utilizzando un vettore di inizializzazione (IV) casuale di 16 byte generato per ogni singola operazione. Lo stesso dato, cifrato due volte, produce risultati completamente diversi.
Perché è rilevante? Perché impedisce a chiunque osservi i dati cifrati di dedurre pattern o correlazioni. Anche se archivi la stessa informazione in due campi diversi, le sequenze cifrate risultanti saranno totalmente differenti. Un attaccante non potrebbe nemmeno capire che si tratta dello stesso contenuto.
Passaggio 3 — Trasmissione sicura
Tutte le comunicazioni tra il tuo dispositivo e i server avvengono tramite TLS 1.3, il protocollo di sicurezza più recente e avanzato per le comunicazioni web. TLS 1.3 protegge i dati in transito con cifratura end-to-end del canale, impedendo qualsiasi intercettazione.
Una volta ricevuti dal server, i dati vengono immediatamente cifrati con AES-256 e archiviati in forma cifrata. Il contenuto in chiaro non viene mai scritto su disco e non persiste in nessun punto dell'infrastruttura. Il risultato: i dati in transito sono protetti da TLS 1.3, i dati a riposo sono protetti da AES-256.
Passaggio 4 — Archiviazione sui server
Sui server vengono salvati esclusivamente i blob cifrati, l'hash Argon2ID del PIN Master (utilizzato per la verifica dell'identità, non reversibile), il salt crittografico e i metadati operativi necessari al funzionamento del servizio. Il PIN Master in chiaro non esiste in nessun punto dell'infrastruttura.
I dati cifrati vengono poi replicati su quattro datacenter europei — Italia, Francia, Germania e Svizzera — per garantire resilienza e disponibilità. Su tutti e quattro i datacenter, ciò che viene conservato sono sempre e solo blob cifrati, privi di qualsiasi valore informativo senza il PIN Master.
Quattro passaggi. Zero ambiguità. Nessun operatore ha accesso ai PIN degli utenti. I tuoi dati sono protetti da Argon2ID e AES-256.