Clicca qui per leggere l’avviso ai donatori e sostenitori

Il comitato di sostegno al movimento cambia nome e diventa un’ETS. È necessario aggiornare i parametri di donazione per continuare a sostenerci economicamente. Da oggi, essendo un’Ente del Terzo Settore, puoi anche detrarre le donazioni durante la dichiarazione dei redditi.

Linee Guida Sicurezza Digitale

🔐 Linee Guida Sicurezza Digitale

Adottare misure di sicurezza nei dispositivi informatici e digitali è fondamentale per proteggere noi stessi e tutte le altre persone di Ultima Generazione in caso di intercettazioni e perquisizioni — già avvenute e che avverranno di nuovo.

Abbiamo chat come Piazzetta e spazi di lavoro come Mattermost in comune, accesso agli stessi documenti e piani su kDrive, accesso alla Wiki con contatti di referenti e coordinatori. Ignorare le buone pratiche di sicurezza espone tutto questo alle Forze dell'Ordine, rischiando di compromettere azioni, persone e l'intera struttura.

Di seguito le misure fondamentali che tutte le persone di Ultima Generazione devono adottare. Per la maggior parte si tratta di azioni che richiedono pochi click e semplici precauzioni.

⏱ Tempo richiesto: 40 min di lettura · da 20 min a 1 ora per applicare tutto
🛟 Per qualunque dubbio o richiesta di supporto il nostro helpdesk è a tua disposizione: https://vai.ug/help

Indice

È tanto, lo sappiamo. È fondamentale però dedicare il tempo necessario a proteggere noi stessi e le persone che con noi fanno parte di Ultima Generazione.

1Proteggere un account

Password sicure

La password è il primo strumento di protezione di tutto: di un account, di un telefono, di un computer, di un file. Per questo motivo tutte le nostre password devono essere sicure e difficili da indovinare.

Ecco alcune buone pratiche da seguire quando scegliamo una password:

  • Almeno 12 caratteri, meglio 16
  • Combina lettere maiuscole, minuscole, numeri e simboli
  • Evita parole riconducibili a te — niente nome del cane o di una persona cara, niente richiami a luoghi che conosci

Usare un generatore di password — un'app che crea combinazioni casuali di lettere — è il sistema migliore per ottenere password sicure.

✓ Sicura19JwgLh-vdH7
✗ Non sicuraCane-Affamato01
✗ Non sicuraUGmipiacetant0
✗ Non sicuraRoma19.MAR2025
★ Ancora più sicura — lunga, mista, non riconducibile a tealieni+M1CR031+fanno+C4CC4+verde&3LU

Oltre a scegliere password sicure è importante che ogni account abbia una password diversa dagli altri, in modo da limitare i danni nel caso in cui venisse scoperta.

Facciamo quindi la conoscenza di Vaultwarden (VW), il generatore e gestore di password di Ultima Generazione.

Vaultwarden

Vaultwarden, spesso abbreviato in VW, è lo strumento di Ultima Generazione per generare password, salvarle in modo sicuro e, se vogliamo, condividerle in tempo reale in modo altrettanto sicuro. Su VW sono inoltre salvate tutte le password di tutti gli account di Ultima Generazione.

Metodi pericolosi per salvare le password: file di testo, note sul telefono, messaggi a sé stessi su WhatsApp o Telegram. In caso di virus o sequestro del telefono perdi tutte le password, rischiando di fornirle facilmente alle Forze dell'Ordine.

Vaultwarden è un sito web crittografato — quindi sicuro — in cui puoi generare password difficili da indovinare e salvarle tutte nella tua "cassaforte digitale" per accedervi in qualunque momento e, usando l'estensione per i browser sicuri, compilare automaticamente i login ai siti web.

Ora che sai come generare una password sicura e dove salvarla, prenditi il tempo per stilare un elenco delle tue password (account social, email, ecc), cambiarle con password più sicure e salvarle nella tua cassaforte su Vaultwarden. Una volta fatto, torna qui e procediamo allo step successivo.

Autenticazione a due fattori

L'autenticazione a due fattori (2FA, Two-Factor Authentication) o "verifica in due passaggi" è un sistema di protezione degli account da utilizzare in combinazione alla password.

Una volta abilitata, quando accederai a un account, oltre a inserire la password, dovrai inserire anche un codice temporaneo e monouso.

Il sistema a due fattori equivale ad avere due chiavi diverse per l'accesso a una sola porta: non è sufficiente scoprire la password per accedere al tuo account, ma serve anche un codice monouso e temporaneo generato in tempo reale.

Tipologie di codici

  • Codici OTP (OneTime Password), generati da un'app, solitamente validi per 30 secondi. Consigliamo Aegis (Android) e 2Fas (iOS).
  • Codici via messaggio, inviati tramite SMS, WhatsApp o email, validi per pochi minuti dalla ricezione. Per attivarli dovrai indicare un numero di telefono o un indirizzo email.
  • Codici di recupero, dalla durata di settimane, mesi o senza scadenza. Vengono forniti dal sito/app al momento dell'attivazione nella pagina di attivazione. Salvali in un luogo sicuro (stampali o scrivili su carta).

Spesso social, app e siti web permettono di utilizzare tutti e tre i sistemi. Impostali tutti e tre in modo da avere più modi per verificare l'accesso.

Anche Vaultwarden può generare OTP, ma sconsigliamo questa configurazione: creare il codice OTP e salvare la password nello stesso posto vanifica il senso dell'autenticazione a due fattori — accedendo all'uno si accede anche all'altro.

Attiva il 2FA sui tuoi account principali

Una volta attivata l'autenticazione a due fattori su tutti gli account possibili, torna qui e procediamo allo step successivo: le precauzioni per proteggere telefono e computer.

2Proteggere un dispositivo

No dati biometrici

Potremmo pensare che l'impronta digitale o il riconoscimento facciale siano più sicuri di una password perché "la mia faccia e le mie dita sono impossibili da replicare". Falso, per due motivi:

  1. La password può essere modificata e può tornare a proteggere il tuo account anche se viene scoperta; al contrario, è impossibile modificare i dati biometrici una volta compromessi. Faccia e impronte digitali vengono tradotte in numeri da algoritmi: sono questi numeri — salvati nei server delle app — che possono essere scoperti e rubati.
  2. Le Forze dell'Ordine durante una perquisizione o un fermo potrebbero afferrare o inquadrare il tuo dito/volto con la forza e utilizzarli per accedere al tuo dispositivo contro la tua volontà.

Usa sempre password sicure, anche per sbloccare il telefono o il computer.

PIN e sequenza di blocco? Dipende!

  • La sequenza? Scordala. Esistono pochissime combinazioni possibili e il telefono verrebbe sbloccato molto facilmente.
  • Il PIN ha un livello di sicurezza accettabile solo se superiore alle 12 cifre (meglio 16 se il tuo telefono lo permette).

Usa una password sicura

Se ricordarsi password come 19JwgLh-vdH7 è difficile, potresti utilizzare una frase scollegata da elementi della tua vita, o un elenco di parole (Vaultwarden può generarlo) per compensare con la lunghezza. Anche Baci-52-Ornitorinco-Perché-Piove è una password sufficientemente sicura: contiene ben oltre 12 caratteri, maiuscole, minuscole, numeri e caratteri speciali.

Ora che sai come bloccare il tuo dispositivo in modo sicuro, prendi il tuo telefono e il tuo computer e imposta una password. Poi procediamo allo step successivo: crittografare il dispositivo.

Crittografare un computer

In caso di perquisizione e sequestro da parte delle Forze dell'Ordine — episodi avvenuti diverse volte in Ultima Generazione, e che sicuramente si ripeteranno — una password sicura potrebbe non essere sufficiente. La Polizia Postale può utilizzare programmi appositi per accedere ai dati del dispositivo bypassando il sistema operativo e la schermata di sblocco.

È fondamentale crittografare il disco rigido interno al computer, i dischi esterni e tutte le chiavette USB o altri supporti di memoria esterna, in modo da rendere illeggibili i dati.

Sappiamo che funziona. Durante le perquisizioni a Padova nel 2023, la Polizia aveva sequestrato diversi PC e solo quello crittografato non è stato inserito nei materiali delle indagini: in un intero anno nessuno è riuscito ad accedere al contenuto.

In molti dispositivi e relativi sistemi operativi sono già presenti sistemi di crittografia. In molti casi bastano 10 secondi e un click per attivarli, iniziando subito a proteggere il dispositivo, i file, le chat e, di conseguenza, tutte le altre persone di Ultima Generazione.

Crittografia base

Tutti i sistemi operativi più recenti offrono opzioni di crittografia di base per proteggere i file con pochi click.

🪟 Windows

BitLocker è l'opzione di crittografia di default offerta da Microsoft.

Attiva BitLocker →

🍎 macOS

FileVault è l'opzione di crittografia di default offerta da Apple.

Attiva FileVault →

🐧 Linux

Su Linux non esistono sistemi di crittografia di default. Consigliamo direttamente VeraCrypt.

Usa VeraCrypt →

Crittografia avanzata

Dato che in Ultima Generazione sono avvenute — e probabilmente continueranno ad avvenire — diverse perquisizioni con sequestri di dispositivi informatici, è fondamentale avere una crittografia avanzata e più sicura rispetto alle opzioni di default.

Consigliamo a tutte le persone della struttura centrale e ai referenti locali di utilizzare una crittografia avanzata.

VeraCrypt

VeraCrypt è uno strumento open source che permette di crittografare in modo sicuro — addirittura a livello militare — i nostri dispositivi. È gratuito e abbastanza facile da utilizzare. Segui questi passaggi.

Se coordini un gruppo locale o fai parte della struttura nazionale di Ultima Generazione, devi crittografare i tuoi dispositivi con VeraCrypt per aggiungere un livello di protezione maggiore.

Crittografia ultra

In questo capitolo vediamo sistemi di crittografia avanzati, più difficili da usare (non impossibili, ma che richiedono più attenzione e un po' di studio).

Al momento non riteniamo necessario l'utilizzo di questa crittografia ultra, ma consigliamo di iniziare a sperimentarla un po' alla volta. Potrebbe servirci tra pochi mesi. Il futuro della privacy è a rischio: l'Unione Europea sta lavorando a un piano di sorveglianza di massa e in Senato è in discussione una legge per semplificare e aumentare le perquisizioni digitali (perquisizioni che avvengono da remoto, a nostra insaputa, senza bisogno di accedere ai dispositivi fisici).

TailsOS

Tails è un vero sistema operativo Linux crittografato, le cui connessioni si basano esclusivamente su Tor e sono protette senza bisogno di una VPN aggiuntiva. È portabile e sta tutto in una chiavetta USB: scollega la chiavetta e nessuno saprà mai quello che hai fatto. Guarda questo video che ne spiega l'utilizzo.

Puoi utilizzare Tails anche su una macchina virtuale senza bisogno di una chiavetta (meno sicuro) seguendo questi passaggi.

PGP

PGP (Pretty Good Privacy) è uno dei sistemi più avanzati per proteggere i propri file e conversazioni. È disponibile per Windows, per macOS e per Linux (in TailsOS è integrato di default).

Ora che hai compreso l'importanza della crittografia, prendi i tuoi dispositivi e attivala. Poi torna qui e passiamo allo step successivo: applicare la crittografia alle nostre chat e documenti.

3Proteggere un file o un messaggio

La crittografia è il sistema più potente che abbiamo per proteggere informazioni contenute in file, foto, video o messaggi inviati in chat. In questo capitolo facciamo una panoramica degli strumenti crittografati che utilizziamo in Ultima Generazione.

Chat crittografate

La crittografia nelle chat è essenziale per proteggere il contenuto dei messaggi. Le app che usano la crittografia End-to-End criptano il messaggio prima di inviarlo, in modo che nessuno — né chi controlla la rete né chi gestisce l'app — possa leggerne il contenuto. Solo l'app installata nel dispositivo del destinatario conosce la chiave crittografica per "sbloccare" il messaggio.

Mattermost (MM)

Mattermost, spesso abbreviato in MM, è la piattaforma di chat crittografata più sicura che abbiamo in Ultima Generazione. Nata per un livello di sicurezza militare, è gestita da Ultima Generazione su server ospitati in Svizzera. Tutti i messaggi MM sono protetti da crittografia.

Altri buoni motivi per usare Mattermost:

  • Alimentata con energia rinnovabile
  • Le chat sono ordinate con topic, gruppi, canali, sondaggi, reazioni
  • Ci sono solo le persone di Ultima Generazione
  • Permette l'accesso alla nostra Wiki

Signal

Signal è una piattaforma di messaggistica più "classica" che viene utilizzata in Ultima Generazione per organizzare azioni di protesta. Ha una crittografia analoga a WhatsApp ma, a differenza di quest'ultima, è open-source: il codice di funzionamento è pubblico e tutti possono verificare che l'app sia sicura.

Modifica le impostazioni fondamentali di Signal

  • Nascondi il numero: Privacy → Numero di telefono → Nessuno

  • Disattiva le anteprime nelle notifiche: Impostazioni → Notifiche → Mostra anteprime → Mai — a schermo bloccato nessuno vedrà i messaggi che ricevi

  • Modifica l'icona dell'app in modo che sembri l'app del Meteo: Aspetto → Icona dell'app

  • Attiva il blocco dell'app: Impostazioni Privacy → Blocco schermo — servirà la password del telefono per accedere alle chat

  • Autodistruzione chat: imposta un timer per le chat che ritieni compromettenti — Impostazioni conversazione → Messaggi a scomparsa

  • Blocca gli screenshot: Privacy → Sicurezza schermo — aumenta la protezione da virus e trojan che registrano lo schermo

  • Aumenta la privacy delle chiamate: Privacy → Avanzate → Ritrasmetti le chiamate — N.B. potrebbe rallentare la connessione; fai dei test

  • Seleziona tastiera incognito per non salvare nel dizionario parole compromettenti, se lo ritieni necessario

  • Invia foto visualizzabili solo una volta (simbolo infinito)

  • Imposta un nome utente con cui gli altri ti possano trovare al posto del numero di telefono

WhatsApp

È una piattaforma di Meta che dichiara di avere una crittografia analoga a Signal. Signal permette a tutti di verificarne l'esistenza, WhatsApp no. Per questo motivo evita di parlare di azioni di protesta e informazioni sensibili su WhatsApp.

Di seguito indichiamo 7 precauzioni da adottare sempre (ci vogliono pochi minuti per impostarle). Consigliamo di adottarle anche nella vita privata.

Nonostante le precauzioni indicate di seguito, ricorda che WhatsApp non ha una crittografia sicura: per organizzare azioni e trattare informazioni sensibili è necessario usare Mattermost o Signal.

1. Backup crittografato

Tutti i messaggi, le foto e i video inviati e ricevuti vengono salvati in un file di backup. È importante che questo file sia crittografato per evitare che chiunque ne venga in possesso — Forze dell'Ordine in caso di perquisizione, Google quando viene caricato su Google Drive, ecc. — possa leggere le nostre chat.

→ Crittografa il backup di WhatsApp seguendo questi passaggi

2. Autenticazione a due fattori

Con il 2FA attivo ti verrà chiesto un codice (che scegli tu) ogni volta che accedi da un nuovo dispositivo, impedendo a malintenzionati o Forze dell'Ordine di entrare illegalmente nel tuo account. WhatsApp ti manderà promemoria bimensili per ricordartelo.

→ Attiva il 2FA seguendo questi passaggi

3. Niente download automatico

Permettere a WhatsApp di scaricare file, foto e video appena ci colleghiamo online è pericoloso: questi file possono contenere codice e virus che infettano il dispositivo. Il governo italiano ha spiato per mesi attivisti e giornalisti inviando file PDF.

→ Blocca il download automatico dei media seguendo questi passaggi

4. Lucchetto chat

La funzione "Lucchetto chat" permette di nascondere le chat selezionate dalla schermata principale: anche se qualcuno avesse accesso al telefono sbloccato, dovrebbe riuscire a indovinare il codice del lucchetto. Consigliamo di attivarlo su tutte le chat di Ultima Generazione. Continuerai a ricevere le notifiche normalmente.

5. Blocco dell'app

Il blocco dell'app obbliga a inserire un'autenticazione aggiuntiva dopo un tot di minuti di utilizzo. Consigliamo di attivarlo se usi WhatsApp da computer o web seguendo questi passaggi.

Da telefono non usare l'impronta biometrica per il blocco app: un agente di polizia potrebbe inquadrare il tuo volto o premerti il dito sul sensore a forza. Cerca nelle impostazioni del telefono la possibilità di proteggere le app con una password o un PIN.

6. Proteggi l'indirizzo IP

Tramite l'indirizzo IP è possibile localizzare la tua posizione fisica e tracciarti online. Attiva la spunta nelle impostazioni di sicurezza di WhatsApp nella funzione per proteggere l'indirizzo IP durante le chiamate.

→ Proteggi il tuo IP seguendo questi passaggi

7. Disabilita le anteprime dei link

Le anteprime dei link, oltre a essere spesso clickbait, possono tracciarti online e localizzarti fisicamente grazie al tuo IP.

→ Disattiva le anteprime dei link seguendo questi passaggi

Telegram

Telegram, a eccezione delle "chat segrete", è sprovvisto di crittografia End-to-End. Tutti possono leggere i tuoi messaggi. Utilizzalo solo per cose pubbliche e per inviare foto e video delle azioni di protesta e degli eventi (non avendo la crittografia ma un buon sistema di compressione dei file, è ottimo per mandare foto e video rapidamente).

Email

Normalmente le email non sono crittografate. Questo vuol dire che ogni persona collegata alla stessa rete wifi, il tuo provider internet e gestore di email possono leggerne il contenuto. Non usare le email per scambiare dati sensibili.

Infomaniak ha introdotto la possibilità di crittografare in modo sicuro le email in modo che soltanto tu e il destinatario le possiate leggere. Ti consigliamo per questo motivo di crittografare sempre le email, in questa pagina sono spiegati i passaggi (basta un click sull'icona del lucchetto).

Ricorda che i metadati, come orario di invio, mittente e destinatario, non sono mai crittografati.

Sconsigliamo vivamente Protonmail per due motivi:

  1. Le email di Protonmail sono crittografate solo quando scambiate tra due indirizzi Protonmail; in tutti gli altri casi sono classiche email non crittografate — ma ci dà la sensazione di essere al sicuro quando in realtà non lo siamo.
  2. Nel 2021 ha collaborato con le Forze dell'Ordine francesi fornendo loro gli indirizzi IP (che diceva non registrare), utilizzati per arrestare degli attivisti del movimento ambientalista Youth for Climate. Leggi la loro storia.

Ok Infomaniak ma non fiducia al 100%

  1. Se devi scambiare informazioni altamente sensibili non usare la crittografia fornita di default da Infomaniak (o da Proton o da altri servizi simili) ma utilizza app dedicate come Mattermost o Signal.

Cloud crittografati

Come è importante usare app di messaggistica crittografata per proteggere le chat, allo stesso modo è importante utilizzare cloud crittografati per proteggere documenti sensibili.

Cryptpad

Cryptpad permette a più persone di lavorare contemporaneamente su documenti crittografati. Per utilizzarlo in modo sicuro per aspetti legati alle azioni (dinamiche, narrazioni, logistica) e per non compromettere il contenuto dei file, è necessario seguire attentamente queste linee guida.

Cryptpad è lo strumento di Ultima Generazione per creare, condividere e collaborare online in tempo reale a documenti crittografati.

Utilizza Cryptpad per documenti con informazioni sensibili come briefing delle azioni o documenti di logistica (ma continua a usare kDrive di Infomaniak per tutto il resto).

Il servizio è installato sui nostri server in Svizzera e garantisce una maggiore sicurezza rispetto alle versioni pubbliche. Il livello di sicurezza di Cryptpad, se usato seguendo queste linee guida, è pari a quello di Signal o Mattermost.

Se vuoi conoscere tutte le funzioni, leggi anche la documentazione completa di Cryptpad (solo in inglese).

Cryptpad.fr va bene comunque? No. Non inserire informazioni sensibili sulle azioni (città, indirizzi, date) su versioni di Cryptpad commerciali come cryptpad.fr. Non usarle proprio. Utilizza soltanto il Cryptpad di Ultima Generazione.

Registrazione account Cryptpad

  1. Scrivi all'helpdesk chiedendo la creazione di un account Cryptpad. Riceverai su WhatsApp o Mattermost, solitamente entro qualche ora, un link valido una sola volta per creare il tuo account.
  2. Imposta un nome utente e una password sicura. Usa Vaultwarden per generarne una veramente efficace.
  3. Salva la password in un luogo sicuro come Vaultwarden (no browser, no messaggio, no nota nel telefono) o su un foglio di carta.

Se dimentichi la password non potrai né reimpostarla né riaccedere al tuo account. Nemmeno il gruppo Tech potrà aiutarti a recuperarla.

Collegamenti tra diversi account

  1. Premi sulle iniziali del nome dell'account e vai nella sezione Profilo.
  2. Premi su Condividi (verrà copiato un link negli appunti) e invia il link su Signal o Mattermost alle persone con cui vuoi condividere i documenti.
  3. Quando l'altra persona aprirà il link potrà inviare una richiesta di contatto.
  4. Riceverai una notifica per approvare la richiesta.

Creazione documento

I documenti più usati all'interno di Ultima Generazione sono Testo per i documenti e Fogli per le tabelle. Per sondaggi consigliamo di utilizzare Lime Survey su form.ultima-generazione.com (chiedi all'helpdesk l'accesso).

  1. Premi su Nuovo in alto a sinistra e scegli il tipo di documento.
  2. Imposta il documento come Documento di proprietà.
  3. Aggiungi una password sicura (generala con Vaultwarden) e, se possibile, una data di autodistruzione.
  4. Attendi qualche secondo mentre Cryptpad crea il documento.

L'interfaccia su cui lavorerai è molto simile a quella di Infomaniak.

Condividere documenti in sicurezza

Imposta il documento come privato:

  1. Premi su Accesso e vai nella sezione Elenco.
  2. Attiva la lista d'accesso. In questo modo permetterai l'accesso solo ai contatti che autorizzi.

Condividi con i contatti:

  1. Premi su Condividi e vai nella sezione Contatti.
  2. Seleziona i contatti che potranno accedere al documento (verranno evidenziati in blu) e premi su Condividi.
  3. Torna nella sezione CondividiLink e scegli i permessi di accesso.
  4. Copia il link e invialo in modo sicuro su Signal o Mattermost alle persone autorizzate nel passaggio precedente.

kDrive di Infomaniak, così come Google Drive, non ha la crittografia. Lo abbiamo scelto come alternativa a Google Drive per i costi minori, l'alimentazione con rinnovabili e i server in Svizzera. Viene usato come archivio di materiale non sensibile: foto, video, documenti generali.

Se vuoi archiviare file sensibili di grandi dimensioni su kDrive, devi prima crittografarli con Hat.

Crittografare un file con Hat

Crittografare un file prima di inviarlo o caricarlo su kDrive è un buon modo per scambiare informazioni sensibili in app o siti in cui manchi la crittografia. In questo modo, soltanto chi invia e il destinatario avranno accesso al contenuto (anche se tutti potranno vedere che è stato scambiato un file crittografato).

Per crittografare un file bastano pochi secondi ed è un'operazione che si svolge facilmente anche da telefono utilizzando il sito web Hat.

Riteniamo che il livello di sicurezza di Hat sia sufficientemente alto per il livello di rischio attuale di Ultima Generazione. Se vuoi utilizzare un sistema di "crittografia ultra" più sicuro, dai un'occhiata a PGP.

Crittografare con chiavi crittografiche

  1. Apri Hat a questo link.
  2. Carica o trascina il file da crittografare (puoi selezionarne anche più di uno).
  3. Premi su Avanti.
  4. Scegli Chiave crittografica come metodo di crittografia.
  5. Carica la chiave pubblica della persona a cui vuoi inviare il file.
  6. Scrivi la tua chiave privata.
  7. Premi su Avanti.
  8. Scarica i file crittografati premendo su file crittografati. Li riconoscerai perché hanno .enc nel nome.
  9. Facoltativo: puoi condividere anche un link con la tua chiave pubblica pre-impostata premendo su Crea link condivisibile, così non dovrai condividere separatamente la chiave pubblica con il destinatario.

Se non hai mai usato le chiavi crittografiche, devi generarne una coppia sia tu che la persona a cui vuoi inviare il file.

Crittografare con password

Un file protetto da chiave crittografica può essere aperto esclusivamente dalla persona autorizzata. Se vuoi condividere un file con un gruppo di persone usa una password.

  1. Apri Hat a questo link.
  2. Carica o trascina il file da crittografare.
  3. Premi su Avanti.
  4. Scegli Password come metodo di crittografia.
  5. Scrivi la password.
  6. Premi su Avanti.
  7. Scarica i file crittografati premendo su File crittografati.
  8. Condividi la password in modo sicuro tramite Vaultwarden, Mattermost o Signal; poi usa un'app diversa per inviare il file crittografato (altrimenti, in caso di intercettazione, la crittografia è inutile).

Usare le password è un sistema meno sicuro: usalo solo se devi condividere un file con un gruppo di persone. Altrimenti prenditi 10 minuti per imparare a utilizzare le chiavi crittografiche.

Decrittografare file

  1. Apri Hat a questo link.
  2. Carica o trascina il file da decrittografare.
  3. Premi su Avanti.
  4. Carica la chiave pubblica di chi ti ha inviato il file e scrivi la tua chiave privata (o la password del file).
  5. Premi su Avanti.
  6. Scarica i file decrittografati premendo su File decrittografati.

Chiavi crittografiche

Il sistema delle chiavi crittografiche è uno dei sistemi di crittografia più sicuri che esistano. Ogni persona ha una coppia di chiavi: una pubblica e una privata.

  • Puoi condividere la chiave pubblica con tutti — la useranno per crittografare i file che ti inviano.
  • La chiave privata la devi tenere solo tu in un luogo sicuro, senza condividerla con nessuno — la userai per crittografare i file da inviare (insieme alla chiave pubblica del destinatario) e per decrittografare i file ricevuti.

Il luogo più sicuro in cui conservare la chiave privata è scriverla o stamparla su un foglio di carta (oppure conservarla in una chiavetta USB, magari crittografata in precedenza).

Creare una chiave crittografica con Hat

  1. Apri Hat a questo link.
  2. Carica o trascina un file qualsiasi (non lo dovrai crittografare realmente — serve solo per arrivare al passaggio successivo).
  3. Premi su Avanti.
  4. Scegli Chiave crittografica come metodo di crittografia.
  5. Premi su Genera ora scritto in piccolo in basso, vicino a "carica la chiave privata".
  6. Premi su Genera coppia chiavi.
  7. Scarica i due file generati.
  • key.public è la chiave pubblica che puoi condividere.
  • key.private è la chiave privata che devi tenere solo tu senza condividerla con nessuno.

Se hai dubbi scrivi all'helpdesk.

4Proteggere la connessione internet

Per collegarci online utilizziamo un dispositivo, un collegamento fornito da un provider (Tim, Vodafone, ecc.), un browser, un motore di ricerca e dei server su cui transitano le informazioni. Ognuno di questi tasselli potrebbe tracciare la nostra attività e condividerla con le Forze dell'Ordine.

È importante diventare il prima possibile anonimi, in modo che il browser non registri la nostra attività e che provider, motori di ricerca e server traccino IP fittizi, non riconducibili alla nostra identità. Gli IP sono una sorta di "indirizzo digitale" del nostro dispositivo.

Browser

Il browser è l'app che apriamo quando facciamo una ricerca online. Per restare sicuri è fondamentale che raccolga meno informazioni possibili su di noi. Ecco quelli che consigliamo:

  • Mullvad Browser su Linux, macOS e Windows
  • IronFox su Android
  • Firefox Focus solo su iPhone (è il meno sicuro tra i tre — usalo solo su iPhone perché gli altri al momento non sono disponibili)
  • Tor Browser (su Linux, macOS, Windows, Android) e Onion Browser (solo su iPhone, ma meno sicuro) se vuoi il massimo della sicurezza. Tor è più lento proprio per garantire più sicurezza. Non connetterti mai alla rete Tor tramite altri browser come Brave, anche se lo permettono.

Se vuoi approfondire, confronta il livello di privacy dei vari browser su questa pagina.

Motore di ricerca

Una volta installato il browser dovrai scegliere quale motore di ricerca usare. Ne abbiamo selezionati tre, ognuno con i suoi punti di forza e debolezza:

1. SearXNG

Aggrega risultati da diversi motori; europeo; open-source; non raccoglie dati delle ricerche; alcuni server gestiti da attivisti e ONG.

Risultati a volte poco precisi; va aggiunto manualmente al browser.

2. Startpage

Risultati molto accurati; dice di non raccogliere dati; è olandese, non statunitense.

Paga Google per mostrare risultati precisi in modo anonimo; non è open-source.

3. DuckDuckGo

Compensa le emissioni con progetti di riforestazione; dice di non raccogliere dati delle ricerche.

Paga Google, Microsoft, Yahoo e Yandex per i risultati; risultati spesso poco precisi; è statunitense; non è open-source.

Ed Ecosia? Pro: dona 50 centesimi al piantare alberi ogni volta che clicchi su un annuncio. Contro: raccoglie dati di ricerca e li condivide con Google e Microsoft per mostrarti annunci personalizzati; è statunitense; non è open-source.

DNS

Quando facciamo una ricerca online il browser utilizza anche dei DNS (Domain Name System) per trovare il server del sito web. Chi gestisce i DNS controlla i siti a cui ci colleghiamo: può censurarli, può registrare la nostra visita e condividere l'informazione con le Forze dell'Ordine.

Spesso i DNS sono pre-impostati su quelli di Google, TIM o Vodafone. Puoi controllare i tuoi DNS qui. È importante cambiarli e utilizzarne di più sicuri.

Consigliamo di usare i DNS pubblici di Mullvad, una società svedese che da anni si batte per un internet libero dalla censura e dalla sorveglianza di massa.

VPN

Quando navighiamo online comunichiamo ai siti e alle app che utilizziamo il nostro indirizzo IP. L'indirizzo IP può essere utilizzato per identificarci (anche legalmente) e tracciare la nostra attività online.

Se fai parte della struttura centrale o coordini un gruppo locale di Ultima Generazione è vivamente consigliato l'utilizzo di una VPN.

Cos'è una VPN

Una VPN (Virtual Private Network) permette di modificare il nostro indirizzo IP, nascondendo quello reale e facendo risultare che siamo collegati da un dispositivo diverso, magari anche dall'estero. In questo modo la nostra privacy è più protetta in caso di perquisizione digitale, il nostro gestore internet non può tracciarci e i servizi che utilizziamo non possono identificarci.

Approfondisci con questo breve video o con questo approfondimento di mezz'ora.

Quale VPN usare

Dato che con una VPN tutto il traffico web passa attraverso il suo gestore, è fondamentale sceglierne una sicura, che non rivenda i dati e non li fornisca alle Forze dell'Ordine.

VPN gratuite — quando troviamo prodotti gratuiti spesso il vero prodotto siamo noi e i nostri dati. Abbiamo selezionato tre opzioni di VPN gratuita che vengono meno a questo principio perché sostenute da fondazioni, attivisti o perché il loro business non è incentrato sui servizi VPN.

Orbot

Nata dal progetto TOR (fondazione senza scopo di lucro), è la VPN più sicura che esista. La tua attività viene divisa e fatta rimbalzare tra diversi server nel mondo, rendendo impossibile risalire a te. Potrebbe essere un po' più lenta e potrebbe non piacere a Google.

Scarica Orbot →

Riseup VPN

Gestita dal gruppo di attivisti di Riseup, è sicura e affidabile anche se non ha avuto test di sicurezza indipendenti. Purtroppo è molto lenta e con pochi server.

Scarica Riseup →

Proton VPN

Un piano gratuito sufficiente a un utilizzo comune e anche allo streaming online. Test indipendenti sulla sicurezza hanno mostrato che non memorizza gli indirizzi IP. Ha dei server in Israele. Se scegli il piano a pagamento ricorda che potresti essere identificato al momento del pagamento.

Scarica Proton VPN →

VPN a pagamento — Mullvad, IVPN e Proton VPN sono tre servizi che hanno superato test di sicurezza indipendenti. Se ne parla in questa pagina.

Tor

Tor (The Onion Routing, "la via della cipolla") garantisce una protezione maggiore rispetto a una VPN tradizionale, assicurando un livello di sicurezza e privacy a livello militare.

Se le VPN offrono una connessione abbastanza veloce e diretta (tu → VPN → destinazione), il tuo traffico quando utilizzi Tor viene fatto rimbalzare in diversi server crittografati sparsi per il mondo (tu → Germania → Brasile → Canada → India → Australia → destinazione), rendendo impossibile risalire alla tua identità originaria. Ognuno di questi server conosce solo quello prima e quello dopo: il server della Germania sa chi sei ma non dove vai; quello dell'Australia sa dove vai ma non chi sei; tutti quelli in mezzo non sanno né chi sei né dove vai.

Utilizzare Tor è il modo più sicuro che abbiamo per navigare online. Consigliamo di usarlo quando lavoriamo su documenti crittografati, ci colleghiamo a Vaultwarden, facciamo sopralluoghi online per le azioni di protesta.

Scarica e usa Tor Browser (su Linux, macOS, Windows, Android) e Onion Browser (solo su iPhone, ma meno sicuro). Non connetterti mai alla rete Tor tramite altri browser come Brave, anche se lo permettono.

5Ridurre errori umani

Errare humanum est, errare è umano, e lo sanno bene anche le Forze dell'Ordine e chiunque cerchi di accedere ai nostri dati. La gran parte delle fughe di dati sono legate a errori nei nostri comportamenti piuttosto che a falle di cybersicurezza o grandi indagini delle Forze dell'Ordine.

Un momento di disattenzione, un link che sembrava familiare, un file ricevuto da un amico che non sentivamo da anni. Ecco tre regole da tenere sempre a mente.

1. La tua password è soltanto tua

Le password dei tuoi account, del telefono e del computer sono tue ed esclusivamente tue. Nessuno dovrebbe chiedertele: non il/la partner, non una persona del tuo gruppo, non la tua banca, non le Forze dell'Ordine. Nessuno.

Nessuno di Ultima Generazione ti chiederà mai una password perché non deve avere accesso ai tuoi account e dispositivi personali. Le password degli account di Ultima Generazione sono già condivise tramite Vaultwarden con le persone che le devono usare.

In molte perquisizioni gli agenti hanno detto che se sbloccassimo il telefono e mostrassimo le chat ce lo avrebbero restituito senza sequestrarlo. Mentono. Sanno che sbloccarlo — specie con una password sicura e se è crittografato — è impresa ardua e costosa, e cercano di intimidire con promesse simili. Un telefono sequestrato si ottiene indietro solo tramite avvocato. Non dire mai la tua password alle Forze dell'Ordine.

2. Controlla tutto prima di aprire

Controlla i link

In Ultima Generazione abbiamo tre siti web: ultima-generazione.it, ultima-generazione.com, vai.ug con possibili sotto-domini (ad esempio mattermost.ultima-generazione.com, wiki.ultima-generazione.com, mathesar.y.ultima-generazione.com).

Non inserire mai informazioni personali, su azioni, linee guida, documenti o altre informazioni su siti diversi da quelli di Ultima Generazione.

Se ti mandiamo un sondaggio ti invieremo il link https://vai.ug/f/nome-del-form oppure form.ultima-generazione.com. Se è un link diverso, un form su Google o su un'altra piattaforma, avvisa chi coordina il tuo gruppo o l'helpdesk per verificarne l'autenticità. Nel frattempo non inserire informazioni sensibili.

Solo una persona di Ultima Generazione può creare un link vai.ug.

Allo stesso modo presta attenzione anche ai link che ricevi da amici e familiari esterni a Ultima Generazione. Controlla il nome di dominio (facebo.ok.com non è il sito di Facebook, c'è un punto in mezzo), la grafica e il testo (ci sono errori nelle frasi?). Se ti sembra sospetto, chiedi informazioni a chi te lo ha inviato.

Controlla i file

Come è importante controllare i link prima di aprirli, così è importante controllare attentamente i file che riceviamo o scarichiamo.

Attiva sempre la visualizzazione delle estensioni dei file dalle impostazioni del computer (qui per macOS e qui per Windows).

Un file che si chiama foto-vacanza-montagna-250514.png.exe non è un'immagine ma un programma eseguibile, probabilmente un virus. Senza la visualizzazione delle estensioni attiva avresti visto solo foto-vacanza-montagna-250514.png e probabilmente lo avresti aperto installando il virus.

Se un file ti sembra sospetto (magari perché lo ricevi senza averlo richiesto) chiedi informazioni a chi te lo ha inviato.

Blocca download e aperture automatiche

Per questo principio di consapevolezza sui file che vogliamo aprire, è importante bloccare il download automatico dei file nel browser e nelle app di messaggistica, evitando così di prenderci un sacco di potenziali virus.

Il governo italiano ha spiato per mesi giornalisti e attivisti inviando file .pdf su WhatsApp.

Scarica manualmente solo i file che hai richiesto e che ti servono. Se un file ti sembra sospetto, chiedi informazioni a chi te lo ha inviato.

3. Hai un dubbio? Chiedi supporto

Non dobbiamo vergognarci a chiedere spiegazioni per qualcosa che non capiamo o aiuto per qualcosa che non sappiamo fare. All'helpdesk ci sono persone che fanno parte, come noi, di Ultima Generazione e che non ci giudicano.

Per ogni file, link o procedura che ti sembra sospetto, chiedi spiegazioni. Non farti prendere dall'istintività, dall'ansia del momento o dalla fretta. Online la fretta è come se non esistesse.

Chiedi aiuto e spiegazioni tutte le volte in cui ne senti il bisogno.

4. Fornisci meno info possibili

Per le azioni

I telefoni ascoltano sempre. Se stai pianificando un'azione, parlatene dal vivo senza avere telefoni e computer con voi; poi usate solo Signal e Mattermost per comunicare (adottando tutte le altre precauzioni indicate in questa guida).

Creazione account

Quando ci registriamo su un sito o app ci vengono spesso chieste molte informazioni ma, nella maggior parte dei casi, solo l'indirizzo email è obbligatorio. Evita di fornire più informazioni di quelle necessarie.

Permessi app

Le applicazioni spesso chiedono molti permessi: posizione, contatti, microfono, fotocamera, archivio, galleria, ecc. Fornisci i permessi solo quando devi usare quelle funzioni (per usare WhatsApp, ad esempio, non devi dare accesso alla tua posizione GPS).

Se il tuo telefono lo permette, dai i permessi con l'impostazione "una volta sola" oppure "quando usi l'app".

5. La prossima perquisizione è a casa tua

Non lo scriviamo per spaventarti. Le perquisizioni in Ultima Generazione ci sono state, sono state diverse, e probabilmente accadranno di nuovo — tuttavia hanno colpito una piccola percentuale delle persone che in questi anni hanno fatto parte del movimento.

"La prossima perquisizione è a casa tua" è l'atteggiamento che devi avere. Se domani mattina alle 7:00 arrivasse la Polizia, i tuoi dispositivi e i tuoi account sarebbero al sicuro? Hai applicato tutte le regole indicate in questa guida?

Se sì, ottimo — lavoreranno per mesi senza ottenere nulla.
Se no, abbiamo un problema. Tu in primis; subito dopo anche tutte le persone con cui hai chattato o che sono indicate in documenti a cui accedi con i tuoi account o che hai salvato nel computer.

Ricordarci che "la prossima perquisizione sarà da me" aiuta ad applicare con scrupolo tutte le precauzioni necessarie, senza mai sottovalutare quella remota possibilità di svegliarsi con le Forze dell'Ordine alla porta.

Quindi se non hai ancora applicato tutte le buone pratiche indicate in questa guida, prenditi del tempo per farlo il prima possibile.

In caso di perquisizione cerca di avvisare il prima possibile il canale di SOS in modo che i tuoi account di Ultima Generazione vengano temporaneamente disabilitati. Chiedi il mandato di perquisizione (se non lo hanno, non aprire per nessun motivo) e, se è vicino, la possibilità di far venire un avvocato.

Per qualunque dubbio o supporto:
🛟 vai.ug/help