Email sicura per te

Tuta: il servizio di posta elettronica più sicuro e il più facile da usare.

E-mail sicure sulla punta delle dita

Crittografia completa, assenza di tracciamento, open source: ci sono molti fattori che rendono Tuta il provider di e-mail più sicuro al mondo. Esplora nel dettaglio le funzionalità di Tuta in termini di sicurezza e scopri in che modo tali misure proteggono i tuoi dati sensibili.

Sicurezza e privacy vanno di pari passo

Quando valuti la sicurezza e la privacy di qualsiasi servizio online, poniti sempre le seguenti domande:

  1. Chi paga? Gli utenti o gli inserzionisti? Se la risposta è "gli inserzionisti", il servizio non potrà mai offrire una soluzione veramente sicura e privata. La sua massima priorità è l'interesse degli inserzionisti aiutandoli a identificare il pubblico di destinazione in base ai dati degli utenti e a pubblicare loro annunci. La protezione della privacy degli utenti viene sempre in secondo piano con un tale modello di business.

  2. Chi controlla lo stack tecnologico? Questa è una domanda molto tecnica ma di fondamentale importanza. Se un servizio utilizza "tecnologia" di terze parti come Dovecot, Roundcube, Google reCaptcha o Google Push, sai per certo che la sicurezza e la privacy non possono essere la sua priorità principale poiché il provider divulga consapevolmente informazioni ad altri, senza avvisare gli utenti di ciò . Questo è un altro motivo per cui dovresti scegliere un servizio che sia open source e non si basi su integrazioni con software closed-source.

  3. Quali dati sono crittografati end-to-end (E2E)? Molti provider affermano che il loro servizio fornisce e-mail sicure e che i dati archiviati con loro sono "crittografati". Ciò che rende questa domanda così importante è come vengono crittografati i dati? Perché solo quando i dati sono crittografati end-to-end, sono veramente inaccessibili al servizio online e ad altre terze parti. Solo allora il servizio può essere considerato come un'offerta di e-mail sicura. Ecco perché la semplice "crittografia" dei dati non è sufficiente, i dati devono essere crittografati end-to-end.

Controllo dello stack software

Molti servizi di posta elettronica, anche quelli sicuri, utilizzano tecnologie di terze parti come Dovecot, Roundcube e altri per creare i propri prodotti. Ogni volta che un cosiddetto servizio sicuro utilizza applicazioni di terze parti, diventa più difficile proteggere tale servizio. Il motivo è semplice: ogni servizio incluso nel codice esegue il codice. La sicurezza di qualsiasi servizio non può essere migliore di quella delle sue dipendenze. Ogni dipendenza da codice di terze parti deve essere mantenuta e gli aggiornamenti di sicurezza devono essere applicati immediatamente. Inoltre, ogni servizio di terze parti può potenzialmente tracciare gli utenti, inviare dati ai propri server, ecc. Ecco perché noi di Tuta utilizziamo solo codice open source che abbiamo acquisito noi stessi prima di utilizzarlo. In questo modo ci assicuriamo che gli strumenti open source utilizzati da Tuta siano sicuri: eseguiamo regolarmente revisioni della sicurezza di questi strumenti e dei nostri client, ad esempio quando abbiamo spinto i nostri client desktop out della versione beta.

Ovviamente, neanche noi di Tuta possiamo reinventare la ruota. Ma abbiamo creato tutti i nostri client - Web, Android, iOS e tutti i client desktop - da soli. Inoltre, abbiamo una forte attenzione alla sicurezza in tutto il nostro flusso di lavoro di sviluppo. Tutti gli sviluppatori condividono lo stesso DNA: privacy e sicurezza prima di tutto.

Una delle principali differenze di Tuta è che costruiamo noi stessi tutte le parti principali di Tuta, anche al di fuori delle funzionalità di posta elettronica di base come il nostro captcha, il nostro servizio di notifica push su Android e altro ancora.

Solo con l'open source - dei nostri clienti e del software da cui dipende Tuta - le persone esperte di tecnologia possono controllare il codice e verificare che Tuta stia facendo ciò che promettiamo: proteggere al massimo le tue e-mail private.

Controlla qui perché consigliamo di scegliere i nostri client desktop sicuri per Linux, Windows e macOS e perché è così importante che abbiamo creato il nostro captcha open source e un'alternativa a Google Push on Android.

Sicurezza

Seguiamo il concetto di "sicurezza prima di tutto".

Quando si offre un servizio di posta elettronica sicuro, le persone si fidano del fatto che la vostra sicurezza sia a prova di proiettile. Per noi questo significa che non ci possono mai essere compromessi quando si tratta di sicurezza. La sicurezza deve essere integrata nel codice in modo da potervi aggiungere facilmente l'usabilità, non il contrario.

Questo concetto di "sicurezza prima di tutto" ha portato a diverse decisioni di sviluppo che oggi garantiscono la massima sicurezza di Tuta:

  • Non usiamo PGP, ma un'implementazione leggermente diversa (inizialmente basata su AES 256 e RSA 2048), che ci consente di crittografare molti più dati (righe di oggetto) e di crittografare tutte le altre funzionalità che aggiungiamo a Tuta, come i contatti e i calendari, che sono tutti crittografati al 100%. Abbiamo sostituito RSA con ECDH (x25519) Kyber-1024 per offrire crittografia sicura dal punto di vista quantistico a tutti gli utenti di Tuta. In futuro, abbiamo in programma di supportare anche la forward secrecy.

  • Non cerchiamo i dati sul server perché sono criptati. Tuta crea invece un indice di ricerca crittografato, che viene memorizzato localmente sul dispositivo o nel browser e cercato lì. In questo modo è possibile ricercare localmente l'intera posta elettronica (mittente, destinatario, oggetto, corpo, allegato) proteggendo la propria privacy.

  • Non offriamo IMAP perché funzionerebbe solo se inviassimo dati decifrati al dispositivo. Abbiamo invece creato i nostri client desktop open source, che memorizzano i dati crittografati. I client desktop sono anche firmati, in modo che tutti possano verificare che il client stia eseguendo esattamente lo stesso codice pubblicato su GitHub.

Quando si crea un indirizzo e-mail sicuro con Tuta, si può essere certi che i propri dati siano protetti.

Crittografato end to end

Casella di posta, calendario, contatti crittografati.

Fin dall'inizio, noi di Tuta ci siamo assicurati che il maggior numero possibile di dati fosse crittografato E2E. Tuta è stato il primo provider di posta elettronica crittografato end-to-end al mondo e, fino ad oggi, è il servizio di posta elettronica che crittografa più dati di qualsiasi altro.

Tuta crittografa tutti i dati per impostazione predefinita: e-mail, calendari, contatti. La crittografia end-to-end fornita da Tuta garantisce che i tuoi dati siano sicuri e privati, anche se cadono nelle mani sbagliate.

I server di Tuta memorizzano solo i dati crittografati e la chiave di decrittazione è disponibile solo per l'utente. Ciò garantisce che anche se la tua connessione Internet è stata intercettata o nello scenario estremamente improbabile che qualcuno dovesse hackerare i nostri server, i tuoi dati rimarranno al sicuro.

Con la sua crittografia integrata, Tuta rende la sicurezza facilmente accessibile a utenti privati e aziende in tutto il mondo. Per decrittografare i tuoi dati, accedi semplicemente al tuo indirizzo email sicuro con la tua password, il gioco è fatto. Puoi accedere facilmente tramite un browser Web, tramite le app Tuta per Android e iOS o tramite i client desktop Tuta per Windows, macOS e Linux.

Come inviare un'e-mail sicura a chiunque.

Tuta ti consente di inviare e-mail sicure (crittografate E2E) a chiunque abbia una password condivisa. Ciò significa che il messaggio è crittografato sul dispositivo del mittente e può essere decrittografato solo dal dispositivo del destinatario. Puoi facilmente scambiare conversazioni o file sensibili online, sapendo che tutti i dati inviati tramite Tuta sono crittografati in modo sicuro end-to-end. Puoi facilmente inviare e-mail crittografate a destinatari esterni definendo una password. La password è valida per tutte le email che scambi con questa persona, non è necessario definire una nuova password per ogni email come con altri provider sicuri.

Calendario a conoscenza zero.

Tuta viene fornito con un calendario crittografato end-to-end che ti consente di programmare e archiviare tutti i tuoi appuntamenti in modo confidenziale. Il nostro calendario è un risultato eccezionale perché non solo tutti i dati sono crittografati, ma anche i promemoria sono crittografati E2E. Anche il momento in cui viene inviata una notifica all'utente viene oscurato dai nostri server in modo da rimanere all'oscuro di tutti gli appuntamenti dei nostri utenti.

Crittografia TLS

Protezione del protocollo di posta elettronica

Quando invii e-mail con Tuta, hai chiaramente scelto l'opzione più sicura in quanto Tuta consente di crittografare automaticamente le e-mail end-to-end.

Tuttavia, a volte potresti voler inviare e ricevere e-mail non crittografate da e verso contatti che non utilizzano Tuta, quando condividere una password con loro sarebbe scomodo. È molto più difficile proteggere queste e-mail perché in tal caso il provider di posta elettronica può solo crittografare la trasmissione, non i dati stessi. Oltre a ciò, sono coinvolti altri servizi, come il provider di posta elettronica del destinatario, che devono assicurarsi che la trasmissione sia completata in modo sicuro.

Per proteggere al meglio le e-mail non crittografate, aderiamo ai più elevati standard possibili del protocollo e-mail SMTP.

Tuta supporta MTA-STS. Questo standard dovrebbe essere ormai supportato da tutti i servizi di posta elettronica perché è per un'e-mail ciò che l'HTTPS rigoroso è per un sito Web: applica la crittografia del trasporto (TLS) ogni volta che TLS è possibile.

Tuta supporta anche SPF, DKIM e DMARC. Questi tre protocolli sono necessari per rafforzare l'infrastruttura contro le intrusioni di e-mail di phishing e spam.

Tuta utilizza un rigoroso CSP (Content Security Policy), un controllo HTML per mostrare contenuti sconosciuti (nelle e-mail) per prevenire attacchi XSS e, per impostazione predefinita, non carica contenuti esterni da altri server (immagini e video nelle e-mail). L'utente può scegliere di visualizzare il contenuto esterno con un solo clic o tocco, se si fida del mittente.

Controlla qui per vedere il punteggio di Tuta su Securityheaders.io.

Massima protezione dell'accesso

Tuta non trasmette mai la password al server.

Quando si accede alla casella di posta elettronica protetta, Tuta esegue un hash e una salatura della password prima di trasmettere l'hash ai nostri server. È impossibile ricavare la password reale da questo hash, quindi nessuno può conoscere la vostra password, nemmeno noi di Tuta. Per proteggere la password, utilizziamo Argon2 e SHA256.

Tuta fornisce anche autenticazione a due fattori (2FA) per aggiungere un ulteriore livello di sicurezza. Per proteggere le credenziali di accesso, è possibile utilizzare TOTP o U2F. Si consiglia di utilizzare U2F con un dispositivo di sicurezza, in quanto è la forma più sicura di autenticazione a due fattori. In questo modo si garantisce che solo l'utente autorizzato possa accedere al proprio account.

Verificate la nostra guida alla sicurezza online su come mantenere le vostre e-mail al sicuro dagli hacker.

Architettura a conoscenza zero

Tuta utilizza un'architettura a conoscenza zero, il che significa che i dati dell'utente non vengono mai archiviati in testo normale sui server di Tuta. I server di Tuta memorizzano solo i dati crittografati e la chiave di decrittazione è disponibile solo per l'utente. Ciò garantisce che anche se i server di Tuta vengono violati, i dati rimangono al sicuro.

Conforme GDPR

Il GDPR europeo richiede alle aziende di proteggere le e-mail contenenti dati sensibili dei cittadini dell'UE. Le aziende sono tenute a salvaguardare i dati personali, anche durante il loro transito.

Ora puoi risparmiare tempo e denaro ospitando tutte le tue e-mail aziendali crittografate sui server sicuri di Tuta. Con Tuta, non è necessario utilizzare un plug-in o un complicato software di crittografia oltre a una soluzione di posta elettronica aziendale gonfia che dieci anni fa era adatta alle aziende.

La crittografia delle e-mail garantisce la conformità al GDPR e Tuta offre la soluzione di posta elettronica più sicura per le aziende con piena conformità al GDPR.

Tuta segue i principi della minimizzazione dei dati e della privacy fin dalla progettazione.

Siamo responsabili della protezione dei tuoi dati personali e prendiamo questa responsabilità molto seriamente. Pertanto:

  • Tuta si basa sui principi di privacy dei dati di "minimizzazione dei dati" e "privacy by design".

  • Tutti i dati dell'utente sono archiviati end-to-end crittografati in Tuta (ad eccezione dei metadati come gli indirizzi e-mail dei mittenti e dei destinatari delle e-mail poiché queste informazioni sono necessarie al protocollo e-mail per consegnare l'e-mail all'indirizzo corretto).

  • Disponiamo di misure tecniche e organizzative che proteggono al massimo i tuoi dati.

  • Tuta fornisce un Accordo di elaborazione degli ordini con garanzie di protezione dei dati legalmente vincolanti per aiutarti a dimostrare la tua conformità al GDPR.

Si prega di leggere la nostra informativa sulla privacy completa per i dettagli.

La nostra crittografia integrata e il fatto che ti consentiamo di inviare un'e-mail crittografata a qualsiasi destinatario nel mondo rendono Tuta la soluzione perfetta quando cerchi la migliore e-mail sicura per la tua azienda. Tuta ti aiuta a inviare facilmente dati personali sensibili crittografati end-to-end, assicurandoti così che la tua azienda sia conforme al GDPR.

Leggi sul nostro blog per scoprire come Tuta può aiutare la tua azienda a raggiungere la conformità al GDPR.

Privacy made in Germany

La Germania ha una delle leggi sulla protezione dei dati più severe.

Le normative sulla privacy dei dati nell'Unione Europea (UE) sono tra le più severe al mondo e, tra tutti gli stati membri europei, la Germania ha una delle politiche più forti: la legge federale sulla protezione dei dati (Bundesdatenschutzgesetz). Il regolamento generale sulla protezione dei dati (GDPR) dell'UE è stato in gran parte progettato sulla base della legge federale tedesca sulla protezione dei dati.

Questa legge protegge gli utenti dei servizi Internet. Mette l'utente a capo di ciò che dovrebbe essere fatto con i propri dati: le aziende (=noi) non sono autorizzate a raccogliere informazioni personali senza l'espressa autorizzazione di un individuo (=tu), (ad es. nome, data di nascita, indirizzo IP) .

Inoltre, in Germania non esiste alcuna legge che possa obbligarci a sottoporci a un ordine di bavaglio o a implementare una backdoor.

Puoi trovare dettagli sulle leggi sulla protezione dei dati tedesca sul nostro blog e nel nostro Rapporto sulla trasparenza.

Dati memorizzati in Germania

Tuta archivia tutti i dati crittografati in data center altamente sicuri in Germania.

Tutti i dati in Tuta sono archiviati end-to-end crittografati sui nostri server in data center certificati ISO 27001 in Germania.

Nessuno ha accesso ai nostri server tranne i nostri amministratori permanenti, che devono superare l'autenticazione a più fattori prima di ottenere l'accesso. Tutti i sistemi produttivi sono monitorati 24/7 per accessi non autorizzati e attività straordinarie.

Servizio di posta elettronica anonimo: nessun tracciamento, nessuna pubblicità

Tuta è un servizio di e-mail anonima che non ti traccia.

Il nostro modello di business è diverso dalla maggior parte dei servizi di posta elettronica: a causa della crittografia, non possiamo scansionare le tue e-mail. Non ti tracciamo. Non inviamo pubblicità mirate alla tua casella di posta. Ciò significa che i tuoi dati non vengono utilizzati per scopi diversi dalla fornitura di servizi di posta elettronica e calendario. Ciò garantisce che i tuoi dati non vengano mai condivisi con inserzionisti di terze parti o altre entità, il che potrebbe compromettere la tua privacy.

Per impostazione predefinita, Tuta non registra gli indirizzi IP quando accedi o quando invii un'e-mail. Al momento della registrazione non è necessario fornire alcun dato personale (ad esempio non è richiesto alcun numero di telefono), anche quando ci si registra tramite il browser Tor. Tuta rimuove gli indirizzi IP delle e-mail inviate dalle intestazioni della posta in modo che la tua posizione rimanga sconosciuta. Nonostante tutte queste protezioni, potresti comunque voler tenere nascosto il tuo indirizzo IP anche a noi, motivo per cui non aggiungeremo mai una VPN o un browser alla nostra offerta. In particolare, offrire una VPN non ha alcun senso perché, se lo facessimo, noi come provider di posta elettronica saremmo comunque in grado di scoprire gli indirizzi IP originali degli utenti se si connettessero tramite questa VPN. Per motivi di privacy, è meglio tenere separati tali servizi.

Funzionalità di privacy avanzate

Tuta è un servizio di posta elettronica incentrato sulla privacy.

Le aziende adorano la posta elettronica per le campagne di marketing. Questo perché l'e-mail per impostazione predefinita non rispetta la tua privacy. Quando ricevi una newsletter di marketing, l'e-mail di solito carica contenuti esterni (ad esempio immagini, video). In questo caso vieni tracciato: indirizzo IP, browser che stai utilizzando e ulteriori informazioni vengono trasmesse al mittente.

Tuta offre un servizio di posta elettronica che protegge automaticamente da questi metodi di tracciamento:

  • Tuta blocca le immagini per impostazione predefinita. Nessun contenuto esterno viene caricato quando apri un'e-mail a meno che tu non lo permetta attivamente.

  • Tuta rimuove tutte le informazioni di intestazione (indirizzo IP) dalle e-mail inviate per proteggere la tua privacy.

  • Tuta ti avverte quando il mittente tecnico è diverso dal mittente. Falsificare il mittente è un metodo tipico utilizzato negli attacchi di phishing. Sul nostro blog puoi trovare altri suggerimenti su come prevenire il phishing via e-mail.

Monitoraggio e chiusura delle sessioni da remoto

Controlla se qualcuno ha avuto accesso alla tua casella di posta criptata di Tuta.

Tuta ti consente di controllare le sessioni attive e chiuse come funzione inclusa. Ciò ti consente di verificare che nessuno tranne te stesso abbia effettuato l'accesso al tuo account. Le sessioni chiuse vengono eliminate automaticamente dopo una settimana. La gestione delle sessioni di Tuta ti consente anche di chiudere le sessioni da remoto. Quando perdi il cellulare e sei ancora connesso con l'app Tuta, puoi chiudere questa sessione da qualsiasi altro dispositivo. Chiudendo la sessione da remoto, ti assicuri che nessuno possa accedere alle tue e-mail sicure sul telefono smarrito.

Gli indirizzi IP delle sessioni aperte e chiuse vengono sempre archiviati crittografati e cancellati automaticamente dopo una settimana. A causa della crittografia solo tu puoi accedere a queste informazioni. Noi di Tuta non abbiamo assolutamente accesso a queste informazioni.

Impegnati nell'open source

Email gratuite e open source per tutti.

Tuta si concentra sulla sicurezza e sulla privacy. Per noi, l'open source è essenziale per ottenere entrambi. Abbiamo pubblicato il client web Tuta, i client desktop Tuta e le app Android e iOS come software open source su GitHub.

In questo modo tutti possono controllare il codice e verificare che non ci siano bug o vulnerabilità di sicurezza nella base di codice. Essendo open source, i potenziali problemi possono essere notati e risolti molto più velocemente di quanto non avvenga con le applicazioni closed source.