Google Forms è sicuro?

«Google Forms è sicuro?» è una delle domande più frequenti prima di raccogliere qualcosa di più sensibile di un ordine per il pranzo. La risposta onesta è più sfumata di un semplice sì o no — e dipende interamente da cosa intendi per «sicuro» e dal tipo di dati che raccogli.

Questo articolo risponde alle domande realmente cercate — Google Forms è crittografato, chi può leggere le tue risposte, è conforme al GDPR, come si pone rispetto alla protezione dei dati svizzera — e si chiude là dove un'alternativa a conoscenza zero cambia il quadro. Restiamo equi per tutto il testo: Google fa molte cose bene, e l'obiettivo non è allontanarti da un ottimo strumento, ma aiutarti a distinguere i dati per cui Google Forms va bene da quelli per cui non va.

Google Forms è crittografato?

Sì — ma con una precisazione importante. Google Forms cifra le tue risposte in transito con TLS (la stessa tecnologia dietro il lucchetto nel browser) e cifra i dati archiviati a riposo sull'infrastruttura di Google. Ciò che non fa è la crittografia end-to-end: Google detiene le chiavi, quindi i dati sono leggibili dai sistemi di Google.

Crittografia in transito (TLS)

Quando un rispondente invia un modulo Google, la connessione tra il suo browser e i server di Google è avvolta in un tunnel TLS. Nessuno sulla rete tra i due — un attaccante su un Wi-Fi pubblico, un provider internet, un proxy aziendale — può leggere le risposte lungo il percorso. Questa parte è ben fatta e corrisponde allo standard di qualsiasi servizio web serio.

Crittografia a riposo

Una volta arrivata la risposta, Google decifra lo strato TLS e archivia i dati sulla sua infrastruttura, dove sono cifrati a riposo con chiavi gestite da Google. Questo protegge da una minaccia ristretta: chi rubasse fisicamente un disco da un data center di Google troverebbe byte illeggibili. È una protezione reale, e l'implementazione di Google è solida.

Quindi «Google Forms è crittografato?» è un sì per transito e riposo, ma un no per l'end-to-end. Le risposte esistono in una forma che Google può leggere ogni volta che i suoi sistemi ne hanno bisogno — per archiviazione, indicizzazione, ricerca, filtraggio dello spam, rilevamento di abusi o un'indagine di supporto. È questa distinzione che conta non appena i dati sono riservati.

Google Forms è sicuro?

Dal punto di vista dell'infrastruttura, Google Forms è molto sicuro. Google gestisce data center di livello mondiale, impiega uno dei più grandi team di ingegneria della sicurezza del pianeta, applica patch in modo aggressivo e difende da attacchi di rete, malware e prese di controllo di account meglio di quasi qualsiasi organizzazione da sola. Se il tuo modello di minaccia è «un hacker qualunque entra nei server», Google Forms regge estremamente bene.

La vera domanda non è se le mura siano solide, ma chi è già dentro. «Sicuro» per un modulo riguarda meno il tenere fuori gli attaccanti e più il chi ha accesso legittimo al contenuto leggibile. Per Google Forms, questo elenco è più lungo di quanto la maggior parte immagini:

• Tu, il proprietario del modulo, e chiunque tu conceda accesso in modifica o lettura al modulo
• Chiunque abbia accesso al Google Sheet collegato — facile da sovra-condividere
• Gli amministratori di Google Workspace nel dominio della tua organizzazione, che possono accedere ai contenuti negli account gestiti
• Google stessa, come responsabile del trattamento che gestisce il servizio, per finalità operative (archiviazione, rilevamento abusi, richieste legali)

Niente di tutto questo significa che Google legga le tue risposte ai sondaggi per divertimento. Significa che l'architettura lo consente. Le domande di sicurezza per dati riservati non sono «un hacker potrebbe entrare?» ma «quante parti possono leggere questo nel normale corso delle operazioni, e sono a mio agio con tutte?» Per Google Forms, la risposta alla seconda domanda è maggiore di zero — ed è esattamente la lacuna che la crittografia end-to-end colma.

Chi può leggere le tue risposte di Google Forms?

Più persone e sistemi di quanto il proprietario di solito realizzi. Oltre all'infrastruttura di Google, l'esposizione pratica deriva da come le risposte vengono condivise, da come si propagano nei fogli di calcolo e da cosa accade se un account viene compromesso.

Il modello di condivisione

Le risposte sono visibili a chiunque con cui il modulo — o i suoi risultati — viene condiviso. La collaborazione è un punto di forza di Google, ma significa anche che l'accesso si concede con un paio di clic ed è facile da perdere di vista. Un modulo condiviso con un collega che poi cambia team, un link inoltrato un passo troppo in là, un'impostazione «chiunque abbia il link può visualizzare» lasciata attiva per errore: ognuno allarga la cerchia di chi può leggere ogni risposta.

I fogli di calcolo collegati proliferano

La maggior parte delle persone collega un modulo Google a un Google Sheet per analizzare i risultati. Da quel momento, le risposte vivono in un secondo luogo con le proprie impostazioni di condivisione indipendenti. Le persone copiano il foglio, lo scaricano in Excel, incollano intervalli nelle e-mail, lo importano in altri strumenti o costruiscono dashboard sopra di esso. Ogni copia è un nuovo contenitore in testo semplice degli stessi dati riservati, e nessuna eredita i controlli di accesso dell'originale.

Gli amministratori Workspace

Se il tuo modulo risiede in un account Google Workspace (in precedenza G Suite) gestito dalla tua organizzazione, i tuoi amministratori Workspace dispongono di capacità potenti su quell'account, inclusa la possibilità di accedere ai contenuti sotto la loro gestione. Questo è normale e necessario per l'amministrazione IT — ma significa che le tue risposte sono leggibili dai tuoi stessi amministratori, il che può essere appropriato o meno a seconda di cosa raccoglie il modulo (un reclamo HR su un manager, ad esempio).

La compromissione dell'account: il rischio pratico

Nella realtà quotidiana, il modo più probabile in cui le risposte di Google Forms trapelano non è una violazione di Google. È la compromissione di uno degli account umani che possono leggerle — una password sottratta tramite phishing, una credenziale riutilizzata, un token di sessione rubato da un portatile, un secondo fattore mancante. Poiché i dati sono in testo semplice per chiunque possa accedere, la presa di controllo di un account consegna all'attaccante l'intero contenuto leggibile. Una buona igiene dell'account (autenticazione a due fattori basata su hardware, nessun riutilizzo di password) è qui il controllo più importante — e ricade interamente su di te, non su Google.

Google Forms è conforme al GDPR?

Google Forms può essere usato in modo conforme al GDPR, ma la conformità al GDPR non è una proprietà del solo strumento — dipende da come lo usi, dal piano su cui ti trovi e dagli obblighi che adempi come titolare del trattamento. Google fornisce i mattoni; la responsabilità di assemblarli correttamente è tua.

Workspace vs il piano consumer gratuito

Questa distinzione conta più di quasi tutto il resto. Google Workspace (il piano aziendale a pagamento) include un accordo sul trattamento dei dati (DPA) e clausole contrattuali standard (SCC) che ti danno la base contrattuale che il GDPR si aspetta per ricorrere a un responsabile del trattamento. L'account Google consumer gratuito non include le stesse condizioni di trattamento aziendali. Raccogliere dati personali altrui su un account personale gratuito è molto più difficile da difendere ai sensi del GDPR rispetto a farlo su un account Workspace con un DPA firmato.

I doveri del titolare restano tuoi

Anche con un DPA Workspace in essere, il GDPR mantiene su di te, come titolare, un lungo elenco di doveri: stabilire una base giuridica per la raccolta, fornire un'informativa ai rispondenti, soddisfare le richieste di accesso e cancellazione, applicare la minimizzazione dei dati, tenere un registro dei trattamenti e valutare se i dati siano abbastanza sensibili da richiedere una valutazione d'impatto. Nulla di tutto questo si risolve spuntando una casella in Google Forms.

La questione del trasferimento dei dati

I dati di Google Forms sono ospitati su Google Cloud, prevalentemente negli Stati Uniti per impostazione predefinita (i piani enterprise Workspace offrono alcune opzioni di regione). Il trasferimento di dati personali dall'UE agli Stati Uniti è regolato da meccanismi come il quadro UE-USA sulla protezione dei dati e le SCC, e il panorama giuridico è cambiato ripetutamente nell'ultimo decennio. Per dati sensibili, il fatto che il contenuto sia leggibile da un responsabile con sede negli Stati Uniti — e raggiungibile ai sensi del diritto statunitense come il CLOUD Act — è una parte sostanziale dell'analisi di conformità, non una nota a piè di pagina.

Google Forms e la protezione dei dati svizzera (nLPD)

Per le aziende svizzere, l'analisi è simile al GDPR ma passa per la legge federale riveduta sulla protezione dei dati (nLPD, in vigore da settembre 2023). La Svizzera è una giurisdizione a sé con il proprio regolatore, e molte organizzazioni svizzere — e i loro clienti — hanno una chiara preferenza, o un requisito contrattuale, che i dati personali restino su suolo svizzero sotto il diritto svizzero.

• Ubicazione dei dati: i dati di Google Forms sono ospitati prevalentemente fuori dalla Svizzera, su Google Cloud. Il trasferimento transfrontaliero verso gli Stati Uniti coinvolge le regole della nLPD sui trasferimenti verso paesi con protezione adeguata e sulle garanzie contrattuali.
• Dati personali degni di particolare protezione: la nLPD attribuisce peso particolare alle categorie sensibili (salute, opinioni religiose o politiche, dati di assistenza sociale, biometria e altro). Raccoglierli tramite uno strumento in cui un responsabile statunitense può leggere il contenuto alza l'asticella di ciò che devi documentare e giustificare.
• Aspettative di clienti e settore: studi medici, studi legali, consulenti finanziari ed enti pubblici svizzeri affrontano spesso aspettative di clienti o normative di hosting svizzero che uno strumento ospitato negli USA e leggibile dal fornitore semplicemente non può soddisfare, a prescindere dalla documentazione.

Come per il GDPR, Google Forms non è automaticamente non conforme alla nLPD — ma la combinazione di hosting statunitense e di un fornitore in grado di leggere il testo in chiaro lo rende una scelta inadeguata proprio per le categorie di dati a cui le regole di riservatezza svizzere tengono di più. Per queste, mantenere i dati illeggibili a qualsiasi fornitore e fisicamente in Svizzera elimina le domande più difficili prima che vengano poste.

Quando Google Forms va benissimo

Va detto chiaramente: per una larga parte dei moduli quotidiani, Google Forms è una scelta eccellente e sufficientemente sicura, e ricorrere a una crittografia pesante sarebbe eccessivo. La sua sicurezza è più che adeguata quando il contenuto è a basso rischio e sei a tuo agio con il modello di accesso. Buoni casi d'uso:

• Conferme di partecipazione a eventi, fogli di iscrizione e ordini di pasti o catering
• Sondaggi di team interni e feedback informali senza reali dati personali
• Indagini e quiz anonimi e non sensibili
• Uso scolastico ed educativo tramite Google Classroom
• Moduli di coordinamento rapidi e usa-e-getta all'interno di un gruppo fidato
• Tutto ciò il cui contenuto non causerebbe alcun danno se un collega, un amministratore o il fornitore potesse leggerlo

Per questi, Google Forms è veloce, gratuito, familiare e ben protetto contro le minacce che si applicano davvero. L'errore non è usare Google Forms — è usarlo oltre il punto in cui «Google può leggere questo, e chiunque con cui lo condividiamo anche» smette di essere una risposta accettabile.

Quando serve più di Google Forms

Il confine è la sensibilità. Non appena un modulo raccoglie dati la cui esposizione causerebbe un danno reale — a una persona, ai tuoi obblighi o alla tua reputazione — il modello leggibile dal fornitore smette di bastare. Esempi tipici:

• Dati sanitari: accettazione pazienti, questionari sui sintomi, anamnesi, screening di salute mentale
• Dati legali: presa in carico clienti, dettagli di casi, tutto ciò coperto dal segreto professionale
• Dati HR: reclami, segnalazioni di whistleblower, procedimenti disciplinari, informazioni su stipendi e controversie
• Dati finanziari: coordinate bancarie, documenti KYC, richieste di indennizzo assicurativo, informazioni fiscali
• Qualsiasi dato per cui i rispondenti sarebbero allarmati nel sapere che il fornitore della piattaforma può leggere le loro risposte

Per questi, il confronto giusto non è «Google Forms è sicuro?» ma «chi può leggere questo contenuto, e l'elenco è abbastanza corto?» La tabella seguente mette a confronto il modello di Google — TLS solido più crittografia a riposo, con il fornitore che detiene le chiavi — e un modello crittografato end-to-end in cui nessun fornitore può leggere il contenuto.

Nota l'ultima riga. La crittografia end-to-end non è magia: se un attaccante compromette l'account e la chiave del proprietario del modulo, può leggere ciò che il proprietario può leggere. Ciò che l'E2EE elimina è ogni parte intermedia — il fornitore, il suo personale, i suoi altri sistemi, gli amministratori e chiunque con cui i dati collegati siano stati sovra-condivisi. Per dati riservati, ridurre l'elenco dei lettori a «solo il proprietario» è l'intero scopo.

L'alternativa a conoscenza zero

Schweizerform è costruito specificamente per i moduli in cui «il fornitore può leggere questo» non è una risposta accettabile. È un costruttore di moduli di ingegneria svizzera, orientato alla privacy, con un'architettura fondamentalmente diversa: crittografia end-to-end a conoscenza zero, in cui l'operatore non ha alcuna capacità tecnica di leggere alcun invio.

L'effetto pratico è che le minacce nella colonna di destra della tabella sopra sono affrontate dall'architettura anziché dalla fiducia. Una citazione produce cifrato. Una violazione produce cifrato. Un amministratore, un foglio sovra-condiviso o un ingegnere curioso semplicemente non esiste come percorso verso i tuoi dati, perché il contenuto leggibile non lascia mai i browser del proprietario e del rispondente.

Per essere chiari, questa non è l'affermazione che Schweizerform sia «più sicuro» di Google sotto ogni aspetto — la sicurezza dell'infrastruttura di Google è eccellente e non è qualcosa che un fornitore più piccolo supera per ingegneria. È un'affermazione su una proprietà diversa: l'accesso. Google può leggere le tue risposte di Google Forms; Schweizerform non può leggere i tuoi invii. Per dati riservati, questa sola differenza è decisiva.

In conclusione: Google Forms è sicuro?

Sì, Google Forms è sicuro — per il giusto tipo di dati. Cifra in transito e a riposo, funziona su un'infrastruttura eccellente ed è più che sufficientemente sicuro per conferme di partecipazione, sondaggi interni e indagini non sensibili. Ciò che non è, è crittografato end-to-end, il che significa che Google, i tuoi amministratori e chiunque con cui le risposte vengono condivise possono leggere il contenuto.

Il test onesto è quindi semplice. Se il tuo modulo raccoglie informazioni sanitarie, legali, HR, finanziarie o comunque riservate, la domanda da porsi non è «Google Forms è crittografato?» — è «ogni persona che può leggere queste risposte è qualcuno a cui le affiderei?» Quando questa risposta è no, ti serve uno strumento che il fornitore non possa leggere affatto.