Microsoft Forms è crittografato?

È una domanda legittima e comune, che merita una risposta precisa anziché uno slogan di marketing: Microsoft Forms è crittografato? La risposta onesta è sì — con un asterisco importante. Microsoft Forms cripta bene i vostri dati secondo i criteri che la maggior parte delle persone ha in mente quando lo chiede. Ciò che non fa è la crittografia end-to-end, e questo singolo fatto architetturale decide chi, in definitiva, può leggere le risposte che i vostri moduli raccolgono.

Questo articolo illustra cosa Microsoft Forms cripta davvero, chi può vedere le risposte nonostante quella crittografia, dove risiedono fisicamente i dati, come si inserisce in un programma GDPR e le situazioni specifiche in cui la crittografia fornita da Microsoft non è quella di cui avete bisogno. Abbiamo un interesse in gioco — realizziamo un prodotto concorrente — e abbiamo quindi cercato di rendere pieno merito a Microsoft dove è dovuto. Il fattore distintivo a cui torneremo di continuo non è se i dati sono crittografati, ma chi detiene le chiavi.

Microsoft Forms è crittografato?

Sì. Microsoft Forms cripta i dati in transito tramite TLS e cripta i dati a riposo nei datacenter Microsoft 365. È sicurezza reale, basata su standard, e un'impostazione predefinita sana — le vostre risposte non viaggiano né giacciono in chiaro. La sfumatura riguarda cosa coprono e cosa non coprono queste due protezioni.

Crittografia in transito

Quando un rispondente compila un Microsoft Form, la connessione tra il suo browser e i server di Microsoft è protetta da TLS — la stessa crittografia di trasporto che protegge l'home banking. Nessuno tra il rispondente e Microsoft può leggere o manomettere l'invio mentre viaggia. È la parte di «crittografia» che la maggior parte delle persone immagina, e Microsoft la fa correttamente.

Crittografia a riposo

Una volta che una risposta arriva in Microsoft 365, viene archiviata crittografata a riposo. A livello hardware questo protegge dal furto fisico di un disco da un datacenter Microsoft. Alcuni piani Microsoft 365 consentono anche di aggiungere Customer Key, in cui il cliente fornisce una chiave radice. È un controllo utile — ma sposta chi gestisce le chiavi senza rimuovere la capacità di Microsoft di elaborare i dati. Il servizio decripta comunque le risposte per visualizzarle, indicizzarle e far funzionare le funzionalità.

Cosa non significano crittografia in transito e a riposo

Entrambe queste protezioni sono lato server. TLS termina ai server di Microsoft; i dati sono poi in chiaro all'interno del servizio, elaborati in chiaro e ri-crittografati per l'archiviazione. La crittografia a riposo protegge dal furto del disco, non dai sistemi in funzione di Microsoft, non da un amministratore del tenant e non da chiunque condivida il modulo. In altre parole: Microsoft Forms è crittografato, ma Microsoft — e persone nella vostra organizzazione — possono comunque leggere le risposte. È voluto, e per molti usi è esattamente ciò che volete.

Chi può vedere le vostre risposte Microsoft Forms?

Più persone di quante molti proprietari di moduli suppongano. Nel modello Microsoft Forms le risposte sono deliberatamente progettate per essere accessibili all'interno della vostra organizzazione — questa accessibilità è una funzionalità, non un difetto. L'elenco di chi può tecnicamente leggere una risposta include il proprietario del modulo, chiunque condivida o co-crei con lui, i membri dei moduli di gruppo e i vostri amministratori del tenant, con Microsoft stessa come responsabile del trattamento al di sotto.

• Il proprietario del modulo — l'account che ha creato il modulo vede ogni risposta in chiaro, come previsto
• I co-autori e le persone con cui il modulo è condiviso — condividere un modulo per collaborare o condividere una cartella di lavoro delle risposte concede a queste persone l'accesso in lettura ai dati
• I moduli di gruppo — un modulo di proprietà di un gruppo Microsoft 365 è accessibile a ogni membro di quel gruppo, che può essere un insieme di persone più ampio e fluido di quanto il creatore intendesse
• Gli amministratori del tenant e globali — gli amministratori Microsoft 365 possono gestire i dati di Forms e, tramite gli strumenti di amministrazione e conformità, accedervi a livello di organizzazione
• Microsoft come responsabile del trattamento — i servizi di Microsoft elaborano le risposte in chiaro per visualizzarle, archiviarle e far funzionare le funzionalità, e Microsoft può essere obbligata a produrre dati decifrabili sotto un ordine legale valido

Punto cruciale: questa accessibilità è intenzionale. Microsoft 365 include strumenti di eDiscovery, audit e conformità (Microsoft Purview) proprio perché un'organizzazione possa cercare, conservare e produrre contenuti — comprese le risposte di Forms — per finalità legali e di governance. Una piattaforma costruita per consentire al vostro team di conformità di scoprire i contenuti è, per definizione, una piattaforma su cui quei contenuti sono individuabili. Per i sondaggi interni è desiderabile. Per una linea di segnalazione è l'opposto di ciò che serve.

Dove Microsoft Forms archivia i dati?

Microsoft Forms archivia i dati delle risposte nei datacenter Microsoft 365, in una regione che segue la configurazione del vostro tenant. Per i clienti europei, l'EU Data Boundary mantiene la maggior parte dei dati di servizio Microsoft 365 nelle regioni UE/EFTA. Il Forms consumer gratuito (un account Microsoft personale) è regolato diversamente dal Forms aziendale o scolastico su un tenant gestito.

Microsoft ha investito molto nella residenza regionale dei dati, e l'EU Data Boundary è un miglioramento reale — la residenza a livello di disco all'interno dell'Europa è concreta e significativa. Ma la residenza dei dati riguarda dove si trovano i byte, non a quale sistema giuridico risponde il fornitore. Microsoft Corporation è un'azienda con sede negli Stati Uniti, e il diritto statunitense — incluso il CLOUD Act — può raggiungere i dati detenuti da fornitori statunitensi indipendentemente dalla posizione fisica dei server. Microsoft ha resistito a richieste eccessive in tribunale e pubblica rapporti di trasparenza dettagliati, quindi questo è un punto calmo e fattuale, non un'accusa: un fornitore statunitense che gestisce un datacenter europeo si trova in una posizione giuridica strutturalmente diversa da quella di un fornitore svizzero che opera unicamente sotto il diritto svizzero.

Microsoft Forms è conforme al GDPR?

Microsoft Forms può essere usato in modo conforme al GDPR: tramite l'accordo sul trattamento dei dati (DPA) di Microsoft 365, le clausole contrattuali standard e l'ampio programma di conformità di Microsoft (certificazioni ISO e SOC, impegni GDPR documentati), lo strumento supporta un trattamento lecito. «Conforme al GDPR» non è però una proprietà che uno strumento per moduli possiede da solo — è qualcosa che ottenete dal modo in cui lo distribuite, e i vostri doveri di titolare del trattamento restano interamente vostri.

Il programma di conformità di Microsoft è solido e va riconosciuto chiaramente: un DPA robusto, clausole contrattuali standard per i trasferimenti, certificazioni riconosciute e una chiara documentazione sul trattamento dei dati. Per moltissime attività di trattamento è più che sufficiente. La critica onesta a Microsoft Forms non è che Microsoft sia negligente — è l'architettura di accesso. Poiché Microsoft e i vostri amministratori possono leggere le risposte, i dati personali in esse contenuti sono trattati da un responsabile di giurisdizione statunitense che può accedervi tecnicamente. Questo non viola il GDPR, ma plasma i vostri obblighi.

• I doveri di titolare restano vostri: base giuridica, trasparenza verso i rispondenti, diritti degli interessati, conservazione e minimizzazione spettano a voi, non a Microsoft
• L'analisi del trasferimento si applica comunque: anche con l'EU Data Boundary, la giurisdizione statunitense del fornitore fa parte di un'onesta valutazione d'impatto sul trasferimento
• I dati di categoria particolare (articolo 9 — salute, ecc.) alzano l'asticella, e un responsabile in grado di leggere i dati è un fattore da soppesare
• Gli account consumer vs aziendali/scolastici differiscono: il Forms personale gratuito non è regolato dagli accordi di tenant della vostra organizzazione e non dovrebbe servire per dati personali organizzativi

Microsoft Forms vs uno strumento per moduli crittografato end-to-end

Il modo più chiaro per vedere la differenza è confrontare entrambi gli strumenti con le stesse minacce. La crittografia in transito e a riposo di Microsoft Forms difende bene da alcune e, per progettazione, per nulla da altre. Uno strumento crittografato end-to-end — in cui gli invii sono crittografati nel browser del rispondente e il fornitore archivia solo testo cifrato — sposta la linea esattamente sulle minacce che coinvolgono il fornitore e le persone che possono accedere al tenant.

Leggete con attenzione le tre righe centrali — sono tutta la storia. Microsoft Forms è eccellente contro l'attaccante di rete e ragionevole contro il furto occasionale del disco. È, per progettazione, pienamente accessibile al fornitore, agli amministratori e al procedimento legale coercitivo. Uno strumento E2EE inverte queste tre righe: il fornitore non detiene alcuna chiave, quindi personale, una violazione, gli amministratori e le citazioni si scontrano tutti con testo cifrato. Il compromesso: gli strumenti E2EE non possono offrire funzionalità lato fornitore che richiedono di leggere i dati (ricerca lato server nelle risposte, correzione automatica lato server, analytics approfondita della cartella di lavoro) — ed è esattamente per questo che entrambi i modelli esistono.

Quando Microsoft Forms è lo strumento giusto

Spesso. Per una larga parte dei moduli quotidiani, Microsoft Forms non è solo adeguato, è la scelta intelligente — soprattutto se la vostra organizzazione gira già su Microsoft 365 e i dati semplicemente non sono sensibili. Tirare in ballo la crittografia a conoscenza zero qui sarebbe eccessivo.

• Sondaggi interni, retrospettive di team e consultazioni generali dove le risposte devono essere visibili all'interno dell'organizzazione
• Quiz e valutazioni di formazione, dove la correzione automatica di Microsoft è una funzionalità lato server davvero forte
• RSVP di eventi, fogli di iscrizione e registrazioni leggere senza contenuto sensibile
• Feedback e sondaggi di soddisfazione poco sensibili da persone nel vostro tenant
• Flussi che beneficiano di un'integrazione approfondita con Excel, Teams, SharePoint e Power Automate
• Qualsiasi caso in cui accettate che gli amministratori del tenant e Microsoft, come responsabile, possano leggere i dati

Se la vostra risposta onesta a «importerebbe se un amministratore o Microsoft potesse leggere queste risposte?» è «no», allora la crittografia di Microsoft Forms è esattamente la giusta quantità di crittografia. Comodità, integrazione e costo marginale nullo all'interno di M365 sono vantaggi reali, e nessuna buona prassi di sicurezza dice che dovreste pagare per più protezione di quanta i dati ne giustifichino.

Quando serve di più

Il quadro cambia nel momento in cui il modulo raccoglie dati dove la persona sbagliata che li legge causa un danno reale. In questi casi, la proprietà stessa che rende comodo Microsoft Forms — che i dati siano leggibili all'interno della vostra organizzazione e dal fornitore — è quella che lo squalifica. «L'amministratore può leggerlo» qui non è un bug; è una scelta progettuale che vanifica il caso d'uso per sua natura.

• Indagini HR e reclami — dove l'oggetto di un'accusa potrebbe essere, o gestire, un amministratore del tenant
• Segnalazioni di whistleblower ed etiche — dove la sicurezza del segnalante dipende dal fatto che nessun insider possa identificarlo
• Dati sanitari e dei pazienti — dati di categoria particolare in cui la leggibilità da parte del responsabile è un rischio sostanziale
• Acquisizione di clienti legali e divulgazioni riservate — informazioni protette che non dovrebbero essere individuabili all'interno di un reparto IT
• KYC finanziario, numeri identificativi e dati di conto — dati ad alto impatto, attraenti per minacce esterne e interne
• Questioni di consiglio di amministrazione, M&A e strategia riservata — dove il pubblico deve essere strettamente delimitato, non l'intero tenant
• Raccolta riservata esterna — pazienti, clienti, fonti e candidati che non sono nel vostro tenant e non dovrebbero doversi fidare di esso

L'alternativa a conoscenza zero

Schweizerform è costruito proprio per i moduli che stanno dall'altra parte di quella linea. L'architettura parte da una sola decisione: ogni invio è crittografato nel browser del rispondente prima ancora di raggiungere i nostri server, e archiviamo solo testo cifrato. Non siamo un responsabile che promette di non guardare — siamo un responsabile che non può guardare.

• Crittografia end-to-end a conoscenza zero: gli invii, comprese le allegate, sono crittografati nel browser con AES-256-GCM; la chiave per invio è avvolta con la chiave pubblica RSA-OAEP-2048 del modulo, e la catena di chiavi è protetta dal codice di accesso del proprietario (PBKDF2, 100.000 iterazioni)
• Il fornitore non può leggere le risposte: i nostri server ricevono solo testo cifrato, quindi personale, una violazione o un ordine legale non producono nulla di leggibile — anche sotto citazione
• Hosting svizzero da capo a fondo: server, MySQL, archiviazione compatibile S3 ed e-mail girano su Infomaniak in Svizzera, senza fornitori statunitensi o europei nel percorso dei dati
• Front-end pulito: nessun JavaScript di terze parti, nessun tracker, solo analytics first-party — la pagina di invio non fa trapelare campi a nessuno
• Costruito per il lavoro: 25 tipi di domanda inclusi i caricamenti di file crittografati (25 MB per file), protezione con password, pianificazione e moduli pubblici completamente multilingue in EN, DE, FR e IT — con prezzi in CHF e un piano gratuito dotato della stessa crittografia di ogni piano a pagamento

Per essere precisi sull'ambito: Schweizerform è costruito attorno alla nLPD svizzera e a un trattamento allineato al GDPR. Non è certificato HIPAA e non offriamo un BAA, quindi gli enti sanitari statunitensi con quel requisito specifico devono tenerne conto. Ed è uno strumento di forma diversa da Microsoft Forms — non cerca di sostituire la correzione automatica di Excel o i flussi Power Automate, perché quelle funzionalità richiedono che il server legga i dati, che è esattamente l'unica cosa a cui abbiamo deliberatamente rinunciato.

Se volete il confronto diretto in piena profondità — funzionalità, giurisdizione, modello di prezzo e passaggi di migrazione — su questo sito esiste un confronto dedicato Schweizerform vs Microsoft Forms che va oltre quanto questo articolo possa fare. La versione breve è quella attorno a cui ruota tutto questo testo: tenete Microsoft Forms per ciò in cui è davvero bravo, e usate uno strumento a conoscenza zero per i moduli in cui la risposta a «chi può leggere questo?» deve essere «solo io».

In sintesi

Microsoft Forms è crittografato? Sì — in transito e a riposo, con competenza, e questa base supera davvero l'alternativa di dati non protetti. Per sondaggi interni, quiz, RSVP e dati poco sensibili all'interno di un'organizzazione M365, questa crittografia è la quantità giusta e Microsoft Forms è una risposta del tutto valida.

La domanda che conta davvero per i dati sensibili non è se i dati siano crittografati, ma chi detiene le chiavi. In Microsoft Forms le detiene Microsoft e i vostri amministratori possono leggere le risposte — per progettazione, al servizio di una legittima governance aziendale. Quando quella leggibilità diventa un rischio anziché una funzionalità — HR, salute, legale, segnalazioni, finanza, raccolta riservata esterna — serve la crittografia end-to-end, in cui nessun fornitore e nessun amministratore può leggere ciò che i vostri rispondenti inviano. È tutta qui la differenza, detta chiaramente.