Giornalismo & linee sicure per fonti
Soffiate di fonti, segnalazioni di whistleblower, invii di documenti e moduli di contatto per lettori — progettati per redazioni, unità d'inchiesta e giornalisti indipendenti che hanno bisogno di un canale che protegga davvero le fonti. Crittografia a conoscenza zero, hosting svizzero e un'architettura in cui la piattaforma stessa non può identificare chi vi ha scritto.
Il giornalismo d'inchiesta dipende da una proprietà fragile: una fonte deve poter raggiungere un giornalista senza essere identificata. Quella proprietà non è mai stata puramente tecnica — ha sempre combinato privilegio legale, pratica redazionale e precauzioni fisiche prese insieme da fonte e giornalista. Ma il canale in sé conta. Una soffiata inviata tramite un modulo il cui fornitore può leggerla è una soffiata che esiste, in chiaro, sul server di un terzo prima ancora che il giornalista la apra.
Schweizerform parte dalla premessa opposta. Ogni invio — una soffiata breve, un promemoria lungo, un documento caricato — è crittografato nel browser del mittente prima di raggiungere i nostri server. Non possiamo fisicamente leggerlo. Per unità d'inchiesta, giornalisti di interesse pubblico, redazioni di piccole testate e indipendenti, questa proprietà fa la differenza fra una linea da prendere sul serio e una che può ricevere solo messaggi non sensibili.
A chi è rivolta questa pagina
Unità d'inchiesta e redazioni politiche di testate consolidate, giornali locali che ricevono segnalazioni di interesse pubblico, piccole riviste indipendenti, team di podcast e documentari, giornalisti indipendenti che accettano soffiate direttamente, ONG per la libertà di stampa e di watchdog con canali sicuri propri. Questa pagina riguarda un controllo tecnico — non sostituisce consulenza legale, editoriale o di protezione delle fonti specifica alla vostra giurisdizione e al vostro sujeto.
Perché la maggior parte dei moduli di contatto non è sicura per le fonti
La maggior parte degli strumenti di moduli online opera su modello SaaS classico: il browser del mittente invia dati in chiaro via HTTPS, il server del fornitore li memorizza. Quel server può leggere tutto. Così il suo personale, i partner d'integrazione, chi compromette l'infrastruttura e qualsiasi autorità che notifichi al fornitore un provvedimento legale. Per un sondaggio di marketing è accettabile. Per una fonte che vuole condividere un documento di interesse pubblico, no.
- Una fonte invia una descrizione di presunta corruzione tramite il modulo di contatto della redazione; il database del fornitore contiene un resoconto leggibile prima che il giornalista lo legga
- Un campo di caricamento documenti accetta un contratto scansionato; il file viene elaborato dall'antivirus del fornitore, memorizzato nella cache da un CDN e spesso archiviato in regioni cloud ospitate negli USA
- Un provvedimento, un mandato o una richiesta d'accesso colpisce il fornitore; la richiesta raggiunge i contenuti delle fonti senza che la fonte ne sia mai informata
- Il fornitore subisce una violazione; tutte le soffiate storiche — comprese quelle che identificano fonti — sono esposte in un colpo solo
- Le notifiche e-mail del fornitore inviano riassunti in chiaro ai giornalisti, esponendo contenuti sensibili al di fuori di qualsiasi flusso crittografato
La protezione delle fonti è più di una dichiarazione di policy
In Svizzera, l'art. 28a CP e l'art. 172 CPP riconoscono ai giornalisti il diritto di rifiutare di rivelare le fonti nella maggior parte dei casi. Negli Stati UE esistono protezioni simili ai sensi dell'art. 10 della Convenzione europea dei diritti dell'uomo e della Raccomandazione R(2000)7 del Consiglio d'Europa. Ma questi privilegi si collegano al giornalista, non al fornitore di moduli. Un responsabile del trattamento con accesso in chiaro agli invii esce dal privilegio — un punto debole dove la riservatezza della fonte può essere compromessa senza che il giornalista sia coinvolto.
Come Schweizerform tutela il canale
Schweizerform è una piattaforma di moduli crittografata end-to-end a conoscenza zero. La crittografia avviene nel browser della fonte, prima che i dati lascino il dispositivo. Solo chi detiene l'Access Code del modulo può decrittare gli invii. Noi — il fornitore — non possiamo.
La redazione genera un modulo e un Access Code
Alla creazione di un modulo per soffiate, Schweizerform genera una coppia di chiavi e un Access Code. La chiave pubblica vive nel modulo; l'Access Code resta presso il giornalista o il team d'inchiesta. I nostri server non lo vedono mai.
La fonte invia da qualsiasi dispositivo
Quando la fonte apre il link del modulo, il suo browser crittografa ogni campo — testo, allegati, contatti opzionali — con crittografia simmetrica forte, poi incapsula la chiave simmetrica con la chiave pubblica del modulo. I nostri server ricevono blob cifrati che non possono decrittare.
Il giornalista decritta nel browser
Quando il giornalista apre l'invio, il suo browser recupera il blob, disincapsula la chiave simmetrica con l'Access Code e decritta localmente. Il testo in chiaro non tocca mai i nostri server.
La piattaforma non sa chi sia la fonte
Per impostazione predefinita l'invio è anonimo. Non richiediamo un account e non raccogliamo metadati identificativi oltre a quanto strettamente necessario alla consegna del cifrato. Un provvedimento che ci venga notificato per «l'identità della persona che ha inviato questo modulo» non può trovare risposta — non possediamo quell'informazione.
Cosa protegge e cosa non protegge la conoscenza zero
La crittografia a conoscenza zero protegge il contenuto dell'invio da noi e da chiunque potrebbe costringerci, violarci o citarci. Non anonimizza l'identità di rete della fonte. Una fonte che invia da un computer di lavoro su una rete aziendale, senza ulteriori precauzioni, può ancora essere identificabile tramite log di rete e analisi forense del proprio dispositivo. Per fonti ad alto rischio, l'uso di Tor Browser, un dispositivo personale su una rete pubblica e l'evitare sistemi di lavoro contano almeno quanto la crittografia del modulo. Le redazioni con linee ad alto rischio dovrebbero combinare questa piattaforma con indicazioni chiare alle fonti — e considerare, quando la minaccia lo giustifica, piattaforme dedicate come SecureDrop.
Casi d'uso giornalistici concreti
Linea generale di redazione
Un unico modulo crittografato, collegato dalla pagina di contatto, sostituisce l'indirizzo «tips@testata» non protetto per invii sensibili. Le fonti possono inviare un breve messaggio o allegare documenti; ogni campo è crittografato nel loro browser e solo il responsabile della linea può decrittare. Sufficiente per la maggior parte dei sujeti; i sujeti ad alto rischio richiedono canali stratificati sopra.
Deposito documenti dell'unità d'inchiesta
Le unità d'inchiesta spesso devono accettare documenti voluminosi — contratti, dataset, memo interni — da insider. Un modulo di deposito crittografato dedicato accetta caricamenti in forma crittografata-da-browser, decrittati sulla workstation dell'investigatore e spostati nell'area di lavoro interna sicura. Il fornitore non detiene mai una copia decriptabile.
Accoglienza soffiate per indipendenti
I giornalisti indipendenti spesso non hanno accesso a piattaforme enterprise per invii sicuri. Una linea Schweizerform offre a un giornalista indipendente la stessa garanzia architettonica — il fornitore non può leggere le soffiate — a un prezzo e a una complessità operativa sostenibili per una sola persona.
Canale riservato per la direzione
Alcuni invii dovrebbero raggiungere solo il direttore o l'ufficio legale, non la casella generale. Un modulo separato con un proprio Access Code, detenuto solo da quelle persone, crea uno scomparto più ristretto — utile per rettifiche che coinvolgono soggetti influenti, contatti delicati con fonti o coordinamento di fronte a minacce legali.
Canale lettori con protezione dell'identità
Le rubriche di opinione e di lettere ricevono contributi da persone che potrebbero essere esposte se la loro identità fosse ampiamente divulgata — dissidenti, minori, sopravvissuti, dipendenti di organizzazioni nominate. Un modulo di contatto lettori crittografato protegge il loro testo dall'essere memorizzato in cache, indicizzato o analizzato da terzi, mentre la redazione decide con il contribuente come gestire l'attribuzione.
Accoglienza di collaborazioni transfrontaliere
Per inchieste collaborative fra più testate — dove una soffiata deve raggiungere un piccolo gruppo di giornalisti concordato in anticipo — gli Access Code per modulo possono essere detenuti collettivamente dal team di progetto. Un singolo invio diventa decrittabile solo per quel progetto, non per qualsiasi sistema redazionale più ampio.
Cosa vedono fonti, avversari e provvedimenti
| Prospettiva | Fornitore generico | Schweizerform |
|---|---|---|
| Fonte che compila il modulo | Modulo in chiaro, memorizzato nel cloud del fornitore | Modulo in chiaro, crittografato nel browser prima dell'invio |
| Supporto / personale del fornitore | Può leggere soffiate e allegati | Non può decrittare; vede solo blob cifrati |
| Provvedimento notificato al fornitore | Soffiate in chiaro producibili | Solo testo cifrato; inutile senza l'Access Code |
| Violazione presso il fornitore | Soffiate e allegati leggibili esposti | Testo cifrato esposto; contenuto illeggibile |
Contesto legale ed etico
La Svizzera dispone di una tutela legale delle fonti consolidata: l'art. 28a CP e l'art. 172 CPP danno ai giornalisti il diritto di rifiutare la testimonianza sulle proprie fonti, salvo eccezioni ristrette. La CEDU ha confermato più volte, tramite casi come Goodwin c. Regno Unito e Sanoma c. Paesi Bassi, che la protezione delle fonti è un pilastro della libertà di stampa ai sensi dell'art. 10. La Raccomandazione R(2000)7 del Consiglio d'Europa espone i principi nel dettaglio.
Queste protezioni si collegano ai giornalisti. Non si estendono automaticamente ai prestatori terzi che trattano comunicazioni delle fonti in chiaro. La scelta del canale d'ingresso determina quanta di quella protezione l'architettura fornisce effettivamente. Un modulo a conoscenza zero restringe la cerchia di persone e sistemi che possono vedere identità o contenuto di una fonte — in linea con lo spirito della giurisprudenza sulla stampa, anche se la piattaforma stessa non è un giornalista.
La crittografia è uno strato di un programma di protezione delle fonti
Un programma credibile comprende anche la pratica redazionale (nessuna attribuzione pubblica che renda identificabile una fonte), la formazione opsec delle fonti, la gestione attenta dei metadati negli strumenti interni, la revisione in clean-room di documenti sensibili e il supporto legale in caso di provvedimento. Schweizerform è lo strato del canale di invio — una componente fra le altre.
Funzionalità rilevanti per il giornalismo
- Crittografia end-to-end a conoscenza zero su ogni invio — nessun accesso in lettura del fornitore
- Vero invio anonimo — nessun account richiesto, nessun metadato di fonte raccolto per impostazione predefinita
- Caricamento documenti crittografato — contratti, memo, immagini, registrazioni, PDF — crittografati nel browser della fonte
- Moduli multilingue (EN / DE / FR / IT) — essenziale per redazioni con pubblico multilingue o inchieste transfrontaliere
- Access Code per modulo assegnabili a unità o progetti specifici, così linea generale e deposito inchiesta restano nettamente separati
- Hosting svizzero con postura allineata alla nLPD — i payload delle soffiate non lasciano la Svizzera
- Log di audit degli accessi senza esporre il contenuto
- Piano gratuito adatto a un singolo giornalista o a una piccola testata indipendente che pilota una linea sicura
Obiezioni frequenti
"Usiamo già un indirizzo e-mail semplice per le soffiate."
L'e-mail è il default, ma anche il canale meno controllato — non crittografata fra server, conservata sui dispositivi, ricercabile in seguito, soggetta al regime di accesso del fornitore di posta. Un modulo crittografato chiaramente identificato sulla pagina della redazione dice alla fonte che può inviare senza identificarsi e offre una postura legale e tecnica più pulita di una casella generica.
"Non genererà solo spam e scherzi?"
Qualsiasi canale pubblico attira rumore, e un canale a conoscenza zero non è magico. I rimedi sono operativi: spiegare chiaramente lo scopo, fare triage come con le e-mail, richiedere campi di categorizzazione opzionali che aiutano a filtrare le soffiate serie dal rumore. Il segnale è migliore di una casella aperta; non è perfetto.
"Se perdiamo l'Access Code, perdiamo le soffiate."
Corretto — proprietà voluta. Pratica raccomandata: custodia documentata, busta sigillata presso il direttore, copia presso l'avvocato della testata o HSM. Evita il fallimento di una singola persona mantenendo la proprietà «non possiamo essere costretti a leggere ciò che non abbiamo».
"Usiamo già SecureDrop per fonti ad alto rischio."
SecureDrop adotta un modello di minaccia più forte — Tor only, workstation air-gapped isolate, infrastruttura dedicata — e resta lo strumento adatto a linee d'inchiesta ad alto rischio. Schweizerform non lo sostituisce. Lo integra coprendo i casi quotidiani di contatto lettori e soffiate di redazione dove l'intero flusso SecureDrop è sproporzionato — con la stessa garanzia che il fornitore non può leggere.
Avviare una linea Schweizerform
Scegliere i primi canali
Coppia tipica: un modulo generale di redazione e un deposito documenti d'inchiesta. Tenerli separati perché sia chiara la cerchia di lettori di ciascuno.
Stabilire la custodia delle chiavi
Decidere chi detiene l'Access Code per ciascun modulo (es. il responsabile della linea e il capo dell'inchiesta), documentare la procedura e testare il recupero dalla copia in escrow prima di pubblicare il modulo.
Pubblicare nelle lingue rilevanti
Per una testata svizzera, tipicamente DE / FR / IT / EN. Lo stesso modulo si visualizza in ogni lingua e resta end-to-end crittografato ovunque.
Pubblicare indicazioni accanto al modulo
Una breve pagina «come contattarci in sicurezza» collegata al modulo: cosa fa la crittografia, cosa non fa, suggerimenti pratici (usare un dispositivo di fiducia, evitare reti aziendali per soffiate sensibili, considerare Tor per materiale ad alto rischio). Essere onesti sui limiti costruisce fiducia.
Provare il flusso
Fate un invio di prova con un collega: decrittate, gestite il materiale con il normale flusso redazionale, eliminate la copia di lavoro quando la storia è pubblicata. Scoprire lacune prima dell'arrivo di una vera fonte costa molto meno che dopo.
La conclusione
La protezione delle fonti è un sistema: privilegio legale, pratica redazionale, sicurezza operativa e il canale di invio stesso. La maggior parte è già in essere in una redazione seria. Il canale di invio è spesso l'anello debole — perché è economico, comodo e invisibile, e perché le sue debolezze si manifestano solo il giorno in cui arriva un provvedimento o il fornitore subisce una violazione.
Schweizerform offre un miglioramento mirato ma importante: crittografia end-to-end a conoscenza zero su ogni modulo, hosting svizzero e un'architettura in cui la piattaforma stessa non può identificare chi vi ha scritto. Nessun upgrade a pagamento per la sicurezza. Nessuna dipendenza dal cloud USA per i contenuti delle soffiate. Nessuna copia leggibile da terzi di materiale sorgente su un server fuori dal vostro controllo.
Iniziate con un singolo modulo di linea nel piano gratuito. Hosting svizzero, crittografia a conoscenza zero e pieno supporto EN / DE / FR / IT — nessuna carta di credito richiesta.
Avvertenza: Questa pagina è informazione generale e contenuto di marketing, non consulenza legale, redazionale o di protezione delle fonti. I riferimenti all'art. 28a CP, all'art. 172 CPP, all'art. 10 della Convenzione europea dei diritti dell'uomo, alla Raccomandazione R(2000)7 del Consiglio d'Europa, alla giurisprudenza sulla stampa e a piattaforme terze come SecureDrop sono riassunti a livello concettuale e soggetti a interpretazione giurisdizionale, applicazione caso per caso e future modifiche legislative. La responsabilità della protezione delle fonti, della strategia legale e delle decisioni editoriali resta della redazione, del direttore o del giornalista. Per storie ad alto rischio o fonti in giurisdizioni ostili, consultate un legale qualificato in diritto dei media e uno specialista in sicurezza digitale prima di fare affidamento su un unico canale d'ingresso.