Perché un commercialista o un avvocato dovrebbe evitare un password manager cloud?

Le credenziali dei clienti sono dati di terzi sotto la sua responsabilità. Un vault cloud aggiunge un fornitore alla catena di fiducia, espone i dati a breach del provider (LastPass 2022), li sottopone potenzialmente a normative extra-UE come il CLOUD Act e introduce un sub-processore in più nei contratti DPO/DPA. Un vault locale rimuove l'intera categoria.

Quanto costa una licenza?

OneCritto è gratuito e open source. Nessun abbonamento annuale, nessun costo nascosto, nessun premium tier. È disponibile per Windows e Linux.

Posso archiviare anche file e documenti, non solo password?

Sì. OneCritto archivia password, chiavi SSH, token API, certificati, file PEM, contratti firmati e qualsiasi altro file binario all'interno di un singolo file cifrato .onecritto. Gli allegati sono cifrati con AES-256-GCM in streaming, senza caricare l'intero file in RAM.

OneCritto per Professionisti

Una cassaforte digitale desktop costruita su un rigoroso threat model offline-first. Per studi professionali, consulenti IT e PMI italiane che custodiscono credenziali, contratti e segreti dei propri clienti — e non possono permettersi di delegarne la custodia a un fornitore cloud.

Il punto. Per un professionista italiano, le credenziali dei clienti non sono un "comfort": sono dati di terzi sotto la sua responsabilità. Un singolo breach del fornitore cloud — come LastPass 2022 — espone contemporaneamente l'intero portafoglio clienti. OneCritto rimuove proprio quel rischio: nessun server, nessun fornitore, nessuna terza parte nella catena di fiducia.

Per chi è

Le sei figure professionali per cui OneCritto è oggi più adatto in Italia. Ogni profilo ha bisogni e vincoli normativi diversi, ma una stessa esigenza di fondo: tenere i segreti professionali sotto controllo diretto, sul proprio computer di lavoro.

Commercialisti e Consulenti del Lavoro

Accessi a portali Agenzia delle Entrate, INPS, INAIL, cassetti fiscali e previdenziali, PEC dei clienti, gestionali fiscali. Dati altrui sotto la tua responsabilità.

Una vault per cliente (o per studio): file .onecritto separato.
Allegati cifrati: deleghe, F24, contratti.
Audit Sentinel dimostrabile in caso di verifica.

Studi Legali e Notarili

Accessi a Polisweb, PCT, Anagrafe Tributaria, Camera di Commercio, oltre alle credenziali interne degli assistiti. Segreto professionale e diritto di difesa richiedono custodia esclusiva.

Nessun sub-processore cloud nella catena di custodia.
Archivio cifrato di documenti riservati nel vault stesso.
Auto-lock 3 min, clipboard wipe 20 s.

Consulenti Informatici e Sviluppatori

Server di clienti, RDP, root di console cloud (AWS / Azure), chiavi SSH, token API, certificati. Un vault cloud condiviso significa un solo breach che espone l'intero portafoglio clienti.

SSH Connection Manager integrato.
Un vault per cliente, riducendo il blast radius.
Import CSV da Bitwarden / LastPass / 1Password / KeePass.

Medici e Strutture Sanitarie

Accessi al Fascicolo Sanitario Elettronico, portali regionali, gestionali ambulatoriali, ricetta elettronica. Dati sanitari rientrano nell'Art. 9 GDPR (categorie particolari).

Nessuna trasmissione di credenziali a fornitori extra-UE.
File locale che non transita per CLOUD Act / Patriot Act.
Backup su drive cifrato in studio, sotto controllo diretto.

PMI e Uffici Amministrativi

Home banking aziendale, SPID, firma digitale, portali fornitori, gestionali ERP. Credenziali la cui custodia è responsabilità diretta del titolare o del responsabile IT.

Licenza una tantum, non un abbonamento perpetuo.
Sentinel: dashboard di salute del vault per audit interni.
Generatore password forte e mnemonico integrato.

Liberi professionisti e freelance

Architetti, ingegneri, designer, consulenti, formatori. Pochi clienti, ma ognuno con accessi sensibili (cloud creativi, gestionali di settore, account social aziendali).

Un vault separato per ogni incarico.
A fine incarico: secure-wipe del file e chiusura del capitolo.
Nessun vendor lock-in: il vault è e resta tuo.

Perché un vault cloud non basta più

Per un consumer un password manager cloud è una scelta ragionevole. Per un professionista che custodisce credenziali altrui, l'aritmetica del rischio è diversa. I quattro problemi strutturali del modello cloud sono:

Breach del fornitore. Qualsiasi vendor scegli, erediti la sua postura di sicurezza, i suoi dipendenti, la sua infrastruttura. LastPass 2022 non è un caso isolato, è un esempio del pattern.
Compromissione dell'account. Phishing, push-bombing su MFA, furto di session cookie con proxy AiTM. Se compromessi tu, è compromesso tutto il vault condiviso.
Subordinazione a normative extra-UE. Vendor USA significa CLOUD Act, possibili subpoena silenziose, conflitti con il GDPR su trasferimenti internazionali (Schrems II).
Esposizione contrattuale. Il fornitore cloud è un sub-responsabile del trattamento. Va dichiarato nei DPA verso i clienti, vincolato in DPA verso di te, e ogni suo problema diventa un tuo problema legale.

Come OneCritto risponde, per punti

Esigenza professionale	Risposta OneCritto
Custodia esclusiva dei segreti professionali	Vault come singolo file `.onecritto` sul tuo disco. Nessun server, nessuna copia presso terzi.
Conformità ai principi GDPR (Art. 5, 25, 32)	Trattamento esclusivamente locale, nessun sub-responsabile, nessun trasferimento extra-UE. Crittografia AES-256-GCM e Argon2id by default.
Archiviazione di documenti riservati (contratti, deleghe, F24)	Allegati cifrati first-class con AES-256-GCM in streaming. Open / export / secure-wipe in un click.
Audit di sicurezza dimostrabile	Sentinel: score 0-100 del vault, rilevamento password deboli, comuni, duplicate e vecchie. Piano di rotazione prioritizzato.
Verifica esposizione a data breach noti	Have I Been Pwned via k-anonymity (solo 5 caratteri di hash SHA-1 lasciano il dispositivo, e solo su richiesta).
Gestione chiavi SSH e credenziali server (consulenti IT)	SSH Connection Manager integrato. Chiavi cifrate nel vault, sessioni avviabili con un click, wipe in memoria all'uscita.
Costo prevedibile, no vendor lock-in	Gratuito e open source. Nessun abbonamento, nessuna fascia "Pro" a pagamento, nessun rincaro al rinnovo.
Continuità del servizio	Il software funziona anche se il vendor scomparisse domani. Il vault resta leggibile con qualsiasi altro tool compatibile con il formato (open source verificabile).

Un'architettura pragmatica per studi e consulenze

Un modello operativo che funziona bene per piccoli studi e consulenze tecniche italiane:

Una vault per cliente — file cliente-rossi.onecritto. Si apre solo quando lavori a quel cliente. Riduce esposizione accidentale (copia-incolla cross-cliente, screen-sharing con vault sbagliato aperto).
Una vault "studio" per le credenziali interne (PEC dello studio, gestionale, fornitori).
Backup cifrato su due posti diversi. Il file è già cifrato: una chiavetta USB in cassaforte fisica e un disco esterno cifrato a casa sono sufficienti. Anche un cloud storage personale (Google Drive, OneDrive) funziona, perché il file è opaco al fornitore.
Rotazione disciplinata. A fine incarico (o cambio scope) ruoti le credenziali toccate, secure-wipe del file e conferma al cliente.
Sentinel prima dei rinnovi DPO / audit. Run dell'audit Sentinel su ogni vault, esporta lo score: ti dà un riferimento difendibile in fase di verifica.

E se ho una segreteria o più collaboratori?

I vault locali non sono pensati per editing multi-utente concorrente: è un limite reale, dichiarato. Due pattern funzionano per studi piccoli:

Custode designato. Una persona possiede ogni vault cliente. I collaboratori richiedono le singole credenziali, condivise out-of-band (messaggio cifrato, di persona) only when needed. Più lento, ma tracciabile.
Modello a due livelli. Tool cloud team per credenziali a basso impatto (account social, portali secondari). OneCritto locale per le credenziali ad alto impatto: home banking, PEC, root di console, firma digitale. Anche un breach del cloud tier non compromette le credenziali critiche.

Domande frequenti

OneCritto è conforme al GDPR?

OneCritto è un software desktop che cifra i dati esclusivamente sul dispositivo dell'utente. Per definizione non realizza trattamenti in cloud, non introduce sub-responsabili e non comporta trasferimenti extra-UE. L'utente resta titolare e custode unico del trattamento. La conformità complessiva dipende ovviamente anche dalle policy organizzative dello studio (formazione, registri, gestione data breach interni).

Cosa succede se perdo la password master?

Nessuno può recuperare il vault, neanche noi. È il modello di sicurezza. Si raccomanda di scegliere una password master forte ma memorizzabile (es. una passphrase di 4-5 parole), eventualmente conservarne una copia cartacea in cassaforte fisica, e trattare la sua perdita come un rischio reale da pianificare con backup regolari del file .onecritto.

Come faccio i backup?

Il vault è un singolo file cifrato. Lo copi dove vuoi: chiavetta USB, disco esterno, NAS, o anche un cloud storage personale (il file è opaco al fornitore). Strumenti di backup versionato funzionano senza configurazioni speciali — è solo un file binario.

Posso usarlo su più computer?

Sì, ma manualmente: il file .onecritto è portabile. Copialo su chiavetta USB o disco esterno e aprilo da un altro computer. Non c'è sync automatico — è una scelta di design, non un'omissione. Per la maggior parte dei professionisti la postazione di lavoro è una sola.

C'è un'app per smartphone?

No, e non è in roadmap. Il telefono personale non è un endpoint adatto a custodire credenziali professionali dei clienti, e non vogliamo dare l'illusione contraria. Se hai bisogno di password personali sul telefono, è più sano usare un vault separato e dedicato (anche di un altro prodotto).

Quanto costa?

OneCritto è gratuito e open source. Nessun abbonamento, nessuna licenza annuale, nessun premium tier a pagamento. Il progetto si sostiene tramite partnership professionali e contributi, non tramite SaaS ricorrente.

Approfondimenti correlati

Pronto a togliere i segreti dei tuoi clienti dal cloud?

OneCritto è gratuito, open source, e non richiede registrazione. Scarica il vault desktop e crea il primo file .onecritto in meno di un minuto.

Scarica gratis — Windows e Linux

Nessun account · Nessun abbonamento · Open source verificabile