ATTO 3: Anonimato Online
Viviamo in un’epoca in cui ogni singola interazione online è tracciata, registrata e analizzata. Dicono che sia per migliorare l’esperienza utente. In realtà, è solo un altro modo per profilarti, schedarti e venderti. L’anonimato non è un capriccio. È autodifesa digitale. È la tua ultima linea di resistenza.
Ogni volta che navighi senza protezioni, lasci dietro di te una scia digitale. Il tuo indirizzo IP, il tipo di dispositivo, la versione del browser, i tuoi interessi, i tuoi orari, le tue abitudini: tutto viene registrato. I siti web sanno chi sei anche se non ti logghi. Le pubblicità ti seguono da una scheda all’altra. Il tuo provider osserva ogni pagina che apri. Il tuo smartphone comunica con più server di quanti tu ne possa immaginare. Anche quando è in tasca, anche quando non lo usi.
🛡️ Tor: l’anonimato come principio
Per proteggersi non basta cancellare la cronologia. Serve un cambio di mentalità. Devi iniziare a usare strumenti progettati per proteggere, non per raccogliere. Il primo passo, il più semplice, è usare Tor. Il Tor Browser crea una rete cifrata intorno a te e rimbalza il tuo traffico attraverso nodi casuali sparsi per il mondo. Nessuno sa chi sei, da dove vieni, né dove stai andando. Ogni pacchetto di dati attraversa almeno tre nodi (entry, relay, exit), e ognuno di questi ha una visione parziale del percorso. Questo è il cuore del sistema: nessuno ha una visione completa del tuo traffico.
Tor non è perfetto, ma è molto meglio che navigare nudo. Tuttavia, va capito per quello che è: uno strumento per la privacy, non per la velocità. Il routing a cipolla introduce inevitabilmente una certa lentezza nella navigazione. Le connessioni sono più lente, i caricamenti richiedono più tempo, lo streaming può diventare frustrante. Questo perché la tua richiesta non va dritta al server, ma compie un giro del mondo cifrato. Ed è proprio quel giro che ti protegge.
Se stai cercando le massime prestazioni, Tor non fa per te. Ma se stai cercando protezione, anonimato e indipendenza dalla sorveglianza globale, Tor è uno degli strumenti più potenti e accessibili che tu possa usare. E la lentezza, in questo contesto, è il prezzo da pagare per la libertà.
🔒 VPN: mascherare l’identità, non fidarsi alla cieca
Un altro strumento utile è la VPN, una rete privata virtuale che cifra la connessione e maschera il tuo IP. Se scegli una VPN seria, che non tiene log e non è soggetta a pressioni governative, guadagni un buon livello di privacy. Ma attenzione: la VPN è solo un ponte, non un mantello dell’invisibilità. Se ti logghi su un account Google mentre sei connesso alla VPN, ti stai solo spostando di gabbia. Non sei libero, stai solo cambiando sorvegliante.
🧨 JavaScript: il male silenzioso del Web
Se c'è un elemento che ha trasformato il web in una macchina di sorveglianza, è JavaScript. Nato per rendere le pagine dinamiche e interattive, è diventato lo strumento preferito per il tracciamento, la profilazione, la raccolta dati. Ogni volta che apri un sito moderno, decine di script in JavaScript iniziano a girare silenziosamente sul tuo browser, senza che tu te ne accorga. Rilevano il tuo sistema operativo, la risoluzione dello schermo, il fuso orario, i font installati, la velocità del mouse. Creano un profilo unico, un'impronta digitale, che può identificarti anche se cambi IP o navighi con Tor.
JavaScript permette ai siti di aggirare le normali barriere alla privacy. Può leggere informazioni sull'hardware, accedere a dati sensibili del browser, forzare connessioni in background, eseguire fingerprinting avanzato. E peggio ancora, funziona anche quando pensi di essere protetto. Per questo, se stai usando Tor Browser, o un qualsiasi altro strumento pensato per garantire anonimato reale, la prima cosa da fare è disattivare JavaScript.
Sì, disattivandolo molti siti smettono di funzionare correttamente. Ma è il compromesso necessario se vuoi davvero impedire al web di spiarti. In Tor Browser, la sicurezza alta blocca JavaScript per impostazione predefinita. E non è un caso: è l'unico modo per evitare di essere identificabili. Più funziona un sito, più dati sta raccogliendo su di te.
JavaScript è ovunque. Invisibile. Silenzioso. Pericoloso. Se cerchi la massima privacy, trattalo per quello che è: un codice che lavora contro di te.
📧 Email: il primo anello della catena
Se usi la posta elettronica per scopi sensibili, dimentica Gmail e Outlook. Sono strumenti di sorveglianza. Per comunicazioni riservate esistono servizi come ProtonMail o Tutanota, che offrono crittografia end-to-end e server fuori dalla portata delle agenzie occidentali. Vuoi un livello in più? Usa alias temporanei con strumenti come SimpleLogin. Così ogni account ha una propria identità digitale, disaccoppiata da tutto il resto.
💻 Macchine virtuali e Whonix: compartimenti stagni per la tua identità
Ma se quello che stai facendo è davvero importante, se la tua privacy non può permettersi errori, allora devi alzare il livello. Navigare protetti non basta più. Serve isolare ogni attività in ambienti separati. E questo si fa con le macchine virtuali.
Le macchine virtuali ti permettono di creare spazi isolati dentro al tuo sistema, ambienti separati dove puoi svolgere attività specifiche senza che il resto del tuo computer venga coinvolto. È come avere stanze diverse per ogni identità digitale. Niente si mescola, niente si confonde. Puoi avere una macchina per navigare, una per scaricare, una per comunicare. Quando hai finito, spegni tutto, e le tracce scompaiono.
Se vuoi andare ancora oltre, esiste Whonix. È una distribuzione pensata per l’anonimato totale. Si basa su Debian, e si divide in due parti: una macchina virtuale che funge da gateway Tor, e una seconda che fa da workstation. Nessuna applicazione ha accesso diretto a Internet: tutto passa attraverso Tor, forzatamente. Anche se un malware cercasse di connettersi all’esterno, non potrebbe. Non esiste un canale diretto. Tutto è chiuso, instradato e sorvegliato. Ma non da Google. Da te.
E non è solo una questione di software. È una questione di metodo. Ogni attività privata dovrebbe essere svolta in un ambiente isolato. Non mischiare identità, non usare le stesse password, non loggarti mai da ambienti reali. Se stai facendo qualcosa che deve restare privato, deve restare scollegato da tutto il resto. Niente account personali, niente Wi-Fi di casa, niente email riciclate. Se una macchina virtuale si contamina, la elimini. E ne crei una nuova.
🔐 PGP: cifrare i tuoi pensieri per sopravvivere al mondo chiaro
Quando tutto è tracciato, anche la parola scritta diventa un’arma contro di te. Ecco perché, se vuoi comunicare in modo davvero sicuro, devi cifrare i tuoi messaggi. Il metodo più efficace e collaudato per farlo si chiama PGP, ovvero Pretty Good Privacy. È uno standard di crittografia a chiave pubblica, nato negli anni ’90, e ancora oggi insuperato per proteggere la comunicazione da occhi indiscreti.
Funziona così: ogni persona ha due chiavi. Una chiave pubblica, che può essere condivisa con chiunque. E una chiave privata, che deve restare segreta. Se qualcuno vuole mandarti un messaggio cifrato, usa la tua chiave pubblica. Solo tu, con la tua chiave privata, potrai decifrarlo. E viceversa. Nessun intermediario, nessun server che possa leggere il contenuto. Solo mittente e destinatario, punto.
La bellezza di PGP è che può essere usato ovunque. Anche su canali totalmente insicuri. Puoi copiare e incollare un messaggio cifrato in un’email, in una chat, su un forum, persino su Facebook o Instagram se proprio devi. Il contenuto sarà solo una sequenza indecifrabile di caratteri. Chiunque lo intercetti non potrà farci nulla, a meno che non abbia la tua chiave privata (e se l’hai protetta bene, non ce l’ha nessuno).
Esistono molti strumenti per usare PGP anche se non sei un esperto. Su desktop puoi installare GPG (GnuPG), che è open-source e supporta tutte le funzioni PGP. Su Windows puoi usare Kleopatra, su Linux puoi lavorare da terminale o con interfacce come Seahorse. Per Android esiste OpenKeychain, che si integra con app di posta come K-9 Mail. Su iOS ci sono client come Canary Mail o PGPro.
Per iniziare basta creare una coppia di chiavi, salvarle in modo sicuro (soprattutto la privata), e iniziare a condividerle con i tuoi contatti fidati. Una volta che entrambi avete le chiavi pubbliche, potete scambiarvi messaggi cifrati anche dentro un mondo completamente ostile. Nessuno leggerà nulla. Nemmeno le piattaforme su cui quei messaggi viaggiano.
PGP non è immediato come WhatsApp. Non è comodo come Telegram. Ma è tuo. È libero. È incorruttibile. Se hai qualcosa da dire, che non deve essere ascoltato, questo è il linguaggio giusto. Non importa dove lo dici, importa come lo dici. E con PGP, lo dici solo a chi vuoi tu.
🧬 Metadati: il DNA nascosto dei tuoi file
Ogni file che crei, modifichi o invii nel mondo digitale porta con sé una firma. Invisibile a occhio nudo, ma chiarissima per chi sa dove guardare. Si chiama metadata. È un’informazione nascosta all’interno del file stesso, che racconta molto più di quanto credi: chi lo ha creato, quando, da quale sistema operativo, con quale software, e spesso anche da quale posizione geografica.
Non parliamo solo di foto. Anche un banale PDF, un documento Word, un foglio Excel o persino un file audio può contenere dettagli che ti smascherano. Il nome utente del tuo PC, l’organizzazione aziendale, il percorso in cui il file è stato salvato, la cronologia delle modifiche, il software utilizzato, il numero di revisioni, persino timestamp nascosti. In alcuni casi, i metadati possono includere identificatori univoci, come UUID, MAC address o seriali di dispositivo.
Immagina di inviare un documento che credevi “anonimo” e alleggerito, magari attraverso Tor o una mail cifrata. Ma all’interno ci sono ancora il tuo nome reale, la cartella “C:\Users\Marco\Documents\Whistleblow\”, o il seriale della tua installazione di Office. Hai protetto il contenitore, ma lasciato intatto il contenuto. È come spedire una lettera in cassaforte, ma con la firma sul foglio dentro.
I metadati sono usati in ambito forense, nelle indagini OSINT, nella sorveglianza automatizzata. Sono silenziosi, non appaiono nel contenuto visibile, ma sono letali per chi cerca l’anonimato. Bastano pochi secondi con gli strumenti giusti – ExifTool, mat2, pdfinfo – per leggere tutto quello che non volevi rivelare.
Prima di condividere qualsiasi file in un contesto sensibile, va ripulito. Non esiste anonimato senza sanificazione dei documenti. E non basta aprirli e risalvarli. Serve analizzarli, strippare ogni metadato, oppure convertirli in formato neutro: stampa su PDF, screenshot statici, re-encoding da macchina virtuale, uso di tool come MAT2 o BleachBit. Ogni metodo ha il suo costo, ma il prezzo dell’ingenuità è sempre più alto.
Il tuo file è pulito solo quando ne sei certo. Tutto il resto è una bomba con la miccia accesa.
📡 Il Wi-Fi ti tradisce, anche quando non lo usi
Cammini per strada convinto di essere anonimo. Non hai GPS attivo, non sei loggato a nessun social, magari stai pure usando Tor. Ma hai il Wi-Fi acceso. E questo basta per essere identificabile. Ogni dispositivo con il Wi-Fi attivo emette automaticamente probe request: segnali che chiedono “ci sei?” alle reti che hai salvato in passato. Casa, lavoro, bar, palestra. Il tuo telefono interroga l’ambiente intorno cercando quelle reti, anche quando non sei connesso.
Chiunque abbia un ricevitore Wi-Fi in ascolto – un laptop, un Raspberry Pi, un’antenna – può vedere queste richieste. Ogni probe contiene l’indirizzo MAC del tuo dispositivo (a volte randomizzato, a volte no) e i nomi delle reti Wi-Fi a cui ti sei connesso in passato. Questi dati sono sufficienti per ricostruire una mappa dei luoghi che frequenti, delle tue abitudini, dei tuoi movimenti. Se ti trovi in un ambiente ristretto, come una sala conferenze o una manifestazione, è banalmente facile incrociare i dati e capire chi sei.
Hai il Wi-Fi acceso e tra le reti cercate c'è “CasaMarco5GHz”? In quel momento, sei l’unica persona che potrebbe aver frequentato quella rete. Il tuo anonimato è finito. Senza nemmeno connetterti. Senza dire una parola.
Se cerchi privacy reale, il Wi-Fi si spegne. Sempre. Attivalo solo quando strettamente necessario. Svuota la lista delle reti salvate. Non lasciare che il tuo dispositivo racconti dove sei stato. Perché se lo fa, non serve nessuna sorveglianza attiva per trovarti. Basta ascoltare il rumore che lasci dietro di te.
💿 Se non cifri il disco, è come lasciare il diario aperto sulla scrivania
Puoi usare Tor, VPN, macchine virtuali, sistemi operativi live. Ma se il tuo computer viene preso, e il disco non è cifrato, è finita. Ogni file, ogni frammento di cronologia, ogni chiave, ogni messaggio: tutto è leggibile. A quel punto, non importa quanto sia stato sicuro il tuo comportamento online. Hai lasciato la porta di casa spalancata. E qualcuno è entrato.
La cifratura del disco è la base della sicurezza locale. Serve a rendere ogni bit memorizzato illeggibile senza una chiave di sblocco. Quando il sistema è spento, il contenuto del disco è un caos di byte inutilizzabili. Nessun software forense, nessun recovery tool, nessuna magia può decifrare i tuoi dati senza la chiave. È come se il disco fosse spento. Invisibile.
Su Windows, lo strumento ufficiale è BitLocker, integrato nelle edizioni Professional ed Enterprise. Offre cifratura trasparente, supporta l’uso di TPM (Trusted Platform Module), ma anche di password o chiavi USB. È comodo, ma attenzione: se il sistema è attivo, i dati sono accessibili. E peggio: se il tuo account Microsoft è integrato nel sistema, la chiave potrebbe essere salvata online, senza che tu lo sappia. Un’alternativa più trasparente è VeraCrypt, software open source che ti permette di cifrare tutto il disco o creare volumi nascosti all’interno di altri. VeraCrypt è più lento da configurare, ma è più solido sul piano della fiducia.
Su Linux, la cifratura completa del disco è uno standard in fase di installazione. Il sistema più usato è LUKS (Linux Unified Key Setup), che può proteggere tutto il filesystem, inclusa la partizione di swap. Se installi distribuzioni come Debian, Ubuntu o Arch, basta selezionare "cifratura LVM con LUKS" durante l’installazione. Al boot, verrà richiesta la passphrase per sbloccare il volume. Semplice, potente, e completamente open source. Anche qui puoi usare VeraCrypt per volumi cifrati portabili, oppure eCryptfs o fscrypt per cifrare solo singole cartelle.
Ma ricorda: la cifratura protegge solo quando il sistema è spento o bloccato. Se lasci il PC acceso e ti allontani, un attaccante può copiare i dati senza fatica. E se usi una password debole, la cifratura è inutile. Scegli una passphrase lunga, complessa, e non salvarla da nessuna parte. Scrivila a mano, ricordala a memoria, oppure conservala offline in modo sicuro.
Se il tuo disco non è cifrato, il tuo anonimato ha le ore contate. La cifratura non è paranoia. È autodifesa di base. È il minimo indispensabile per chi non vuole che tutto il suo mondo venga letto come un libro aperto.
🔍 Motori di ricerca: quando anche le domande diventano tracciamento
Ogni ricerca che fai online è un pezzo della tua identità. I motori di ricerca tradizionali – Google, Bing, Yahoo – registrano ogni query, ogni clic, ogni parola digitata. Nel tempo, costruiscono un profilo dettagliato su di te: cosa ti interessa, dove vivi, quando sei attivo, cosa temi, cosa desideri. E tutto questo non viene usato per aiutarti, ma per venderti. A chi paga di più.
Una delle alternative più famose a Google è DuckDuckGo, spesso promosso come motore “privacy-friendly”. È vero: non registra le ricerche, non traccia gli utenti con cookie permanenti, e non personalizza i risultati sulla base del tuo storico. Ma è importante sapere che DuckDuckGo non è un motore indipendente. I risultati provengono in gran parte da Bing (Microsoft), e alcune query vengono comunque filtrate da fonti centralizzate. Inoltre, in passato sono stati scoperti accordi con Microsoft che permettevano tracking parziale tramite script incorporati in alcuni siti visitati dopo la ricerca.
DuckDuckGo è un compromesso: migliore di Google, ma non una garanzia assoluta di anonimato. È adatto per un uso quotidiano più riservato, ma non per ricerche realmente sensibili. Se hai bisogno di un livello superiore, ci sono alternative come SearxNG – un motore open source, self-hosted, che non salva nulla, o Startpage, che restituisce risultati Google ma fa da proxy tra te e il motore, evitando profilazione diretta.
La regola è semplice: se non controlli l’infrastruttura, non hai alcuna certezza. Ogni volta che digiti qualcosa in una barra di ricerca, ti stai esponendo. Per questo, se stai usando Tor o sistemi compartmentalizzati, scegli solo motori che rispettano il principio del “zero log” reale. O meglio ancora, usa motori hostati su server affidabili da te o dalla tua comunità, basati su Searx, Whoogle o simili.
Anche la ricerca è un atto politico. Le domande che fai dicono chi sei. E oggi, il sapere non è più libero: è venduto, filtrato, censurato. Se vuoi pensare con la tua testa, inizia da dove cerchi le risposte.
🎯 L’anonimato non è invisibilità, è controllo
L’anonimato richiede disciplina. Non è solo questione di strumenti, ma di comportamento. Ogni clic può rivelare qualcosa. Ogni abitudine è una traccia. E ogni leggerezza è una porta aperta.
Chi ti dice che non hai nulla da nascondere, è lo stesso che vuole vedere tutto. Ma la tua vita non è un palinsesto da condividere. È tua. E solo tu devi decidere cosa mostrare e a chi.
Proteggersi non è paranoia. È consapevolezza. Anonimato non è invisibilità. È controllo. E il controllo, oggi, è l’unico modo per essere liberi.