KeePassXC vs Bitwarden

Perché passare da Bitwarden a KeePassXC?

Bitwarden si è guadagnato una solida reputazione come password manager cloud open source e conveniente. Ma la sua architettura richiede comunque di affidarsi a un’azienda statunitense con i dati crittografati del tuo vault memorizzati su server che non controlli. Quando usi Bitwarden, il tuo database di password crittografato viene caricato sull’infrastruttura cloud di Bitwarden (ospitata su Microsoft Azure), creando un obiettivo centralizzato per gli aggressori e un punto di esposizione ai meccanismi legali statunitensi come il CLOUD Act.

KeePassXC adotta un approccio fondamentalmente diverso: le tue password non lasciano mai il tuo dispositivo. L’intero database delle password è un singolo file crittografato memorizzato localmente sul tuo computer, dandoti il controllo assoluto su dove risiedono le tue credenziali più sensibili. Non ci sono account da creare, server di cui fidarsi, abbonamenti da pagare e nessuna azienda che possa essere pressata per fornire accesso ai tuoi dati.

Sviluppato da un team europeo della community con forti radici in Germania, KeePassXC si basa sul leggendario ecosistema KeePass — il formato open source per password più utilizzato al mondo. Combina il solidissimo formato database KDBX con un’applicazione desktop moderna e multipiattaforma, integrazione browser, supporto per agente SSH e autenticazione TOTP — il tutto senza inviare un singolo byte dei tuoi dati su internet.

Confronto funzionalità

Funzionalità	KeePassXC	Bitwarden
Funzionalità offline	✅ Completamente offline di default	⚠️ Richiede internet per la sincronizzazione
Open source	✅ GPLv2/GPLv3	✅ GPLv2 (client), AGPLv3 (server)
Dipendenza dal cloud	✅ Nessuna — solo file locale	⚠️ Azure cloud (ospitato negli USA)
App desktop	✅ Nativa (Windows, macOS, Linux)	✅ Basata su Electron (tutte le piattaforme)
Estensione browser	✅ KeePassXC-Browser	✅ Estensione completa
App mobile	⚠️ Tramite KeePassDX / Strongbox	✅ Nativa iOS e Android
Agente SSH	✅ Integrato	❌ Non disponibile
Supporto TOTP	✅ Integrato	✅ Solo Premium
Condivisione password	⚠️ Condivisione file database	✅ Funzione Organizzazioni
Vault web	❌ Nessuna interfaccia web	✅ Vault web completo
Prezzo	✅ Completamente gratuito	⚠️ Piano gratuito / $10/anno premium
Posizione dati	✅ Solo sul tuo dispositivo	⚠️ Cloud USA (Microsoft Azure)

Prezzi

Il modello di prezzo di KeePassXC è di una semplicità disarmante — è completamente gratuito:

• KeePassXC: Gratuito, per sempre, con tutte le funzionalità. Nessun livello premium, nessuna limitazione delle funzioni, nessun abbonamento. Ogni capacità — TOTP, agente SSH, integrazione browser, supporto YubiKey, unione database — è disponibile per ogni utente senza alcun costo.
• Bitwarden Free: Gratuito — password illimitate, 2 dispositivi, 2FA base
• Bitwarden Premium: $10/anno — autenticatore TOTP, 2FA avanzata (YubiKey), 1 GB di storage file, accesso d’emergenza
• Bitwarden Families: $40/anno — fino a 6 utenti, collezioni condivise
• Bitwarden Teams: $4/utente/mese — condivisione team, log eventi
• Bitwarden Enterprise: $6/utente/mese — SSO, integrazione directory, policy

KeePassXC offre gratuitamente funzionalità che Bitwarden riserva al suo livello premium (TOTP, supporto YubiKey). Il compromesso è che devi gestire autonomamente la tua infrastruttura di sincronizzazione e backup, ma per gli utenti che privilegiano la sovranità rispetto alla comodità, questa è una caratteristica, non una limitazione.

Privacy e sovranità dei dati

Il modello di privacy di KeePassXC è architetturalmente senza pari:

• Nessun server, nessun cloud, nessun account — il tuo database crittografato esiste solo dove tu lo metti
• Nessuna telemetria, nessuna analitica, nessun report di crash — KeePassXC non invia alcun dato da nessuna parte
• Nessuna azienda può essere citata in giudizio per le tue password perché nessuna azienda le possiede
• Non soggetto al CLOUD Act statunitense, FISA Section 702 o qualsiasi legge straniera di accesso ai dati
• Crittografia AES-256 o ChaCha20 con derivazione chiave Argon2id — primitive crittografiche di primo livello
• Il formato KDBX è uno standard aperto, verificato e revisionato dalla community di sicurezza da oltre 20 anni
• Sviluppo guidato dalla community europea con un forte patrimonio open source tedesco
• Codice sorgente completo disponibile per audit su GitHub sotto licenze GPLv2/GPLv3
• Nessuna entità commerciale con incentivi finanziari che potrebbero entrare in conflitto con la privacy degli utenti

Bitwarden, pur essendo open source e generalmente rispettoso della privacy, memorizza comunque il tuo vault crittografato su server Microsoft Azure basati negli USA. Questo crea un’esposizione giurisdizionale — un tribunale statunitense potrebbe obbligare Bitwarden Inc. a modificare il proprio software o a consegnare dati crittografati sotto sigillo. KeePassXC elimina interamente questo vettore di minaccia non avendo alcuna infrastruttura server.

Guida alla migrazione

Migrare da Bitwarden a KeePassXC richiede uno sforzo minimo:

1. Esporta il tuo vault Bitwarden accedendo al vault web di Bitwarden, navigando su Strumenti > Esporta Vault e scaricando come file JSON non crittografato. Conserva questo file solo temporaneamente — contiene tutte le tue password in chiaro. (5 minuti)
2. Installa KeePassXC da keepassxc.org. Scarica la versione ufficiale per il tuo sistema operativo. Su Linux è disponibile tramite la maggior parte dei gestori di pacchetti (apt, flatpak, snap). (5 minuti)
3. Crea un nuovo database KeePassXC — avvia KeePassXC, clicca su “Crea Nuovo Database”, scegli una password master robusta e, opzionalmente, aggiungi un file chiave o una chiave hardware per una sicurezza aggiuntiva. Seleziona Argon2id come funzione di derivazione della chiave. (5 minuti)
4. Importa i tuoi dati Bitwarden — vai su Database > Importa > Bitwarden (JSON) e seleziona il file esportato. Tutte le password, note, URI e struttura delle cartelle verranno importate nel tuo nuovo database KeePassXC. (5 minuti)
5. Installa l’estensione KeePassXC-Browser per Firefox, Chrome o Edge. Apri KeePassXC desktop, vai su Strumenti > Impostazioni > Integrazione Browser, abilita l’integrazione e connetti l’estensione. Testa la compilazione automatica su alcuni siti web. (10 minuti)
6. Configura la sincronizzazione (opzionale) — copia il tuo file .kdbx in una cartella sincronizzata (Nextcloud, Syncthing, Tresorit) per l’accesso multi-dispositivo. Installa KeePassDX (Android) o Strongbox (iOS) per l’accesso mobile. Elimina in modo sicuro l’esportazione Bitwarden e disattiva il tuo account Bitwarden. (20 minuti)

Tempo totale stimato: da 45 minuti a 1 ora. Livello di difficoltà: Da facile a moderato — necessarie competenze base di gestione file.

Casi d’uso reali

• Un amministratore di sistema in un’università di Amburgo ha migrato il dipartimento IT da Bitwarden Teams a KeePassXC con database condivisi sull’istanza Nextcloud dell’università. La migrazione ha eliminato un costo SaaS ricorrente e ha soddisfatto il responsabile della protezione dei dati dell’università, che aveva sollevato preoccupazioni sulla residenza delle credenziali su infrastruttura cloud statunitense. La funzione agente SSH è diventata particolarmente popolare nel team, semplificando l’accesso ai server senza esporre le chiavi private.

• Una studentessa di informatica a Monaco di Baviera ha adottato KeePassXC come password manager principale dopo aver studiato l’ecosistema KeePass in un corso di sicurezza. Il modello completamente gratuito senza limitazioni funzionali era ideale per un budget da studente, e l’architettura esclusivamente locale fungeva da lezione pratica sulla memorizzazione crittografica. Sincronizza il suo database tra laptop e telefono usando Syncthing, mantenendo zero esposizione cloud pur avendo accesso mobile tramite KeePassDX.

• Un giornalista freelance che copre la politica UE a Bruxelles è migrato da Bitwarden a KeePassXC dopo aver consultato formatori di sicurezza digitale. La protezione delle fonti richiedeva che nessuna terza parte — inclusa un’azienda di password manager — potesse potenzialmente accedere alle credenziali degli account utilizzati per comunicazioni sensibili. La memorizzazione esclusivamente locale di KeePassXC, combinata con una YubiKey come secondo fattore per lo sblocco del database, ha fornito la protezione più forte possibile per le credenziali collegate ad account email crittografati e servizi di consegna sicura.

Contesto aziendale

KeePassXC è un progetto open source guidato dalla community, non un prodotto commerciale. È nato come fork di KeePassX, che a sua volta era un porting multipiattaforma del password manager originale KeePass creato da Dominik Reichl in Germania nel 2003. Quando lo sviluppo di KeePassX si è fermato intorno al 2016, un gruppo di sviluppatori della community ha effettuato il fork del progetto per creare KeePassXC — la KeePass Cross-Platform Community Edition.

Il team di KeePassXC è un gruppo distribuito di sviluppatori volontari, molti dei quali con base in Germania e altri paesi europei, che mantengono e migliorano il software puramente come iniziativa open source. Il progetto è ospitato su GitHub, accetta contributi da chiunque ed è finanziato interamente attraverso donazioni volontarie. Non c’è nessuna azienda dietro KeePassXC, nessun capitale di rischio, nessuna licenza commerciale — solo una community impegnata a costruire il miglior password manager offline possibile.

L’ecosistema KeePass nel suo complesso è uno dei più longevi nel software di sicurezza open source. Il formato database KDBX è in uso da oltre due decenni, è supportato da decine di applicazioni su ogni piattaforma e ha resistito a un’estesa analisi crittografica. Questa maturità dell’ecosistema significa che scegliere KeePassXC non ti vincola a una singola applicazione — se KeePassXC cessasse mai lo sviluppo, le tue password rimarrebbero accessibili attraverso una qualsiasi delle decine di altre applicazioni compatibili KeePass.

Sicurezza e conformità

KeePassXC implementa misure di sicurezza rigorose nella sua architettura local-first:

• Crittografia AES-256 o ChaCha20 — scegli tra due cifrari standard del settore per la crittografia del database
• Derivazione chiave Argon2id — vincitore della Password Hashing Competition, che offre forte resistenza contro attacchi brute-force basati su GPU e ASIC
• Supporto chiavi hardware — YubiKey Challenge-Response e OnlyKey per la protezione a due fattori del database
• Supporto file chiave — usa un file chiave aggiuntivo insieme alla tua password master per lo sblocco multi-fattore del database
• Protezione della memoria — i dati sensibili sono mantenuti crittografati nella RAM e cancellati quando non più necessari
• Blocco automatico e pulizia della clipboard — il database si blocca dopo l’inattività, la clipboard viene cancellata dopo un timeout configurabile
• Nessun accesso alla rete — KeePassXC non effettua alcuna connessione di rete per impostazione predefinita, eliminando i vettori di attacco remoti
• Traccia audit open source — ogni modifica al codice è pubblicamente revisionabile su GitHub; sono state condotte diverse revisioni di sicurezza dalla community
• Formato KDBX 4.0 — ultimo formato database con crittografia autenticata (HMAC-SHA256) che previene manomissioni non rilevate
• Cronologia delle voci — mantiene una cronologia con versioni dei cambiamenti password per scopi di recupero

Ecosistema di integrazione

KeePassXC si integra nel tuo flusso di lavoro attraverso strumenti e standard locali:

• Estensione KeePassXC-Browser per Firefox, Chrome, Edge e Brave — compilazione automatica, salvataggio automatico e generazione password tramite messaggistica nativa sicura con l’app desktop
• Integrazione agente SSH — memorizza le chiavi SSH nel tuo database KeePassXC e usale per l’autenticazione ai server senza esporre file chiave su disco
• Autenticatore TOTP — genera password monouso basate sul tempo per account con 2FA abilitata direttamente all’interno di KeePassXC
• YubiKey Challenge-Response — secondo fattore basato su hardware per lo sblocco del database usando YubiKey o OnlyKey
• Formato database KeePass (KDBX) — compatibile con KeePassDX (Android), Strongbox (iOS), KeePassium (iOS), KeeWeb e decine di altre applicazioni
• Interfaccia a riga di comando (keepassxc-cli) — accesso scriptabile alle voci del database per automazione e pipeline CI/CD
• Importazione dai principali manager — importazione diretta da Bitwarden, 1Password, LastPass, Chrome, Firefox e formati CSV
• FreeDesktop.org Secret Service — integrazione con gli ambienti desktop Linux per la memorizzazione delle credenziali a livello di sistema
• Auto-Type — iniezione di tasti nativa della piattaforma per compilare le credenziali in qualsiasi applicazione, non solo nei browser
• Unione database — unisci più database per flussi di lavoro collaborativi senza un server centrale

Chi dovrebbe cambiare?

KeePassXC è ideale per:

• Sostenitori della privacy che vogliono zero esposizione cloud per le loro credenziali più sensibili
• Sviluppatori e amministratori di sistema che apprezzano l’integrazione dell’agente SSH, l’accesso CLI e la gestione scriptabile delle password
• Studenti che necessitano di un password manager completo a costo zero assoluto
• Utenti attenti alla sicurezza che preferiscono un’architettura local-first rispetto all’affidarsi a qualsiasi servizio cloud
• Utenti Linux che desiderano un password manager nativo e ben integrato che rispetti l’ecosistema open source
• Organizzazioni con rigorosi requisiti di sovranità dei dati che vietano la memorizzazione delle credenziali su server di terze parti

Conclusione

KeePassXC e Bitwarden rappresentano due approcci filosoficamente diversi alla gestione delle password. Bitwarden privilegia la comodità — sincronizzazione fluida, accesso al vault web, infrastruttura gestita. KeePassXC privilegia la sovranità — le tue password esistono solo dove tu decidi, senza intermediari, senza abbonamenti e senza aziende nel mezzo.

Bitwarden rimane una scelta eccellente per gli utenti che desiderano la sincronizzazione cloud senza la complessità dell’infrastruttura autogestita, e le sue funzionalità organizzative lo rendono più adatto ai team che necessitano di condivisione centralizzata delle password.

Ma per gli individui e le organizzazioni che credono che la password più sicura sia quella che non lascia mai il tuo controllo, KeePassXC è il gold standard — crittografia collaudata, un ecosistema ventennale e completa libertà da dipendenze cloud, costi di abbonamento e rischi giurisdizionali.

Domande Frequenti

KeePassXC è uguale a KeePass?

No. KeePass è il password manager originale solo per Windows creato da Dominik Reichl in Germania. KeePassXC (KeePass Cross-Platform Community Edition) è un fork guidato dalla community riscritto in C++ utilizzando il framework Qt per fornire supporto nativo a Windows, macOS e Linux. KeePassXC usa lo stesso formato database KDBX di KeePass, quindi i database sono completamente compatibili tra i due. Tuttavia, KeePassXC offre un'interfaccia più moderna, un migliore supporto multipiattaforma e funzionalità come l'integrazione con il browser e l'agente SSH che non sono disponibili in KeePass base.

Come sincronizzo il mio database KeePassXC tra i dispositivi?

Poiché KeePassXC memorizza le tue password in un file crittografato locale (KDBX), puoi sincronizzarlo utilizzando qualsiasi servizio di sincronizzazione file di cui ti fidi. Gli approcci più comuni includono la memorizzazione del file database in una cartella Nextcloud, Syncthing, Tresorit o anche Dropbox. Il database è crittografato con AES-256, quindi anche se il servizio di sincronizzazione viene compromesso, gli aggressori non possono leggere le tue password senza la tua chiave master. Molti utenti attenti alla privacy preferiscono Syncthing per la sincronizzazione peer-to-peer senza intermediari cloud.

Posso usare KeePassXC sul mio telefono?

KeePassXC è disponibile solo per desktop (Windows, macOS, Linux). Tuttavia, poiché utilizza il formato standard KeePass KDBX, puoi aprire lo stesso database su mobile usando app compatibili. Su Android, KeePassDX è un'eccellente opzione open source disponibile su F-Droid e Google Play. Su iOS, Strongbox e KeePassium sono scelte molto diffuse. Tutte queste app possono aprire file KDBX sincronizzati tramite il servizio cloud o di sincronizzazione file che preferisci.

Come funziona l'integrazione browser di KeePassXC?

KeePassXC include un'estensione browser companion chiamata KeePassXC-Browser, disponibile per Firefox, Chrome, Edge e Brave. L'estensione comunica con l'applicazione desktop KeePassXC attraverso un canale sicuro di messaggistica nativa. Una volta connessa, può compilare automaticamente nomi utente e password sui siti web, salvare nuove credenziali e generare password — in modo simile ai password manager basati su cloud, ma con tutti i dati che rimangono sulla tua macchina locale.

KeePassXC è meno sicuro di Bitwarden perché memorizza le password localmente?

La memorizzazione locale è in realtà un vantaggio di sicurezza in molti modelli di minaccia. Con KeePassXC, il tuo database crittografato non lascia mai il tuo dispositivo a meno che tu non scelga esplicitamente di sincronizzarlo. Non c'è un server centrale che possa essere violato, nessuna infrastruttura cloud da attaccare e nessuna azienda che possa essere obbligata a consegnare i tuoi dati. Il database è crittografato con AES-256 (o ChaCha20) utilizzando una chiave derivata dalla tua password master tramite Argon2. La superficie di attacco è fondamentalmente più ridotta rispetto a qualsiasi soluzione basata su cloud.