I migliori strumenti UE per giornalisti, attivisti e avvocati (2026)
Tre professioni, un problema sottostante
Per la maggior parte degli utenti software, la sovranità è una preferenza. Per i giornalisti che proteggono le fonti, gli attivisti che si organizzano sotto sorveglianza statale e gli avvocati che gestiscono comunicazioni protette dal segreto professionale, la sovranità è sicurezza operativa. Lo strumento sbagliato può significare fonti esposte, manifestanti identificati o segreto professionale violato.
Questa guida è lo stack di strumenti made-in-EU per queste tre professioni nel 2026, scelti perché ciascuno serve esplicitamente questi casi d’uso o è stato adottato in pratica per essi. I consigli sono volutamente conservativi: quando la posta in gioco è così alta, “abbastanza buono” non basta.
Sezione 1: Strumenti per giornalisti
Le esigenze degli strumenti giornalistici sono specifiche: protezione delle fonti, gestione sicura dei documenti, comunicazione che resista alla coercizione legale e piattaforme di pubblicazione che non collaborino con la pressione statale sui metadati.
Comunicazione
Threema (Svizzera) — Lo standard de facto per la comunicazione giornalista-fonte in Europa. Nessun numero di telefono richiesto per registrarsi, end-to-end criptato di default, giurisdizione legale svizzera. Il costo unico di 5,99 € è banale rispetto al miglioramento della sicurezza operativa. Utilizzato da giornalisti dei principali quotidiani europei per il contatto con le fonti.
Element / Matrix (UK + protocollo aperto) — Per i team di giornalismo investigativo che necessitano di comunicazione di gruppo criptata con la possibilità di ospitare sulla propria infrastruttura. Un server Matrix self-hosted su Hetzner significa che le comunicazioni del tuo team editoriale risiedono su infrastruttura che controlli.
Wire (Svizzera + Germania) — Quando hai bisogno di messaggistica certificata ISO 27001 + BSI con audit trail. Utilizzato da alcune ONG e collaborazioni di giornalismo investigativo dove le certificazioni di conformità contano per i report ai finanziatori.
Proton Mail (Svizzera) — Lo standard per l’email dei giornalisti. Crittografia end-to-end verso altri utenti Proton, email criptata opzionale verso destinatari non Proton tramite password condivisa. Domini personalizzati supportati. La giurisdizione legale svizzera è più forte del GDPR per proteggere le comunicazioni dalla divulgazione coatta.
Per uso specifico dei giornalisti: il servizio bridge di Proton consente client email desktop (Thunderbird, Apple Mail) preservando la crittografia end-to-end.
Mailfence (Belgio) — Crittografia OpenPGP basata su standard per giornalisti che necessitano di pieno supporto IMAP/SMTP e vogliono utilizzare il proprio flusso di lavoro email esistente con la crittografia sovrapposta. Filosofia di design diversa da Proton; utile per giornalisti già a proprio agio con OpenPGP.
Gestione documenti delle fonti
OnionShare (sviluppato dalla community) — Originariamente creato da giornalisti per giornalisti. Consente la condivisione sicura di file su Tor: il tuo IP e quello del destinatario non appaiono mai nei metadati. Lo strumento utilizzato per condividere documenti trapelati in modo sicuro.
SecureDrop (sviluppato dalla community, ospitato dalla Freedom of the Press Foundation) — La principale piattaforma di invio per whistleblower utilizzata dalle principali redazioni (Guardian, Le Monde, Süddeutsche Zeitung, ProPublica e molte altre). Self-hosted su servizio nascosto Tor, i materiali delle fonti non toccano mai internet pubblicamente accessibile.
Tresorit (Svizzera/Ungheria) — Cloud storage criptato zero-knowledge per la gestione di documenti sensibili delle fonti che necessitano di collaborazione di team. Utilizzato da team di giornalismo investigativo per la revisione condivisa di documenti con una crittografia che nemmeno Tresorit può aggirare.
Note e scrittura
Standard Notes (open source) — Note criptate end-to-end per giornalisti che scrivono in contesti sensibili. Le funzionalità Premium includono raccolte di note protette da password e accesso offline.
CryptPad (Francia) — Documenti collaborativi in tempo reale criptati end-to-end. Dove Google Docs non può andare per il lavoro editoriale sensibile: scrittura collaborativa dove il server non può leggere i contenuti.
VPN
Mullvad (Svezia) — La VPN dei giornalisti. Nessuna email richiesta per la registrazione, accetta pagamenti in contanti per posta, politica no-logs verificata. Stessa tariffa fissa di 5 €/mese dal 2009. Ampiamente utilizzata da giornalisti che lavorano in o riportano da contesti autoritari.
Browser
Mullvad Browser (Svezia) — Browser anti-fingerprinting senza usare Tor. Per giornalisti che fanno ricerche che non dovrebbero essere collegate alla loro identità ma dove la lentezza di Tor è impraticabile.
Tor Browser — Ancora lo standard quando sono necessari resistenza al fingerprinting + anonimato a livello IP. Non made-in-EU ma vale la pena segnalarlo perché i giornalisti ne hanno genuinamente bisogno.
Sezione 2: Strumenti per attivisti e società civile
Gli attivisti che si organizzano sotto pressione statale (che ora include attivismo all’interno di paesi europei nominalmente democratici durante momenti controversi) hanno bisogno di strumenti che sopravvivano a tentativi coordinati di sorveglianza, infiltrazione e divulgazione coatta.
Comunicazione
Signal — Disclaimer: Signal ha sede negli Stati Uniti, non in UE. Lo includiamo perché escluderlo significherebbe consigliare strumenti oggettivamente peggiori per i casi d’uso degli attivisti. La combinazione di crittografia E2E, messaggi effimeri, sealed sender e minimizzazione dei metadati di Signal rimane il gold standard per il coordinamento degli attivisti. Molti attivisti europei usano Signal come strumento principale, con backup basati in UE.
Threema (Svizzera) — L’alternativa con sede UE quando la giurisdizione statunitense di Signal è una preoccupazione. Maggiore protezione dei metadati (nessun numero di telefono richiesto), protezione legale svizzera.
Element / Matrix su server self-hosted (UK + infrastruttura UE) — Per organizzazioni di attivisti che necessitano di un’infrastruttura di comunicazione di gruppo che controllano. Un server Matrix self-hosted su Hetzner ti dà privacy crittografica + controllo operativo.
Comunicazione anonima
Briar (open source, guidato dalla Germania) — Messaggistica peer-to-peer che funziona senza internet (Bluetooth, WiFi diretto). Costruito specificamente per attivisti in ambienti censurati o sorvegliati. Utilizzato durante le proteste in Bielorussia, Hong Kong e contesti simili dove l’infrastruttura è compromessa.
SimpleX Chat (UK, distribuito) — Messenger criptato senza identificatori utente, nemmeno casuali. Le conversazioni vengono instradate attraverso server relay senza identificatori di account persistenti. La più forte privacy dei metadati di qualsiasi messenger consumer.
Proton Mail (Svizzera) — Standard per l’email organizzativa degli attivisti. Domini personalizzati, crittografia, protezione legale svizzera.
Tutanota (Germania) — Anche le righe dell’oggetto sono criptate (a differenza di Proton dove l’oggetto è in chiaro). Particolarmente importante per l’email degli attivisti dove le informazioni a livello di metadati sui soggetti dei messaggi potrebbero esporre schemi organizzativi.
Storage documenti
Tresorit / Cubbit / Ente — Cloud storage zero-knowledge per organizzazioni di attivisti che archiviano materiali sensibili (elenchi membri, documenti di pianificazione, registri finanziari).
Veilid Network (Cult of the Dead Cow) — Non specifica UE ma rilevante. Framework applicativo decentralizzato progettato per casi d’uso in cui i servizi centralizzati sarebbero coercitivi. Vale la pena segnalarlo per la pianificazione degli strumenti per attivisti.
Rete di anonimato
Tor Browser + Tails OS — Quando i requisiti di sicurezza superano ciò che gli strumenti consumer possono fornire. Tails (The Amnesic Incognito Live System) è una distribuzione Linux che gira interamente da USB e dimentica tutto quando viene spenta. Utilizzato da giornalisti e attivisti nei contesti a più alto rischio.
Coordinamento
Loomio (Nuova Zelanda, ma EU-friendly) — Non strettamente UE. Piattaforma di decisione cooperativa utilizzata da molte organizzazioni di attivisti europee. Self-hostable su infrastruttura UE. Lo strumento democratico-organizzativo che non ha ancora un equivalente UE perfetto.
OpenAdvocate / Decidim (Spagna) — Decidim è la piattaforma di democrazia partecipativa costruita a Barcellona, utilizzata dal governo cittadino di Barcellona, Helsinki e molte organizzazioni di attivisti europee. Self-hostable, open source, progettata per l’azione civica organizzata.
Sezione 3: Strumenti per avvocati
La pratica legale ha il dovere professionale di riservatezza più esplicito. Gli strumenti che instradano comunicazioni protette dal segreto professionale attraverso server statunitensi creano un rischio reale di violazione, specialmente nel lavoro legale transfrontaliero.
Proton Mail Business (Svizzera) — Email criptata con dominio personalizzato e gestione del team. Utilizzata da studi legali europei attenti alla privacy. La giurisdizione legale svizzera fornisce una forte protezione per le comunicazioni protette dal segreto professionale avvocato-cliente.
Tutanota (Germania) — Giurisdizione tedesca con crittografia della riga dell’oggetto. Particolarmente importante per le comunicazioni legali dove anche l’esistenza di corrispondenza su determinati argomenti è coperta dal segreto professionale.
Gestione documenti
Contractbook (Danimarca) — Gestione end-to-end del ciclo di vita dei contratti progettata per i team legali europei. Firma conforme a eIDAS, residenza dei dati in UE, generatore di automazione no-code. L’alternativa a DocuSign CLM per gli studi legali europei.
Legito (Repubblica Ceca) — Automazione di documenti oltre i soli contratti: gestisce NDA, delibere aziendali, politiche HR, documenti di conformità. L’alternativa europea a Ironclad con un ambito documentale più ampio.
Tresorit (Svizzera/Ungheria) — Storage di documenti criptati zero-knowledge per materiali di casi sensibili. Utilizzato da studi legali europei dove il segreto professionale richiede che il provider di storage letteralmente non possa leggere i documenti.
Firma elettronica (Critica)
Yousign (Francia) — Qualified Trust Service Provider eIDAS — la più alta certificazione legale ai sensi della normativa UE. I documenti firmati hanno piena equivalenza legale alle firme autografe in tutti i 27 Stati membri dell’UE. Guida alla migrazione da DocuSign.
Signicat (Norvegia) — eIDAS QTSP con profonda integrazione negli schemi di eID nazionali europei (BankID, MitID, itsme, Smart-ID, ecc.). Particolarmente forte per il lavoro legale europeo transfrontaliero.
Universign (Francia) — Un altro eIDAS QTSP, costruito in Francia, utilizzato dai principali studi legali europei per firme elettroniche qualificate.
Gestione dello studio
Precisely (Svezia) — E-signing e gestione contratti con integrazione nativa BankID. Forte scelta per la pratica legale nordica.
Avokaado (Estonia) — Automazione self-service di documenti legali con focus sulle giurisdizioni europee. L’alternativa europea a LegalZoom costruita per il diritto UE anziché tradotta dai framework legali statunitensi.
Comunicazione
Element / Matrix su server self-hosted — Per studi legali che vogliono chat di team sotto la propria infrastruttura. Self-hosted su Hetzner significa che le comunicazioni protette dal segreto professionale non lasciano mai un’infrastruttura che controlli.
Threema Work (Svizzera) — Per messaggistica sicura mobile-first con controlli amministrativi e supporto MDM.
Conformità e controllo conflitti
Palqee (Portogallo) — Gestione della conformità GDPR, particolarmente rilevante per studi legali che gestiscono lavori di conformità per i clienti. Forte expertise normativa UE integrata nella piattaforma.
Keepabl (UK) — Gestione della conformità GDPR con strumenti potenti per gestire scenari di studio legale come responsabile del trattamento.
Cosa hanno in comune questi tre stack
Alcuni schemi si ripetono negli strumenti per giornalisti, attivisti e avvocati:
1. La giurisdizione svizzera appare in modo sproporzionato. La combinazione svizzera di forte legge sulla privacy (revFADP) + esterna al CLOUD Act + esterna alla complessità normativa UE la rende la giurisdizione preferita per casi d’uso sensibili. Proton, Threema, Tresorit, Wire, Infomaniak: tutte scelte in parte per la protezione legale svizzera.
2. La crittografia zero-knowledge conta più della crittografia di autenticazione. Per queste professioni, la domanda non è solo “la connessione è criptata?” ma “il provider può leggere il contenuto?” L’architettura zero-knowledge (in cui il provider non può crittograficamente leggere i dati utente) è il livello superiore.
3. Il self-hosting diventa operativamente significativo. Element/Matrix self-hosted, Forgejo su Hetzner, Nextcloud sul tuo server: queste non sono giocate teoriche di sovranità per queste professioni; sono miglioramenti della sicurezza operativa.
4. L’open source conta per la verifica della fiducia. Quando devi fidarti dello strumento contro la divulgazione coatta, devi poter auditare lo strumento. Gli strumenti open-source dominano i consigli perché le affermazioni di sicurezza closed-source non possono essere verificate indipendentemente.
Disclaimer onesti
Tre cose che questa guida non può risolvere:
1. Gli strumenti sono necessari ma non sufficienti. La sicurezza operativa dipende dalla pratica, non solo dagli strumenti. I giornalisti hanno bisogno di formazione sulla protezione delle fonti. Gli attivisti hanno bisogno di una cultura della sicurezza. Gli avvocati hanno bisogno di protocolli etici. Gli strumenti sopra supportano ma non sostituiscono il giudizio umano.
2. Alcuni strumenti statunitensi rimangono operativamente necessari. Signal per la comunicazione degli attivisti, Tor per il lavoro di anonimato a maggior rischio: entrambi radicati negli USA. Escluderli indebolirebbe i consigli. La risposta pratica è una difesa stratificata: usare strumenti multipli in diverse giurisdizioni per evitare guasti a punto singolo.
3. I modelli di minaccia variano enormemente. Un giornalista che si occupa di frode aziendale ha modelli di minaccia diversi da uno che si occupa di governi autoritari. Un attivista che organizza sindacati ha modelli di minaccia diversi da uno che organizza contro la violenza statale. Un avvocato che fa lavoro commerciale europeo di routine ha modelli di minaccia diversi da uno che difende dissidenti politici. Questa guida è generale; situazioni specifiche richiedono modellazione delle minacce specifica.
Inizia da ciò che conta di più
Per ciascuna professione:
Giornalisti: inizia con Threema (5,99 € una tantum) e Proton Mail (gratuito o 3,99 €/mese). Questi due coprono circa l’80% dei casi d’uso di protezione delle fonti.
Attivisti: inizia con Threema o Signal per la comunicazione principale, Proton Mail per l’email organizzativa e impara Tor Browser per ricerche che non dovrebbero essere collegate alla tua identità.
Avvocati: inizia con Proton Mail Business (o migra l’email esistente a una criptata) e adotta Yousign per le firme elettroniche. Questi due cambiamenti riducono significativamente il rischio per il segreto professionale avvocato-cliente.
Gli stack completi sopra sono obiettivi aspirazionali. La sicurezza operativa migliora più dall’uso costante di strumenti fondamentali che dall’uso incoerente di strumenti avanzati.
Per linee guida specifiche sulla modellazione delle minacce e sicurezza operativa oltre gli strumenti, organizzazioni come Digital Security Helpline di Access Now, SANS Institute e Surveillance Self-Defense dell’Electronic Frontier Foundation forniscono risorse adattate alla tua specifica professione e modello di minaccia.
Sfoglia tutte le alternative privacy UE su BetterInEurope o usa il wizard decisionale di 2 minuti per consigli personalizzati.
Ti è stato utile?