Le foto iCloud sono cifrate end-to-end?
Per impostazione predefinita, le foto iCloud non sono cifrate end-to-end. Apple le conserva usando chiavi di cifratura che controlla e puo' decifrarle quando richiesto dalla legge. Attivare Advanced Data Protection cambia le cose: i tuoi dispositivi attendibili detengono le chiavi, non Apple. ADP e' opt-in, disattivato per impostazione predefinita, e richiede la configurazione del recupero prima di poterlo attivare.
Le foto iCloud sono cifrate - ma con la protezione dati standard, Apple detiene le chiavi di cifratura e puo' accedere alle tue foto in risposta a un ordine legale o per il recupero dell'account. Con Advanced Data Protection attivato, le foto iCloud diventano autenticamente cifrate end-to-end: i tuoi dispositivi detengono le chiavi, Apple non conserva nulla. ADP deve essere attivato manualmente. Non e' il default ed e' stato rimosso per gli utenti britannici a febbraio 2025 per una richiesta governativa a cui Apple non poteva legalmente rifiutarsi.
Cosa significa 'cifrato' quando Apple detiene le chiavi
iCloud cifra le tue foto. Questa affermazione e' vera e al tempo stesso fuorviante se ci si ferma qui.
Con la protezione dati standard - il default per ogni Apple account - le tue foto vengono cifrate in transito e archiviate in formato cifrato sui server Apple. La cifratura e' reale. Quello che la dicitura fine dice e' che Apple conserva le chiavi di cifratura in moduli di sicurezza hardware nei propri data center. La documentazione di supporto Apple lo afferma chiaramente: le chiavi sono accessibili dai server Apple, e Apple puo' aiutarti a recuperare i tuoi dati se perdi l'accesso al tuo account.
Questa architettura ha un nome: cifratura lato server. Il fornitore cifra i dati e il fornitore detiene la chiave. Protegge le tue foto da chi viola il livello di archiviazione senza credenziali. Non le protegge da Apple stesso, da un ordine legale notificato ad Apple, o da una violazione dei sistemi di gestione delle chiavi. Quando giornalisti e ricercatori descrivono iCloud come un bersaglio per le richieste delle forze dell'ordine, e' questo meccanismo che descrivono. I dati sono recuperabili perche' Apple puo' recuperarli.
Non e' un difetto nascosto. Apple lo pubblica nella propria panoramica sulla sicurezza dei dati iCloud. E' il compromesso deliberato per il recupero dell'account: puoi recuperare le tue foto dopo aver perso il dispositivo proprio perche' Apple puo' decifrarle per conto tuo.
Quindici categorie di dati iCloud sono cifrate end-to-end con la protezione standard, tra cui Password e Portachiavi, dati Salute e alcune altre. Foto iCloud, Backup iCloud, Note e la maggior parte delle altre categorie non lo sono.
Advanced Data Protection: quando le foto iCloud diventano autenticamente cifrate end-to-end
Advanced Data Protection per iCloud, annunciato da Apple il 7 dicembre 2022, cambia il modello di custodia delle chiavi per la maggior parte dei dati iCloud. Con ADP attivo, i tuoi dispositivi attendibili detengono le chiavi di cifratura, non Apple. Il numero di categorie di dati protette con cifratura end-to-end sale da 15 a 25, e Foto iCloud e' una delle aggiunte.
Una nota su quel numero di categorie: l'annuncio originale di Apple del dicembre 2022 indicava che la copertura si espandeva da 14 a 23 categorie. Le attuali pagine di Supporto Apple indicano 25. Apple ha ampliato la copertura ADP dal lancio. Questo articolo usa 25 come cifra attuale dalla documentazione di Supporto Apple in tempo reale, e segnala la discrepanza per precisione.
Ivan Krstić, responsabile di Security Engineering and Architecture di Apple, lo ha descritto al lancio: Advanced Data Protection e' il massimo livello di sicurezza dei dati cloud di Apple, che offre agli utenti la possibilita' di proteggere la grande maggioranza dei loro dati iCloud piu' sensibili con la cifratura end-to-end, in modo che possano essere decifrati solo sui loro dispositivi attendibili.
Quella descrizione e' accurata. Con ADP attivo, Apple non puo' leggere le tue foto. Neppure una parte che notifica ad Apple un ordine legale per i dati di Foto iCloud - Apple non ha nulla da consegnare, perche' non detiene piu' la chiave. Questa e' vera cifratura end-to-end, lo stesso modello applicato dai servizi di messaggistica sicura ai messaggi.
ADP e' un reale miglioramento della privacy. Con esso attivo, iCloud diventa un autentico archivio di foto cifrate end-to-end. Se usi iCloud per foto che vuoi tenere private e non sei nel Regno Unito, attivare ADP vale il lavoro di configurazione aggiuntivo.
Cosa ADP non protegge ancora
La copertura e' ampia ma non totale. Tre categorie rimangono al di fuori della cifratura end-to-end anche con ADP attivo.
Mail, Contatti e Calendario. La motivazione di Apple e' l'interoperabilita': questi servizi scambiano dati con sistemi esterni - server di posta, provider CalDAV, servizi CardDAV - e la cifratura standard e' necessaria perche' questo scambio funzioni. Apple cifra questi dati, ma detiene le chiavi.
Album condivisi in Foto. Un album condiviso con altre persone o pubblicato con un URL 'chiunque abbia il link' e' accessibile sul web. Tale accesso richiede che Apple possa servire il contenuto, il che richiede chiavi lato server. Le foto nella tua libreria personale sono cifrate end-to-end con ADP attivo; le stesse foto in un album condiviso non lo sono.
Collaborazione iWork. La modifica in tempo reale di documenti Keynote, Numbers e Pages condivisi avviene tramite i server Apple per la mediazione. Tale coordinamento richiede l'accesso del server al contenuto.
Non si tratta di negligenza da parte di Apple. Sono i costi architetturali di funzionalita' che richiedono un server nel mezzo. Se vuoi foto cifrate end-to-end, non metterle negli Album condivisi.
Come verificare se ADP e' attivo e come attivarlo
ADP non e' attivo per impostazione predefinita. Per verificare: apri Impostazioni sul tuo iPhone, tocca il tuo nome in alto, tocca iCloud, scorri fino in fondo e tocca Advanced Data Protection. Se vedi 'Advanced Data Protection e' attivo', e' abilitato. Se vedi un prompt per attivarlo, non lo e'.
Per attivarlo sono necessarie due cose che Apple chiede prima di agire sull'interruttore: l'autenticazione a due fattori sul tuo Apple account e almeno un metodo di recupero - un contatto di recupero (un'altra persona con un dispositivo Apple) oppure una chiave di recupero (una stringa di 28 caratteri da conservare in un posto sicuro). Questo e' obbligatorio, non facoltativo. Apple non puo' aiutarti a recuperare i dati cifrati end-to-end se perdi l'accesso, quindi devi fornire un tuo percorso di recupero prima che ADP possa essere attivato.
Attivare ADP su un dispositivo lo attiva per l'intero Apple account su tutti i dispositivi compatibili. E' a livello di account. I dispositivi devono eseguire iOS 16.2, iPadOS 16.2, macOS 13.1 o versioni successive.
La questione della durabilita': cosa e' successo nel Regno Unito
A febbraio 2025, Apple ha rimosso Advanced Data Protection per gli utenti del Regno Unito. La causa immediata e' stata un Technical Capability Notice emesso dall'Home Office britannico ai sensi dell'Investigatory Powers Act, che richiedeva ad Apple di fornire accesso ai dati utente cifrati archiviati in iCloud.
Invece di creare una backdoor, Apple ha ritirato ADP per il Regno Unito. Gli utenti britannici che avevano gia' attivato ADP hanno ricevuto avvisi il 21 febbraio 2025 che li invitavano a disattivarlo o rischioso perdere l'accesso ai propri account iCloud. I nuovi utenti britannici non possono attivare ADP del tutto. Le 15 categorie cifrate per impostazione predefinita rimangono protette; tutto il resto - Foto, Backup, Note e il resto delle 25 categorie ADP - e' tornato alla cifratura standard (Apple detiene le chiavi) per gli account britannici.
L'avviso originale richiedeva apparentemente accesso ai dati iCloud di tutti gli utenti globali. Dopo una pressione significativa da parte di legislatori statunitensi e, secondo quanto riportato nell'agosto 2025, una dichiarazione del Direttore dell'Intelligence Nazionale degli Stati Uniti che il Regno Unito aveva ritirato la richiesta piu' ampia, l'Home Office ha modificato l'ordine per coprire solo gli utenti britannici. Apple ha successivamente rinunciato alla propria sfida legale all'avviso rivisto. L'Investigatory Powers Tribunal ha respinto il ricorso il 14 ottobre 2025, citando un 'cambiamento delle circostanze.'
La dichiarazione di Apple in quel momento: 'Siamo profondamente delusi che le protezioni fornite da ADP non siano disponibili per i nostri clienti nel Regno Unito, dato il continuo aumento delle violazioni dei dati e altre minacce alla privacy dei clienti.'
A giugno 2026, ADP rimane non disponibile per gli utenti britannici secondo la pagina di supporto di Apple su support.apple.com/en-gb/122234. Privacy International e Liberty hanno sfide legali attive contro gli ordini di sorveglianza dell'Home Office programmate fino al 2026, ma questi casi cercano di contestare gli ordini, non di ripristinare ADP come risultato a breve termine. Se ADP tornera' nel Regno Unito e' una domanda aperta senza risposta confermata al momento della stesura di questo articolo.
Il caso britannico e' rilevante per gli utenti di tutto il mondo per un motivo: e' una prova di concetto documentata. Un governo puo' costringere a disattivare un'opzione a livello di piattaforma per tutti gli utenti di un intero Paese senza che tali utenti siano individualmente presi di mira o notificati. Il meccanismo - un avviso segreto ai sensi di una legge sulla sicurezza nazionale - non e' esclusivo del Regno Unito. L'Investigatory Powers Act ha equivalenti in altre giurisdizioni. Il punto non e' creare allarme; il punto e' che 'la piattaforma promette la cifratura end-to-end' e' diverso da 'la capacita' della piattaforma di fornire la cifratura end-to-end e' giuridicamente duratura.' Sono due affermazioni distinte.
Dove si inserisce Vaultaire: un'architettura diversa
Vaultaire e' un'architettura diversa, non un sostituto di tutto cio' che fa ADP.
ADP e' a livello di piattaforma, legato all'account e connesso al cloud. I dati risiedono ancora in iCloud; l'innovazione sta nel fatto che Apple non detiene piu' la chiave. Ottieni la sincronizzazione iCloud, l'accesso multi-dispositivo e il backup, con la custodia della chiave spostata sui tuoi dispositivi. E' un buon compromesso per la maggior parte delle persone.
Vaultaire e' locale al dispositivo. Le tue foto non vanno su un server per impostazione predefinita. Quando disegni uno schema sulla griglia 5x5, quello schema genera direttamente una chiave AES-256-GCM. Non e' una password confrontata con qualcosa memorizzato da qualche parte. Nulla viene caricato. Non c'e' account, nessuna email, nessun archivio di credenziali. La chiave esiste solo sul tuo dispositivo, derivata di nuovo ogni volta che disegni lo schema.
Il backup iCloud cifrato opzionale funziona cosi': se scegli di eseguire il backup di un vault, viene cifrato sul tuo dispositivo prima di raggiungere iCloud. Apple riceve un testo cifrato che non puo' leggere, nello stesso modo in cui riceve testo cifrato da un backup di Messages con ADP attivo. Vaultaire non detiene nemmeno la chiave del tuo backup. La chiave e' il tuo schema, e solo tu ce l'hai.
Questo e' il significato pratico della cifratura zero-knowledge: il fornitore del servizio non ha mai avuto la chiave, quindi una violazione del fornitore non e' una violazione dei tuoi dati.
La differenza rispetto ad ADP e' dove risiede il controllo. Con ADP e iCloud, le tue foto vengono sincronizzate sui tuoi dispositivi e possono essere recuperate se hai configurato un contatto di recupero. Questo e' utile per la maggior parte delle persone. Con Vaultaire, le foto rimangono locali a meno che non le esegua esplicitamente il backup, e il recupero dipende interamente dal tuo schema e dalla tua frase di recupero. Non c'e' fallback lato cloud.
Nessun modello e' strettamente superiore. ADP ti offre vera cifratura end-to-end piu' la comodita' della sincronizzazione e del recupero iCloud. Vaultaire ti offre cifratura senza account e senza server per i file che vuoi tenere completamente fuori dalla piattaforma, con backup cifrato opzionale su iCloud per i file dove il solo locale e' troppo fragile. Per le foto particolarmente sensibili - documenti, corrispondenza privata salvata come immagini, qualsiasi cosa non vorresti venisse esposta a un ordine legale - il modello locale al dispositivo rimuove completamente il cloud dalla superficie di attacco.
Puoi usare entrambi. La maggior parte delle persone che usa Vaultaire usa ancora Foto iCloud per la propria libreria quotidiana, con ADP attivato.
Letture correlate:
- La cifratura end-to-end per le foto, spiegata
- Apple Intelligence analizza le tue foto?
- La cifratura zero-knowledge, spiegata
- Backup iCloud cifrato: cifrato prima di lasciare il tuo telefono
- Cosa dicono davvero le informative sulla privacy dell'archiviazione cloud di foto
Fonti
- Apple Support: iCloud data security overview
- Apple Support: How to turn on Advanced Data Protection for iCloud
- Apple Platform Security: Advanced Data Protection for iCloud
- Apple Newsroom: Apple advances user security with powerful new data protections (December 7, 2022)
- Apple Support UK: Apple can no longer offer Advanced Data Protection in the United Kingdom to new users
- Privacy Guides: The UK Government Forced Apple to Remove Advanced Data Protection (February 28, 2025)
- Digit.fyi: Apple backdoor encryption appeal case dismissed (October 2025)
- Privacy International: PI Apple TCN Challenge
Domande frequenti
Le foto iCloud sono cifrate end-to-end per impostazione predefinita?
No. Con la protezione dati standard, Apple archivia Foto iCloud usando chiavi di cifratura che controlla nei propri data center. Apple puo' decifrare le tue foto quando necessario: per il recupero dell'account e in risposta a ordini legali validi. Solo 15 categorie di dati iCloud sono cifrate end-to-end per impostazione predefinita; Foto non e' una di esse.
Cosa fa concretamente Advanced Data Protection per le mie foto?
Con ADP attivo, Foto iCloud si unisce alle 25 categorie di dati iCloud che usano la cifratura end-to-end. I tuoi dispositivi attendibili detengono le chiavi, non Apple. Apple non puo' leggere le tue foto, non puo' consegnarle in risposta a un ordine legale per i dati iCloud e non puo' recuperarle se perdi il tuo account. Il recupero e' responsabilita' tua - ecco perche' ADP richiede la configurazione di un contatto o di una chiave di recupero prima di attivarsi.
Apple puo' vedere le mie foto iCloud?
Con la protezione dati standard: si', Apple puo' accedere e decifrare Foto iCloud quando necessario. Con Advanced Data Protection: no, Apple non detiene alcuna chiave per i tuoi dati cifrati end-to-end. Le 15 categorie predefinite - tra cui Salute e le password di Portachiavi - sono sempre inaccessibili ad Apple indipendentemente dallo stato ADP.
Come si attiva Advanced Data Protection?
Apri Impostazioni, tocca il tuo nome, tocca iCloud, scorri fino in fondo e tocca Advanced Data Protection. Dovrai avere l'autenticazione a due fattori attivata e almeno un metodo di recupero configurato prima - un contatto di recupero o una chiave di recupero. I dispositivi devono eseguire iOS 16.2 o versioni successive. Attivandolo su un dispositivo lo si attiva per l'intero Apple account.
Quali dati non sono coperti da Advanced Data Protection?
Mail, Contatti e Calendario non sono cifrati end-to-end nemmeno con ADP attivo, perche' devono scambiare dati con server esterni. Anche gli Album condivisi in Foto non sono cifrati end-to-end: sono accessibili sul web. Anche i documenti di collaborazione in tempo reale di iWork non sono coperti. Qualsiasi cosa condivisa 'con chiunque abbia il link' e' al di fuori della protezione ADP.
Il governo puo' accedere alle mie foto iCloud tramite Apple?
Con la protezione dati standard, si': un ordine legale valido notificato ad Apple puo' comportare la consegna delle tue foto. Con ADP attivo, Apple non detiene alcuna chiave da consegnare. Il caso britannico del febbraio 2025 ha dimostrato che un governo puo' anche costringere una piattaforma a disattivare ADP per un intero Paese, riportando gli utenti dalla protezione end-to-end alla protezione standard senza il loro consenso individuale.
Cos'e' un archivio foto iCloud?
La frase descrive l'utilizzo di Foto iCloud come luogo in cui archiviare foto sensibili. Con ADP attivo, Foto iCloud funziona come un vero archivio cloud di foto cifrate end-to-end. Il limite pratico e' che rimane legato all'account: l'accesso richiede il tuo Apple account, e la durabilita' della cifratura dipende dalla capacita' di Apple di mantenerla sotto pressione legale nella tua giurisdizione.
Esiste un modo per archiviare foto a cui Apple non puo' accedere?
Si', due modi. Primo, attiva Advanced Data Protection: Apple perde la chiave e non puo' decifrare le tue foto. Secondo, usa un'app vault locale che cifra le foto sul tuo dispositivo prima di qualsiasi caricamento - Apple riceve un testo cifrato che non puo' leggere. Il modello locale rimuove completamente il cloud dalla superficie di attacco; ADP ti mantiene nell'ecosistema iCloud con la custodia delle chiavi spostata sui tuoi dispositivi.