Privacy iPhone per Viaggiatori Internazionali

TL;DR

I viaggiatori affrontano due minacce distinte: un agente di frontiera che può legalmente chiedere di vedere il telefono e un ladro che lo ruba in una città straniera. AppVault affronta entrambe. Il Calculator Launcher mostra una calcolatrice iOS funzionante quando qualcun altro tiene il dispositivo. La Cassaforte di Copertura si apre con un secondo schema matematicamente indipendente. Scansioni di passaporto, pagine di visto e certificati vaccinali sono protetti da crittografia AES-256-GCM con una chiave derivata da 600.000 iterazioni PBKDF2 e avvolta dal Secure Enclave dell’iPhone. Nessuna chiamata di rete. Nessun account. Nessun recupero se si dimentica lo schema.

Le Due Minacce che Ogni Viaggiatore Affronta

Il telefono di un viaggiatore contiene più dati sensibili di quanto ne abbia mai avuti un armadietto. Scansioni di passaporto, pagine di visto, certificati vaccinali, conferme di hotel, foto di carte di pagamento, messaggi privati, cronologia delle posizioni — tutto su un dispositivo che varca confini, viene passato a sconosciuti e talvolta scompare.

Le minacce non sono astratte. Si dividono in due categorie.

Il controllo di frontiera. Un funzionario chiede di vedere il telefono. Negli Stati Uniti, la dogana (CBP) opera sotto l’eccezione di perquisizione di frontiera al Quarto Emendamento — una dottrina legale che permette perquisizioni dei dispositivi senza mandato in qualsiasi punto di ingresso. La sentenza della Corte Suprema del 2014 in Riley v. California ha richiesto un mandato per le perquisizioni successive all’arresto, ma l’eccezione di frontiera rimane una categoria separata. La politica CBP richiede un “ragionevole sospetto” per quelle che chiama perquisizioni “avanzate” (ad esempio collegare il dispositivo a un’apparecchiatura esterna), ma una perquisizione di base — scorrere foto, messaggi e app — non ha questa soglia. Anche altri paesi operano con quadri simili. Regno Unito, Canada, Australia e Nuova Zelanda permettono perquisizioni dei dispositivi alla frontiera. Nell’area Schengen il quadro giuridico è uniforme ma l’applicazione no. Un funzionario tedesco può seguire una lista di controllo procedurale rigorosa. Un funzionario francese può operare con poteri di polizia più ampi. Un funzionario italiano può applicare le regole in modo incoerente. La stessa frontiera, tre esperienze diverse.

Il dispositivo smarrito o rubato. Un telefono lasciato in un taxi a Istanbul. Una borsa strappata a Barcellona. Un dispositivo rubato dalla camera d’albergo a Bangkok. Il ladro non deve violare iOS. Se il telefono è sbloccato — o se il ladro riesce a indovinare il codice — ogni foto, messaggio e file è accessibile. Il solo rullino fotografico può contenere scansioni di passaporto, carte d’imbarco e screenshot di conversazioni delicate.

AppVault affronta entrambe le minacce con un’unica architettura: archiviazione crittografata invisibile a chiunque non abbia lo schema, una calcolatrice come ingresso per il momento della consegna e un livello di copertura per situazioni in cui “non ho una cassaforte” non è una risposta credibile.

Cosa Mettere nella Cassaforte

I viaggiatori accumulano documenti che sono banali singolarmente e pericolosi nell’insieme. Una foto della pagina biografica del passaporto. La scansione di un timbro di visto. Un certificato vaccinale. Una foto del retro di una carta di credito “per sicurezza”. Una conferma di hotel con l’indirizzo di casa. Uno screenshot di una conversazione privata.

Nessuno di questi file è sensibile da solo. Insieme, formano un dossier.

AppVault archivia questi file in un catalogo crittografato sigillato con AES-256-GCM. Ogni file riceve un nonce unico di 96 bit, quindi nessun file condivide lo stesso flusso di chiave. Il cifrario è NIST FIPS 197 con la modalità GCM specificata in NIST SP 800-38D. La chiave di crittografia deriva dallo schema 5×5 dell’utente tramite PBKDF2-SHA256 con 600.000 iterazioni — la raccomandazione OWASP 2026 — e un sale di 128 bit per installazione. La chiave derivata viene quindi avvolta da una chiave generata all’interno del Secure Enclave dell’iPhone, un modulo di sicurezza hardware che non espone mai la chiave al processore principale o ad Apple.

Il catalogo stesso è crittografato. Un attaccante con accesso grezzo alla memoria del telefono non può determinare quanti file esistano, come si chiamano o quando sono stati aggiunti. La cassaforte non è una cartella. È un contenitore sigillato.

Il Calculator Launcher: Progettato per il Momento della Consegna

Il momento più vulnerabile per il telefono di un viaggiatore è quando qualcun altro lo tiene. Un agente di frontiera. Un poliziotto. Un collega che chiede di vedere una foto e scorre troppo lontano.

Il Calculator Launcher di AppVault affronta questo mostrando una calcolatrice iOS a tutti gli effetti quando l’app viene aperta. L’icona dice “Calcolatrice”. Il nome dell’app dice “Calcolatrice”. L’interfaccia è una calcolatrice. Somma, sottrae, moltiplica e divide. Soddisfa la linea guida Apple 4.3 (icone alternative) perché non è una calcolatrice finta — è una vera.

La schermata di sblocco della cassaforte appare solo dopo una pressione prolungata sul tasto uguale. Nessun altro gesto la attiva. Nessuna notifica la rivela. Per chiunque sfogli la schermata Home o apra l’app, è una calcolatrice.

Non è un trucco. È una scelta progettuale che riconosce una realtà: quando qualcun altro tiene il tuo telefono, hai bisogno che il contenuto sensibile sia invisibile, non solo dietro una password.

La Cassaforte di Copertura: Negazione Plausibile per Matematica

Una calcolatrice che nasconde una cassaforte è un primo livello. Ma cosa succede quando qualcuno che conosce le app cassaforte — o a cui è stato detto di cercarle — chiede di vedere cosa c’è dentro?

La Cassaforte di Copertura di AppVault fornisce un secondo schema 5×5 che apre un catalogo separato e matematicamente indipendente. Le due casseforti non condividono chiavi di crittografia. Non condividono metadati di file. Non condividono alcuna connessione visibile. La cassaforte di copertura ha lo stesso aspetto e comportamento della cassaforte principale. Ha il proprio elenco di file, la propria archiviazione, il proprio schema.

Se qualcuno chiede l’accesso, fornisci lo schema di copertura. La cassaforte di copertura si apre. Contiene file — magari foto personali, magari nulla di compromettente. La cassaforte principale resta sigillata e non rilevabile. Non c’è alcun “indicatore di seconda cassaforte”. Non c’è modo di dimostrare che esista una cassaforte principale.

Non è una funzione per eludere la legge. È una funzione per viaggiatori che portano materiale sensibile legittimo — documenti legali, cartelle cliniche, fonti giornalistiche — e che operano in giurisdizioni dove lo stato legale delle perquisizioni dei dispositivi è poco chiaro o applicato in modo incoerente.

Igiene da Viaggio: Prima, Durante e Dopo

Prima del viaggio. Sposta ogni file sensibile nella cassaforte. Scansioni di passaporto, pagine di visto, certificati vaccinali, foto di carte di pagamento, conferme di hotel con indirizzi di casa. Elimina gli originali dal rullino. Controlla i Messaggi per conversazioni delicate e cancellale. Controlla la posta per documenti inoltrati e rimuovili. Se usi il backup iCloud crittografato, attivalo prima della partenza — i file vengono sigillati con una chiave di backup separata per dispositivo prima del caricamento, e Apple riceve solo testo cifrato. Scrivi la passphrase di recupero e conservala separatamente dal telefono.

Sul posto. Tieni il telefono bloccato quando non lo usi. Usa un codice forte — almeno sei cifre, meglio alfanumerico. Attiva Face ID o Touch ID per comodità, ma ricorda che lo sblocco biometrico può essere obbligato in alcune giurisdizioni (i tribunali statunitensi hanno stabilito che un codice è protetto dal Quinto Emendamento, ma un’impronta digitale no). Se un agente di frontiera chiede il telefono, consegnalo. Se ti chiede di aprire un’app, apri Calcolatrice. Se ti chiede cosa fa Calcolatrice, fa calcoli.

Al ritorno. L’eccezione di frontiera statunitense si applica sia ai cittadini USA che ai non cittadini. Le stesse precauzioni valgono per il viaggio di ritorno. Se hai acquisito materiale sensibile durante il viaggio — ricevute, documenti, foto — mettili nella cassaforte prima di atterrare.

Cosa AppVault Non Difende

L’onestà sui limiti è una caratteristica, non una debolezza.

AppVault non protegge da un kernel iOS compromesso. Se un attaccante sfrutta uno zero-day in iOS, la crittografia è irrilevante — l’attaccante legge i dati dopo la decifratura. AppVault non protegge dalla coercizione fisica. Se qualcuno ti costringe a inserire lo schema, la cassaforte si apre. AppVault non protegge i dati al di fuori della cassaforte. Le foto nel rullino, i messaggi in Messaggi, le email in Mail — sono al di fuori del suo ambito. AppVault non protegge dai backup iCloud di dati mai inseriti nella cassaforte. Se hai eseguito il backup del rullino su iCloud prima di spostare i file nella cassaforte, le copie non crittografate esistono ancora sui server Apple.

La pagina del modello di minaccia dettaglia questi limiti. Leggila prima di decidere cosa mettere nella cassaforte e cosa lasciare altrove.

Confronto

La categoria delle app cassaforte per foto è affollata. Keepsafe è il leader di categoria per numero di installazioni; il confronto completo caratteristiche per caratteristiche è nella pagina di confronto. Vaultaire è il concorrente più vicino nella nicchia della cassaforte a calcolatrice; la sua architettura differisce in aree chiave dettagliate nella sua pagina di confronto.

La maggior parte delle app cassaforte per foto supportate da pubblicità esegue SDK di terze parti che inviano telemetria di utilizzo fuori dal dispositivo. AppVault non esegue SDK di terze parti, non effettua chiamate di rete di default e dichiara nessun dato raccolto sul pannello nutrizionale della privacy. La pagina completa sull’architettura zero-knowledge spiega cosa AppVault non può sapere — perché non lo chiede mai.

In Sintesi

Il telefono di un viaggiatore è una responsabilità. Trasporta più dati personali di quanto la maggior parte delle persone pensi, e i quadri giuridici che regolano chi può accedervi sono incoerenti, dipendenti dalla giurisdizione e in evoluzione. AppVault non risolve il problema legale. Risolve quello tecnico: quando qualcuno che non dovrebbe vedere i tuoi dati ottiene l’accesso fisico al telefono, i dati restano sigillati.

La calcolatrice come ingresso gestisce la consegna. La cassaforte di copertura gestisce la richiesta. La crittografia gestisce il resto. Niente server. Niente account. Nessun recupero se dimentichi lo schema. Quest’ultima cosa non è un difetto. È il punto.