Bitwarden è davvero gratuito o c'è un trucco?

Il piano gratuito di Bitwarden è **completo e senza trucchi**: cassaforte illimitata, sincronizzazione su tutti i dispositivi (mobile, desktop, browser, CLI), condivisione 1-a-1, 2FA TOTP (Google Authenticator, Authy). Nessun limite di password, nessuna pubblicità, nessuna riduzione di funzioni dopo un periodo di prova. Il Premium a pagamento (10 $/anno) aggiunge: 2FA hardware (YubiKey), report sullo stato della cassaforte, 1 GB di archiviazione file cifrata, accesso d'emergenza. Non c'è alcun trucco: Bitwarden è gratuito e pienamente utilizzabile al 100 % per uso personale.

Bitwarden vs 1Password: quale nel 2026?

**Bitwarden** se vuoi: open source verificabile, piano gratuito completo, self-host possibile (Vaultwarden), prezzo più basso (10 $/anno Premium vs 36 $/anno 1Password). **1Password** se vuoi: UX più rifinita, modalità Viaggio (nascondere gli account quando si attraversano le frontiere), condivisione familiare avanzata, Watchtower integrato più maturo. Verdetto: Bitwarden vince su trasparenza e prezzo. 1Password vince sul comfort quotidiano. Per la maggior parte degli utenti, Bitwarden Premium a 10 $ copre quasi tutte le esigenze di 1Password a un terzo del prezzo.

Quali sono i veri audit indipendenti di Bitwarden?

Bitwarden ha pubblicato **due audit pubblici recenti**: **Cure53 (2022)** — analisi crittografica e del codice sorgente dei client, vulnerabilità minori corrette prima della pubblicazione del report. **Insight Risk Consulting (2021)** — pentest dell'applicazione e dell'infrastruttura cloud, report pubblicato. Oltre agli audit formali, Bitwarden beneficia di una revisione continua della community grazie al codice open source (github.com/bitwarden). Confronto: anche 1Password pubblica report di audit (Cure53, Onapsis), NordPass meno spesso, Dashlane e Keeper pubblicano report SOC 2 ma il loro codice resta chiuso.

La cifratura di Bitwarden è davvero forte?

Bitwarden usa **AES-256-CBC + HMAC-SHA256** per la cifratura simmetrica della cassaforte, con **PBKDF2-SHA256 a 600.000 iterazioni** (o Argon2id dal 2023) per derivare la chiave master dalla tua master password. Le 600.000 iterazioni PBKDF2 superano la raccomandazione OWASP 2023 (310.000). In pratica: un attaccante offline con il tuo file cassaforte rubato deve eseguire ~600.000 hash per tentativo, circa 5 ms a tentativo su una GPU di fascia alta. Una master password casuale di 16 caratteri (~95 bit di entropia) resta fuori portata anche per attaccanti a livello statale.

Self-host Vaultwarden: vale la pena fare il salto?

**Vaultwarden** (ex bitwarden_rs) è una riscrittura in Rust del server Bitwarden, compatibile al 100 % con i client ufficiali ma progettata per girare su hardware modesto (un Raspberry Pi 4 basta). **Pro**: nessun dato sui server Bitwarden, controllo totale, infrastruttura gratuita se hai già un server. **Contro**: diventi responsabile di uptime, backup, certificati TLS e aggiornamenti di sicurezza. Consigliato per: sysadmin, integralisti della privacy, piccoli/medi team tecnici. Non consigliato per: utenti del grande pubblico (resta sul cloud Bitwarden ospitato).

Bitwarden è mai stato violato?

**Bitwarden non ha subito alcun compromesso pubblico dei server in 8 anni** (vs LastPass: grave violazione 2022 con esfiltrazione di casseforti cifrate). Il modello zero-knowledge di Bitwarden fa sì che un'intrusione nei server darebbe agli attaccanti solo casseforti cifrate inutilizzabili senza la master password. Nel gennaio 2023, un attacco di credential stuffing ha colpito alcuni account con master password deboli – non un compromesso di Bitwarden, solo un comportamento rischioso dell'utente. Attivare la 2FA e usare una master password lunga (16+ caratteri) protegge anche da questo scenario.

Come migro da LastPass / Dashlane / 1Password a Bitwarden?

Bitwarden include uno **strumento di importazione nativo** che accetta export CSV/JSON da **45+ gestori di password** (LastPass, 1Password, Dashlane, Keeper, NordPass, Roboform, browser Chrome/Firefox/Safari, ecc.). Procedura: esporta dal vecchio gestore nel formato richiesto, importa in Bitwarden tramite la cassaforte web, verifica che tutti gli elementi siano presenti e funzionanti, elimina definitivamente l'account di origine. L'importatore nativo di Bitwarden gestisce in modo pulito le grandi casseforti LastPass; gli allegati binari richiedono il ricaricamento manuale.

Recensione Bitwarden 2026: codice auditato, self-host e cifratura verificati

📌 A chi è rivolta questa recensione: Bitwarden è il nostro #2 generale e la scelta #1 per chiunque abbia bisogno di open source verificabile, self-host o Premium a 10 $/anno. Se vuoi soprattutto una cassaforte plug-and-play, vedi piuttosto la nostra recensione NordPass 2026 (XChaCha20, 1,49 $/mese). Verdetto completo qui sotto, senza giri di parole.

Risposta diretta

Bitwarden è sicuro e vale la pena usarlo nel 2026? Nella nostra valutazione editoriale, Bitwarden è il miglior gestore di password per gli utenti che danno priorità a trasparenza verificabile e prezzo (punteggio editoriale 4,7/5). Parametri crittografici verificati: cifratura della cassaforte AES-256-CBC + HMAC-SHA256, PBKDF2-SHA256 a 600.000 iterazioni per impostazione predefinita dal 2023 (supera la raccomandazione OWASP 2023 di 310.000), Argon2id disponibile come alternativa. Due audit pubblici indipendenti: Cure53 2022 (7 risultati minori, tutti corretti prima della pubblicazione) e Insight Risk Consulting 2021 (5 risultati, tutti corretti). Storico di 8 anni senza compromessi dei server (vs violazione LastPass dicembre 2022). Premium a 10 $/anno (vs 35,88 $/anno 1Password, 36 $/anno NordPass biennale). Self-host possibile tramite Vaultwarden su Raspberry Pi 4.

Fonte: valutazione editoriale di PwdFortress basata su capacità documentate e audit pubblicati. Metodologia completa: pwdfortress.com/en/methodology.

Bitwarden è, sulla carta, il gestore di password che puoi verificare riga per riga. Questa recensione si basa sugli audit pubblicati di Bitwarden (Cure53, Insight Risk), sul suo design crittografico documentato, sull'opzione self-host (Vaultwarden) e sul consenso delle recensioni pubbliche.

01 — Verdetto in 30 secondi

Per la stragrande maggioranza degli utenti nel 2026, Bitwarden è il miglior compromesso tra trasparenza (open source, audit pubblici), prezzo (gratuito o 10 $/anno Premium) e robustezza crittografica (AES-256 + PBKDF2-SHA256 600.000 iterazioni). I casi in cui Bitwarden non è la scelta giusta: l'uso professionale B2B esigente che richiede la massima UX e un supporto di fascia alta, dove 1Password Business resta in testa.

Bitwarden vince su trasparenza e prezzo. 1Password vince sul comfort quotidiano. Per la maggior parte degli utenti, il guadagno in trasparenza e il prezzo di Bitwarden prevalgono.

02 — Ambito di questa recensione

Questa recensione copre Bitwarden sulle sue piattaforme supportate, sulla base della documentazione ufficiale, degli audit pubblicati e del riscontro pubblico degli utenti:

Desktop: Bitwarden Desktop per macOS, Windows, Linux (AppImage + .deb)
Mobile: app iOS e Android
Browser: Firefox, Chrome, Safari, Edge
CLI: bw (Bitwarden CLI) per gli script di automazione
Self-host: Vaultwarden come server compatibile con Bitwarden mantenuto dalla community (es. su un Raspberry Pi con un proxy nginx e Let's Encrypt)

Dimensioni chiave: comportamento dell'autofill, sincronizzazione tra dispositivi, export/import, comportamento del client con connettività scarsa e conformità ai report di audit pubblicati.

03 — Sicurezza: cosa dicono davvero gli audit

Bitwarden ha pubblicato due audit indipendenti recenti:

Cure53 (2022) — Analisi crittografica e revisione del codice sorgente dei client web, estensione browser e mobile. Risultato: 7 vulnerabilità identificate, tutte minori (XSS ipotetico che richiede phishing preliminare, fuga di informazioni limitata), tutte corrette prima della pubblicazione del report. Nessuna vulnerabilità critica. Il report completo di 74 pagine è pubblico.

Insight Risk Consulting (2021) — Pentest dell'applicazione e dell'infrastruttura cloud di Bitwarden. Risultato: 3 risultati a rischio medio sull'infrastruttura, 2 sull'applicazione, tutti corretti prima della pubblicazione. Nessun accesso non autorizzato alla cassaforte possibile.

Per confronto: 1Password pubblica audit Cure53 regolari (stessa azienda), NordPass ha pubblicato un report Cure53 2022, Dashlane e Keeper pubblicano report SOC 2 Type 2 ma il loro codice resta chiuso. Il vantaggio di Bitwarden è che gli audit coprono codice che puoi leggere tu stesso.

04 — Crittografia: i numeri reali

Una schermata di login con un campo password

Ecco cosa succede quando sblocchi la tua cassaforte Bitwarden:

La tua master password viene fatta passare attraverso PBKDF2-SHA256 con 600.000 iterazioni (predefinito dal 2023, regolabile fino a 2.000.000). Argon2id disponibile come opzione.
La chiave derivata decifra una chiave master AES-256 memorizzata cifrata sul server.
La chiave master decifra ogni voce della cassaforte (cifratura per voce con derivazioni distinte).

Implicazione pratica per un attaccante che ha rubato la tua cassaforte cifrata:

Una master password casuale di 8 caratteri offre solo una protezione debole – le master password corte sono il punto di fallimento realistico.
Una master password casuale di 12 caratteri è drasticamente più difficile da decifrare contro PBKDF2 a 600.000 iterazioni.
Una master password casuale di 16 caratteri (o una passphrase EFF di 5+ parole) è di fatto fuori portata con le risorse attuali.

→ L'anello debole è la tua master password, non Bitwarden. Una password lunga (16+ caratteri) o una passphrase EFF di 5+ parole resta sicura anche se i server Bitwarden cadono.

05 — Piano gratuito: cosa puoi davvero fare senza pagare?

Questo è l'argomento vincente di Bitwarden. Il piano gratuito include:

✅ Voci illimitate (password, note, carte)
✅ Sincronizzazione su dispositivi illimitati
✅ Tutti i client (web, desktop, mobile, browser, CLI)
✅ Condivisione 1-a-1 (inviare una password a un familiare)
✅ 2FA TOTP (Google Authenticator, Authy, Yubico Authenticator)
✅ Generatore di password e passphrase
✅ Compilazione automatica e cattura di nuove voci
✅ Export della cassaforte in qualsiasi momento (JSON, CSV)
✅ Self-host del tuo server (con Vaultwarden)

Cosa NON include il piano gratuito:

❌ 2FA hardware (YubiKey, Duo) → solo Premium
❌ Report sullo stato della cassaforte (password riutilizzate, deboli, compromesse su HIBP)
❌ Archiviazione file cifrata (1 GB Premium)
❌ Accesso d'emergenza (delegare l'accesso a un familiare in caso di morte/incapacità)
❌ Condivisione di gruppo (Families, Organizzazioni)

Verdetto: per uso personale senza 2FA hardware, il piano gratuito basta ed è senza trucchi. Il Premium a 10 $/anno resta imbattibile se vuoi YubiKey + report sullo stato.

06 — Confronto rapido vs concorrenti

Criterio	Bitwarden	1Password	NordPass	Dashlane	Proton Pass
Open source	✅ Sì (client + server)	❌ No	❌ No	❌ No	✅ Parziale (client)
Piano gratuito	✅ Completo	❌ Prova 14 gg	⚠️ Limitato (1 dispositivo)	⚠️ 25 pwd	✅ Completo
Prezzo Premium	10 $/anno	36 $/anno	24 $/anno	35 $/anno	12 $/anno
Self-host	✅ Vaultwarden	❌ No	❌ No	❌ No	❌ No
2FA hardware	✅ Premium	✅ Standard	✅ Premium	✅ Standard	✅ Premium
Audit pubblico recente	✅ Cure53 2022 + Insight 2023	✅ Cure53 ricorrente	✅ Cure53 2022	SOC 2	✅ Open source
Violazione storica	Nessuna (8 anni)	Nessuna	Nessuna	Nessuna	Nessuna

Per i dettagli, vedi il nostro confronto Bitwarden vs 1Password e la nostra classifica dei gestori di password 2026.

07 — Quando Bitwarden NON è la scelta giusta

L'onestà lo impone. Bitwarden ha dei limiti:

Uso Business molto esigente: 1Password Business offre una UX di amministrazione più matura, un Watchtower più integrato (avviso di violazione) e un supporto Enterprise più rifinito. Bitwarden Teams/Enterprise è competente ma scarno.
Modalità «Viaggio» (nascondere gli account quando si attraversano le frontiere): 1Password ce l'ha in modo nativo, Bitwarden no. Soluzione alternativa: usare Organizzazioni separate.
Condivisione familiare: 1Password Families è più ergonomico per separare le casseforti genitore/figlio/ospite. Bitwarden Families funziona ma richiede più configurazione.
Invecchiamento visivo del desktop: i client desktop di Bitwarden hanno un design datato (materiali UI del 2018), rispetto a 1Password (restyling 2023). Nessun impatto sulla sicurezza, ma si percepisce ogni giorno.

Se ne riconosci 2+, 1Password potrebbe giustificare il suo prezzo 3,6 volte superiore.

08 — Come passare a Bitwarden se usi qualcos'altro

La nostra guida passo passo alla migrazione LastPass → Bitwarden descrive l'intera procedura. Riepilogo espresso:

Esporta la tua cassaforte attuale (LastPass: Account Options → Advanced → Export). Formato CSV.
Crea un account Bitwarden gratuito con una master password forte (16+ caratteri o passphrase di 5+ parole).
Importa tramite vault.bitwarden.com → Tools → Import data.
Verifica che tutte le voci siano presenti (prova su 10 siti a caso).
Attiva la 2FA TOTP sullo stesso account Bitwarden (essenziale).
Elimina definitivamente l'account LastPass (Account Settings → Delete account).
Elimina in modo sicuro il file di export CSV: cancellalo localmente (shred) dopo la verifica dell'importazione.

Prevedi 30-60 minuti per la migrazione completa. La parte più lunga: controllare che gli account sensibili (banca, email principale) funzionino da Bitwarden.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Scopri NordPass Premium →1,49 $/mese piano biennale · Alternativa con UX moderna · XChaCha20 + Argon2id→

09 — Per approfondire

Il nostro confronto dettagliato Bitwarden vs 1Password
Il tutorial self-host Vaultwarden
La nostra metodologia pubblica — come confrontiamo i gestori
La nostra classifica dei migliori gestori di password 2026

PwdFortress riceve una commissione se ti abboni a Bitwarden Premium tramite i link di questo articolo. Questo non cambia né il prezzo pagato né il contenuto: Bitwarden è confrontato con gli stessi criteri dei suoi concorrenti nella nostra metodologia pubblica. Vedi anche la nostra recensione dettagliata di Bitwarden.

Prova Bitwarden Premium → BitwardenOpen source · self-hosting · premium economico→