password-security-guideINFO

I legami russi di Passwork: cosa ha rilevato l'inchiesta e come scegliere un password manager di cui fidarti

Un'inchiesta di OCCRP ha rilevato che Passwork, un password manager presentato come europeo, ha origini e legami russi tuttora attivi, tra cui una societa sorella certificata dall'FSB. Cosa e stato riportato e la checklist di fiducia per scegliere un password manager.

Di Eric Gerard · Editor · PwdFortress4 min di letturaPhoto: Pexels

Il tuo password manager e l'app piu sensibile che possiedi - custodisce le chiavi di tutto il resto. Per questo un'inchiesta di luglio 2026 su Passwork, un manager presentato come europeo ma secondo i resoconti con profondi legami russi, merita di essere compresa con calma. Ecco cosa dicono davvero i resoconti e, cosa piu utile, la checklist a cui rimandano per scegliere un password manager di cui fidarti davvero.

Cosa ha rilevato l'inchiesta

Secondo un'inchiesta di OCCRP (Organized Crime and Corruption Reporting Project), con resoconti a conferma di testate come Irish Times, DutchNews, NL Times e Cybernews, Passwork si presenta come prodotto europeo (con sede in Spagna, su passwork.pro) ma ha origini russe che non erano in primo piano per i suoi utenti.

I punti chiave dei resoconti:

  • Il software risale a Arkhangelsk, in Russia, dove il sito in lingua russa passwork.ru fu registrato per la prima volta nel 2014.
  • Una societa sorella russa e certificata dal servizio di sicurezza FSB - una certificazione che, secondo i resoconti, richiede la revisione del codice sorgente da parte di revisori approvati dallo Stato.
  • Secondo i resoconti, i prodotti europeo (passwork.pro) e russo (passwork.ru) avrebbero distribuito lo stesso aggiornamento alla versione 7.6 a un giorno di distanza, a indicare un codice condiviso.
  • La struttura societaria si estende su piu giurisdizioni e il prodotto e stato usato da enti governativi e universita europee, tra cui organismi statali irlandesi e aziende olandesi.

Per essere precisi e onesti: i resoconti non affermano l'esistenza di una backdoor provata. La questione che sollevano riguarda fiducia, trasparenza e giurisdizione.

Perche la fiducia in un password manager conta cosi tanto

La maggior parte dei guasti software resta circoscritta. Un password manager e diverso, perche custodisce ogni credenziale che possiedi. Se l'azienda che c'e dietro ha legami non dichiarati con un servizio di sicurezza statale - che ne rivede il codice - allora la domanda non e solo "c'e un bug?" ma "chi ha in ultima analisi leva sulla cosa che protegge tutti i miei account?". Ecco perche gli esperti citati nell'inchiesta lo inquadrano come un rischio a livello statale, ed ecco perche la trasparenza su proprieta e giurisdizione non e un optional per questa categoria. E il punto centrale.

Una mano che tiene un lucchetto di ottone. Un password manager custodisce ogni credenziale che possiedi, il che rende la fiducia in chi lo costruisce la domanda piu importante.
Una mano che tiene un lucchetto di ottone. Un password manager custodisce ogni credenziale che possiedi, il che rende la fiducia in chi lo costruisce la domanda piu importante.

Come scegliere un password manager di cui fidarti

Questo e l'insegnamento pratico, e vale ben oltre un singolo prodotto. Quando scegli un password manager, cerca quattro cose:

  • Proprieta e giurisdizione trasparenti. Dovresti poter scoprire chi gestisce l'azienda e sotto quali leggi opera, senza bisogno di un'inchiesta.
  • Codice open-source piu audit indipendenti recenti. Il codice aperto consente a revisori indipendenti di verificare le affermazioni; gli audit di terze parti verificano che la sicurezza regga. Insieme trasformano "fidati di noi" in "controlla tu stesso".
  • Crittografia end-to-end e zero-knowledge. Il tuo vault dovrebbe essere cifrato con una chiave derivata dalla tua password sul tuo dispositivo, cosi che il fornitore stesso non possa leggerlo - la protezione strutturale piu forte che esista.
  • Un curriculum reale. Longevita e una storia pulita e trasparente contano per qualcosa di cosi sensibile.

Manager come Bitwarden (open-source e sottoposto ad audit), Proton Pass (con sede in Svizzera e sottoposto ad audit) e NordPass (sottoposto ad audit indipendenti) sono esempi che soddisfano questi requisiti - vedi il nostro approfondimento su se i password manager sono sicuri e sui migliori gestori gratuiti per confrontarli.

Cosa fare se usi Passwork

Non farti prendere dal panico, ma valutalo. Leggi i resoconti, soppesa i legami dichiarati rispetto al tuo modello di minaccia e, se non ti senti a tuo agio, migra verso un'alternativa trasparente, sottoposta ad audit e zero-knowledge, cambiando le tue password piu importanti da un dispositivo pulito man mano che procedi. Secondo i resoconti, le organizzazioni citate stanno rivedendo il proprio utilizzo; come singolo, puoi prendere quella decisione piu in fretta.

In sintesi: la vicenda Passwork non riguarda tanto un singolo prodotto che viene "violato", quanto una lezione che vale per tutti. Poiche un password manager protegge ogni cosa, scegline uno la cui proprieta e trasparente, il cui codice e aperto e sottoposto ad audit, e la cui crittografia fa si che non possa leggere il tuo vault nemmeno se lo volesse.

Domande frequenti

Cosa ha rilevato l'inchiesta su Passwork?

Secondo un'inchiesta di OCCRP pubblicata a luglio 2026, e i resoconti di testate come Irish Times, DutchNews e Cybernews, Passwork - un password manager presentato come prodotto europeo con sede in Spagna - ha origini e legami russi tuttora attivi. I resoconti fanno risalire il software a Arkhangelsk, in Russia, dove il sito in lingua russa passwork.ru fu registrato per la prima volta nel 2014, e affermano che una societa sorella russa e certificata dal servizio di sicurezza FSB, un processo che richiede la revisione del codice sorgente da parte di revisori approvati dallo Stato. Secondo i resoconti, le versioni europea e russa avrebbero inoltre distribuito lo stesso aggiornamento alla versione 7.6 a un giorno di distanza, indice di un codice condiviso.

Passwork e insicuro da usare?

I resoconti non sostengono l'esistenza di una backdoor provata; la preoccupazione sollevata dagli esperti riguarda fiducia, trasparenza e giurisdizione. Un password manager custodisce ogni credenziale che possiedi, quindi legami non dichiarati con un servizio di sicurezza statale che rivede il codice sono, nelle parole dell'inchiesta, un rischio di sicurezza a livello statale da prendere sul serio, in particolare per enti governativi e aziende. Se quel rischio sia accettabile e una decisione che ogni utente e organizzazione deve prendere, ma e esattamente il genere di cosa su cui un password manager dovrebbe essere pienamente trasparente.

Come scelgo un password manager di cui fidarmi?

Cerca quattro cose. Trasparenza su chi possiede l'azienda e sotto quale giurisdizione opera. Codice open-source piu audit di sicurezza indipendenti recenti, cosi che le affermazioni possano essere verificate anziche accettate per fede. Crittografia end-to-end e zero-knowledge, cosi che il fornitore stesso non possa leggere il tuo vault. E un solido curriculum. Manager come Bitwarden (open-source, sottoposto ad audit), Proton Pass (svizzero, sottoposto ad audit) e NordPass (sottoposto ad audit indipendenti) sono esempi che soddisfano questi requisiti.

Cosa dovrei fare se uso Passwork?

Non farti prendere dal panico, ma valutalo. Leggi i resoconti, soppesa i legami dichiarati rispetto al tuo modello di minaccia e, se non ti senti a tuo agio, passa a un'alternativa trasparente, sottoposta ad audit e zero-knowledge, cambiando le tue password piu importanti da un dispositivo pulito durante la migrazione. Secondo i resoconti, le organizzazioni citate stanno rivedendo il proprio utilizzo; i singoli possono prendere la stessa decisione piu rapidamente.

L'open-source rende un password manager piu sicuro?

Aiuta, perche consente a revisori indipendenti di ispezionare il codice anziche fidarsi della parola del fornitore - il principio 'non fidarti, verifica'. L'open-source e piu efficace se abbinato a audit periodici di terze parti e a crittografia zero-knowledge. Da solo non e una garanzia, ma combinato con gli audit e un proprietario trasparente e uno dei segnali piu chiari che un password manager merita fiducia.