Il tuo password manager e l'app piu sensibile che possiedi - custodisce le chiavi di tutto il resto. Per questo un'inchiesta di luglio 2026 su Passwork, un manager presentato come europeo ma secondo i resoconti con profondi legami russi, merita di essere compresa con calma. Ecco cosa dicono davvero i resoconti e, cosa piu utile, la checklist a cui rimandano per scegliere un password manager di cui fidarti davvero.
Cosa ha rilevato l'inchiesta
Secondo un'inchiesta di OCCRP (Organized Crime and Corruption Reporting Project), con resoconti a conferma di testate come Irish Times, DutchNews, NL Times e Cybernews, Passwork si presenta come prodotto europeo (con sede in Spagna, su passwork.pro) ma ha origini russe che non erano in primo piano per i suoi utenti.
I punti chiave dei resoconti:
- Il software risale a Arkhangelsk, in Russia, dove il sito in lingua russa passwork.ru fu registrato per la prima volta nel 2014.
- Una societa sorella russa e certificata dal servizio di sicurezza FSB - una certificazione che, secondo i resoconti, richiede la revisione del codice sorgente da parte di revisori approvati dallo Stato.
- Secondo i resoconti, i prodotti europeo (passwork.pro) e russo (passwork.ru) avrebbero distribuito lo stesso aggiornamento alla versione 7.6 a un giorno di distanza, a indicare un codice condiviso.
- La struttura societaria si estende su piu giurisdizioni e il prodotto e stato usato da enti governativi e universita europee, tra cui organismi statali irlandesi e aziende olandesi.
Per essere precisi e onesti: i resoconti non affermano l'esistenza di una backdoor provata. La questione che sollevano riguarda fiducia, trasparenza e giurisdizione.
Perche la fiducia in un password manager conta cosi tanto
La maggior parte dei guasti software resta circoscritta. Un password manager e diverso, perche custodisce ogni credenziale che possiedi. Se l'azienda che c'e dietro ha legami non dichiarati con un servizio di sicurezza statale - che ne rivede il codice - allora la domanda non e solo "c'e un bug?" ma "chi ha in ultima analisi leva sulla cosa che protegge tutti i miei account?". Ecco perche gli esperti citati nell'inchiesta lo inquadrano come un rischio a livello statale, ed ecco perche la trasparenza su proprieta e giurisdizione non e un optional per questa categoria. E il punto centrale.

Come scegliere un password manager di cui fidarti
Questo e l'insegnamento pratico, e vale ben oltre un singolo prodotto. Quando scegli un password manager, cerca quattro cose:
- Proprieta e giurisdizione trasparenti. Dovresti poter scoprire chi gestisce l'azienda e sotto quali leggi opera, senza bisogno di un'inchiesta.
- Codice open-source piu audit indipendenti recenti. Il codice aperto consente a revisori indipendenti di verificare le affermazioni; gli audit di terze parti verificano che la sicurezza regga. Insieme trasformano "fidati di noi" in "controlla tu stesso".
- Crittografia end-to-end e zero-knowledge. Il tuo vault dovrebbe essere cifrato con una chiave derivata dalla tua password sul tuo dispositivo, cosi che il fornitore stesso non possa leggerlo - la protezione strutturale piu forte che esista.
- Un curriculum reale. Longevita e una storia pulita e trasparente contano per qualcosa di cosi sensibile.
Manager come Bitwarden (open-source e sottoposto ad audit), Proton Pass (con sede in Svizzera e sottoposto ad audit) e NordPass (sottoposto ad audit indipendenti) sono esempi che soddisfano questi requisiti - vedi il nostro approfondimento su se i password manager sono sicuri e sui migliori gestori gratuiti per confrontarli.
Cosa fare se usi Passwork
Non farti prendere dal panico, ma valutalo. Leggi i resoconti, soppesa i legami dichiarati rispetto al tuo modello di minaccia e, se non ti senti a tuo agio, migra verso un'alternativa trasparente, sottoposta ad audit e zero-knowledge, cambiando le tue password piu importanti da un dispositivo pulito man mano che procedi. Secondo i resoconti, le organizzazioni citate stanno rivedendo il proprio utilizzo; come singolo, puoi prendere quella decisione piu in fretta.
In sintesi: la vicenda Passwork non riguarda tanto un singolo prodotto che viene "violato", quanto una lezione che vale per tutti. Poiche un password manager protegge ogni cosa, scegline uno la cui proprieta e trasparente, il cui codice e aperto e sottoposto ad audit, e la cui crittografia fa si che non possa leggere il tuo vault nemmeno se lo volesse.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Blinda i tuoi account → NordPassPassword forti e uniche · scanner di violazioni · piano gratuito→Domande frequenti
Cosa ha rilevato l'inchiesta su Passwork?
Secondo un'inchiesta di OCCRP pubblicata a luglio 2026, e i resoconti di testate come Irish Times, DutchNews e Cybernews, Passwork - un password manager presentato come prodotto europeo con sede in Spagna - ha origini e legami russi tuttora attivi. I resoconti fanno risalire il software a Arkhangelsk, in Russia, dove il sito in lingua russa passwork.ru fu registrato per la prima volta nel 2014, e affermano che una societa sorella russa e certificata dal servizio di sicurezza FSB, un processo che richiede la revisione del codice sorgente da parte di revisori approvati dallo Stato. Secondo i resoconti, le versioni europea e russa avrebbero inoltre distribuito lo stesso aggiornamento alla versione 7.6 a un giorno di distanza, indice di un codice condiviso.
Passwork e insicuro da usare?
I resoconti non sostengono l'esistenza di una backdoor provata; la preoccupazione sollevata dagli esperti riguarda fiducia, trasparenza e giurisdizione. Un password manager custodisce ogni credenziale che possiedi, quindi legami non dichiarati con un servizio di sicurezza statale che rivede il codice sono, nelle parole dell'inchiesta, un rischio di sicurezza a livello statale da prendere sul serio, in particolare per enti governativi e aziende. Se quel rischio sia accettabile e una decisione che ogni utente e organizzazione deve prendere, ma e esattamente il genere di cosa su cui un password manager dovrebbe essere pienamente trasparente.
Come scelgo un password manager di cui fidarmi?
Cerca quattro cose. Trasparenza su chi possiede l'azienda e sotto quale giurisdizione opera. Codice open-source piu audit di sicurezza indipendenti recenti, cosi che le affermazioni possano essere verificate anziche accettate per fede. Crittografia end-to-end e zero-knowledge, cosi che il fornitore stesso non possa leggere il tuo vault. E un solido curriculum. Manager come Bitwarden (open-source, sottoposto ad audit), Proton Pass (svizzero, sottoposto ad audit) e NordPass (sottoposto ad audit indipendenti) sono esempi che soddisfano questi requisiti.
Cosa dovrei fare se uso Passwork?
Non farti prendere dal panico, ma valutalo. Leggi i resoconti, soppesa i legami dichiarati rispetto al tuo modello di minaccia e, se non ti senti a tuo agio, passa a un'alternativa trasparente, sottoposta ad audit e zero-knowledge, cambiando le tue password piu importanti da un dispositivo pulito durante la migrazione. Secondo i resoconti, le organizzazioni citate stanno rivedendo il proprio utilizzo; i singoli possono prendere la stessa decisione piu rapidamente.
L'open-source rende un password manager piu sicuro?
Aiuta, perche consente a revisori indipendenti di ispezionare il codice anziche fidarsi della parola del fornitore - il principio 'non fidarti, verifica'. L'open-source e piu efficace se abbinato a audit periodici di terze parti e a crittografia zero-knowledge. Da solo non e una garanzia, ma combinato con gli audit e un proprietario trasparente e uno dei segnali piu chiari che un password manager merita fiducia.



