Skip to content
FileShrinking
PrivacySicurezza

È sicuro comprimere file online? Guida alla privacy

La maggior parte dei compressori online carica i tuoi file su un server. Ecco cosa succede davvero, i rischi reali e come riconoscere uno strumento veramente privato.

The FileShrinking Team28 giugno 20268 min di lettura

Cerca un modo per ridurre le dimensioni di una foto o di un PDF e troverai centinaia di siti di “compressore online gratuito”. Sono comodi, funzionano e, la maggior parte delle volte, non succede nulla di male. Ma “online” di solito significa una cosa molto precisa sotto il cofano: il tuo file viene caricato sul server di qualcun altro, elaborato lì e rispedito indietro. Che ciò sia sicuro dipende interamente da chi è il proprietario di quel server e da cosa fa con i tuoi dati. Questa guida spiega cosa accade davvero quando carichi un file, dove sono i rischi reali e come distinguere uno strumento autenticamente privato da uno che si limita a dire di esserlo.

Cosa succede quando carichi un file per comprimerlo

Un compressore online tradizionale segue un semplice percorso di andata e ritorno: il tuo browser invia il file originale attraverso internet a un server web, un programma lì lo comprime e il risultato viene rispedito affinché tu lo scarichi. La compressione in sé è innocua. L’ esposizione deriva da tutto ciò che tocca il tuo file lungo il percorso:

  • Vengono scritte copie su disco.Per elaborare un file, un server quasi sempre lo salva temporaneamente. “Temporaneamente” può significare secondi o, a seconda dei processi di pulizia e dei backup, molto più a lungo.
  • Log e cache.I server web, le reti di distribuzione di contenuti e i proxy registrano le richieste di routine e possono memorizzare le risposte nella cache. Il tuo file o i suoi metadati possono persistere in luoghi che nemmeno l’operatore del sito controlla direttamente.
  • Elaboratori di terze parti.Molti siti non gestiscono la propria infrastruttura; passano il tuo file a un archivio cloud, a una funzione serverless o all’API di compressione di un’altra azienda. Ogni passaggio è un’altra parte che ha, per quanto brevemente, una copia dei tuoi dati.
  • Conservazione che non hai accettato.Una promessa di “eliminare i file dopo un’ora” vale solo quanto l’onestà e l’ingegneria dell’operatore. Non hai modo di verificarlo.

Niente di tutto questo è intrinsecamente malevolo. Un servizio di buona reputazione con una buona sicurezza può gestire il tutto in modo responsabile. Il problema è che ti stai fidando di persone che non puoi vedere, e una volta che un file lascia il tuo dispositivo perdi il controllo su dove finiscono le sue copie.

I rischi reali (senza allarmismi)

Siamo onesti sulle probabilità. La stragrande maggioranza delle compressioni online si svolge senza incidenti. Ma quando qualcosa va storto, le conseguenze possono essere gravi, e crescono in funzione di quanto è sensibile il file.

Violazioni dei dati

Qualsiasi server che memorizza file, anche solo brevemente, è un bersaglio. Bucket cloud configurati male, credenziali trapelate e software senza patch hanno già esposto in passato i caricamenti degli utenti. Se il tuo file era su quel server quando ha subito la violazione, non è più nelle tue mani.

Condizioni che concedono diritti di nascosto

Leggi le clausole in piccolo di alcuni strumenti gratuiti e troverai licenze ampie: il permesso di “archiviare, riprodurre ed elaborare” i tuoi contenuti, oppure di usare i caricamenti per “migliorare i nostri servizi” — il che può includere l’immissione in flussi di analisi o di apprendimento automatico. Forse stai cedendo più di quanto pensi in cambio del “gratis”.

Tracciamento di terze parti

I compressori finanziati dalla pubblicità spesso caricano tracker e script pubblicitari. Quegli script non possono leggere il contenuto del tuo file, ma possono registrare che hai usato uno strumento per, ad esempio, comprimere immagini mediche, e collegarlo a un profilo che ti riguarda.

Perché i file sensibili meritano maggiore cautela

Il calcolo cambia completamente a seconda di cosa stai comprimendo. Ridurre un meme è a basso rischio. Caricare uno dei seguenti su un server sconosciuto è tutta un’altra storia:

  • Documenti d’identità— passaporti, patenti di guida, carte d’identità. Sono oro per le frodi.
  • File finanziari e legali— contratti firmati, moduli fiscali, estratti conto bancari, fatture con i dati del conto.
  • Cartelle cliniche e referti medici— questi possono inoltre essere soggetti a tutele legali (come l’HIPAA negli Stati Uniti o le norme sulle categorie particolari del GDPR nell’UE) di cui tu, o il tuo datore di lavoro, siete responsabili.
  • Foto private e corrispondenza personale— materiale che non vorresti mai veder emergere in una violazione o in un set di addestramento.

Per file come questi, la domanda giusta non è “questo sito probabilmente va bene?”, bensì “questo file ha davvero bisogno di lasciare il mio dispositivo?”. Spesso, la risposta è no.

Come capire se un compressore è davvero privato

Il marketing costa poco; “sicuro” e “privato” compaiono su moltissimi siti che comunque caricano tutto. Ecco come verificarlo da solo, più o meno in ordine di quanto è conclusiva ciascuna prova.

1. Carica qualcosa? Tieni d’occhio la scheda di rete.

Questa è la prova più potente di tutte, e chiunque può farla. Apri gli strumenti per sviluppatori del tuo browser (F12 oppure clic destro e poi Ispeziona), passa alla scheda Retee comprimi un file. Se vedi una grande richiesta in uscita che trasporta il tuo file, significa che è stato caricato. Se l’elaborazione è locale, vedrai il file caricarsi nella pagina ma nessun caricamento del suo contenuto in uscita. La documentazione di MDN su come i browser gestiscono le richieste cross-origin è una buona introduzione al significato di quelle voci di rete.

2. L’elaborazione avviene lato client?

I browser moderni possono comprimere immagini, video, audio e PDF interamente sulla tua macchina utilizzando tecnologie come la Canvas API, WebAssembly e i Web Workers. Uno strumento costruito così non ha mai bisogno di un server per il lavoro vero e proprio. Approfondiamo come ciò sia possibile nel nostro articolo su come comprimere le immagini senza perdere qualità.

3. Il codice è open source e verificabile?

Un’affermazione sulla privacy di cui puoi leggere il codice sorgente vale molto più di una di cui non puoi. Se il progetto è open source, chiunque — compresi i ricercatori di sicurezza — può confermare che i file vengono elaborati localmente e che non viene esfiltrato nulla. Uno strumento chiuso ti chiede di credere sulla parola.

4. L’informativa sulla privacy è specifica e chiara?

Un’informativa affidabile indica con chiarezza se i file vengono caricati, cosa viene conservato e per quanto tempo, e quali terze parti sono coinvolte. Un linguaggio vago, o un’informativa che contraddice lo slogan “non vediamo mai i tuoi file”, è un campanello d’allarme.

L’alternativa più sicura: tenere i file sul tuo dispositivo

Il modo più pulito per eliminare il rischio di caricamento è non caricare nulla. Un compressore lato client(nel browser) esegue ogni passaggio localmente: il tuo file viene letto nella pagina, elaborato da codice che gira sulla tua stessa CPU e salvato di nuovo nella cartella dei download — senza che un solo byte del suo contenuto attraversi la rete. Non c’è nessuna copia sul server che possa subire una violazione, nessuna politica di conservazione di cui fidarsi e nessun elaboratore di terze parti nel circuito, perché non c’è nessun server a fare il lavoro.

È esattamente così che è costruito FileShrinking. Ogni strumento — il compressore di immagini, il compressore di PDFe tutti gli altri — gira al 100% nel tuo browser. I tuoi file non vengono mai caricati. E poiché il progetto è completamente open source sotto licenza MIT, quella affermazione del nessun caricamento è verificabile anziché semplicemente promessa: puoi leggere il codice su github.com/affsquadDevs/fileshrinking, aprire la scheda di rete mentre lo usi e confermare che entrambi raccontano la stessa storia. La nostra informativa sulla privacy dice la stessa cosa in un linguaggio chiaro.

In sintesi

Comprimere file online non è automaticamente insicuro — ma il modello predefinito, in cui il tuo file viene caricato sul server di uno sconosciuto, comporta rischi reali che crescono con quanto è sensibile il file. Prima di caricare qualcosa di importante, fai i controlli rapidi: apri la scheda di rete, cerca l’elaborazione lato client e preferisci strumenti il cui codice puoi davvero ispezionare. Meglio ancora: quando il lavoro può svolgersi interamente nel tuo browser, lascia che sia così. Il file che non lascia mai il tuo dispositivo è quello che non può mai trapelare.

Torna a tutti gli articoli