Precedenti post su app per scrivere note

Per coloro i quali non avessero avuto modo di leggere i nostri precedenti contributi sul tema, rimandiamo ai seguenti post che riguardano alcune app per prendere appunti e scrivere note:

E’ bene precisare, però, che a nostro parere sarebbe opportuno tenere distinte le app per “prendere appunti” e quelle per “scrivere note”.

Tra le app abbiamo menzionato, a nostro avviso Joplin rientra tra quelle per scrivere note, ossia testi brevi.

Diversamente Obsidian, sempre a nostro avviso, va considerata come un’app più ampia e completa che non consente soltanto di scrivere note, ma di scrivere appunti e testi molto più ampi. Obsidian sta acquisendo molto consenso come app completa, come un editor valido ed utile per scrivere.

Standard Notes

Oggi presentiamo altra app per scrivere note che si chiama “Standard Notes”.

Standard Notes è un app open source e, infatti, è possibile vedere il codice sorgente sul loro repository su GitHub, sviluppata e distribuita dalla società americana (con sede a Chicago) Standard Notes.

Standard Notes è multipiattaforma: è disponibile per Mac, Windows, Linux, iOS, Android, nonché anche via Web.

E’ possibile utilizzare Standard Notes nella versione gratuita oppure a pagamento scegliendo il piano Plus oppure quello Pro.

Come indicato nella pagina ufficiale relativa ai piani, con la versione gratuita è possibile:

  • scegliere tra 3 temi;
  • scegliere l’editor tra:
    • testo semplice;
    • rich text;
    • markdown;
  • attivare l’autenticazione a due fattori (2FA).

Le versioni a pagamento, ovviamente, consentono di utilizzare ulteriori caratteristiche, tra le quali, un maggior numero di editor disponibili, la possibilità di aggiungere codice e tabelle, maggiori soluzioni di sicurezza; il tutto, come indicate nella pagina citata.

Nella versione Pro sono disponibili, ad esempio, i seguenti editor

SNeditor

Crittografia e livelli di sicurezza

Una delle caratteristiche più rilevanti di Standard Notes è la crittorgrafia e l’elevato livello di sicurezza.

Infatti, nelle FAQ, alla domanda “How does Standard Notes secure my notes?” sono forniti precisi chiarimenti.

Gli sviluppatori dichiarano che:

Tutte le tue note, i tag e gli altri dati generati usando le applicazioni di Standard Notes sono criptati usando XChaCha20-Poly1305, una delle forme più forti di crittografia disponibili (raccomandata da aziende tecnologiche leader come Cloudflare e Google come sostituto di AES-256).

SN chiarisce che i dati sono criptati utilizzando le chiavi generate dalla password dell’utente. A tal proposito, viene precisato:

Quando scegli la password del tuo account durante la registrazione, usiamo un algoritmo di allungamento della password chiamato Argon2 per rafforzare la tua password e generare le chiavi necessarie.

Quando fai una modifica a una nota, la nota viene criptata usando le tue chiavi segrete. I tuoi dati criptati sono anche automaticamente “firmati”. Al momento della decrittazione, questa firma viene convalidata per garantire che nessuno, compresi noi, abbia manomesso i tuoi dati.

L’intero processo di crittografia e decrittografia avviene completamente offline e nella sicurezza del tuo dispositivo privato. Una volta criptati, i dati vengono sincronizzati con il tuo account di note private tramite una connessione sicura e criptata.

In sostanza, l’algoritmo utilizzato da Standard Notes si occupa della crittografia basando il tutto sulla password scelta dall’utente; quindi, è quanto mai opportuno scegliere una password c.d. “forte”.

SN, inoltre, evidenzia come - proprio a dimostrazione dell’alto livello di sicurezza adottato - il codice dell’app sia open-source e quindi verificabile anche riguardo ai processi relativi proprio alla sicurezza (a tal proposito, sul sito ufficiale sono pubblicati i report degli audit di sicurezza effettuati).

Oltre a quanto indicato, Standard Notes chiarisce come i dati sono criptati e la precisazione è nella risposta alla domanda “How does Standard Notes encrypt data on my device?”, disponibile nelle FAQ.

Viene chiarito ”Our approach to security is on by default, so there are no settings you must proactively configure to attain the most secure experience possible.” (Il nostro approccio alla sicurezza è attivo per impostazione predefinita, quindi non ci sono impostazioni che devi configurare proattivamente per ottenere l’esperienza più sicura possibile.).

In sostanza, l’app è strutturata in modo tale da essere, appunto, sicura by default, nel senso che l’utente non deve fare nulla per configurare eventuali impostazioni. Questo approccio è meritorio, anche se pensiamo al principio espresso dall’art. 25(2) del GDPR.

Riguardo alla sicurezza, Standard Notes specifica:

  • passcode dell’app: è un codice segreto (una password) che aumenta il livello di protezione sul dispositivo. Con l’aggiunta di un passcode si genera un set di chiavi utilizzando le stesse procedure usate quando vengono generare le chiavi in occasione della creazione della password dell’account. Standard Notes precisa che le chiavi del passcode non vengono mai salvate su disco, in forma criptata o non criptata, ma vengono generate ogni volta che si avvia l’applicazione e risiedono in memoria finché non si chiude o si abbandoni l’applicazione.
  • mobile (iOS e Android): si possono utilizzare ulteriori soluzioni non presenti sulla versione Desktop dell’app e più specificamente:
    • biometria: Standard Notes precisa che la biometria è una forma di protezione non supportata da crittografia e quindi l’aggiunta o la rimozione della biometria non influenza lo stato crittografico dei dati sul device. In sostanza, la biometria non produce benefici crittografici aggiuntivi.
    • crittografia dell’archiviazione del dispositivo: SN chiarisce che per alcuni vecchi dispositivi mobili, le prestazioni di decrittazione all’avvio dell’applicazione possono non essere istantanee, specialmente se il database di note è particolarmente grande (migliaia di note). In questi casi, l’applicazione mobile fornisce l’opzione di disabilitare la Device Storage Encryption (DSE) che comunque è sempre abilitata di default. Disabilitando questa funzione, i dati verranno memorizzati nel database del dispositivo in forma non criptata, mentre i dati inviati al server rimangono comunque sempre criptati.
  • specifiche del browser web: SN chiarisce che a differenza dell’applicazione desktop, i browser web come Chrome, Safari e Firefox non forniscono un meccanismo di memorizzazione sicura. Pertanto, quando si utilizza l’applicazione web con la configurazione “con account ma senza passcode”, le chiavi dell’account sono memorizzate nel database dell’applicazione in forma non crittografata. Pertanto, Standard Notes raccomanda di aggiungere un passcode.

Installazione di Standard Notes come soluzione self-hosted

Standard Notes può anche essere installata sul proprio server nella versione self-hosted e le relative istruzioni sono disponibili a questa pagina.

Conclusioni e privacy

Standard Notes rappresenta una valida soluzione per scrivere note, soprattutto quando i contenuti sono particolarmente riservati.

SN ha basato la propria soluzione sulla sicurezza con soluzioni crittografiche robuste che costituiscono il punto di forza dell’app, come sopra illustrato.

Riguardo alla privacy, da un lato, va detto che la crittografia robusta sarebbe idonea a proteggere informazioni che possono non essere personali (immaginiamo che si tratti di numeri o di dati non riconducibili a nessuna persona fisica).

Dall’altro lato, però, le note potrebbero contenere informazioni personali con conseguente applicazione della disciplina vigente che, per l’Europa, è il Regolamento UE 2016/679 (GDPR).

Orbene, come dichiarato dalla stessa società Standard Notes, i server sui quali vengono salvati i dati sono ubicati negli Stati Uniti.
Pertanto, se da un lato i profili di sicurezza garantiscono la riservatezza delle informazioni personali, dall’altro chi si trova in Europa non può trascurare il tema dei “trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” disciplinato dal Capo V - artt. 44-50 - del Regolamento UE 2016/679 (GDPR).

L’argomento dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, peraltro, è stato oggetto della Sentenza della Corte (Grande Sezione) del 16 luglio 2020 (domanda di pronuncia pregiudiziale proposta dalla High Court - Irlanda) – Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems (Causa C-311/18), con la quale è stata dichiarata invalida la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

Sono note, soprattutto per chi si occupa ex professo di questa materia, le conseguenze che ha comportato e le ripercussioni che si stanno registrando ancora in questi mesi (da ultimo il provvedimento della CNIL).

Pertanto, uno dei problemi potrebbe riguardare proprio il trattamento di dati personali da parte di soggetti che sono nello SEE, alla luce del quadro giuridico esistente.

Tuttavia, a nostro sommesso avviso e senza che ciò costituisca un endorsement nei riguardi di Standard Notes, qualora il titolare del trattamento adotti misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (così come previsto dall’art. 32 del GDPR), quali ad esempio la cifratura dei dati personali (espressamente richiamata dall’art. 32 GDPR), il trasferimento potrebbe essere considerato ammissibile. Del resto, i dati oggetto di trattamento crittografico robusto, sarebbero indecifrabili e quindi non sussisterebbero elementi tali da consentire l’identificabilità dell’interessato. Peraltro, il titolare del trattamento, ai sensi dell’art. 32(1) - oltre alla crittografia - potrebbe assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico ed anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Tali misure, che sembrerebbero adottate da SN secondo quanto da loro dichiarato, ed inoltre una password forte scelta dall’utente, consentirebbero di poterle ritenere adeguate al rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Più specificamente, potrebbero essere utilizzate, in accordo tra le parti, le clausole contrattuali standard (SCC).

Il tema non è semplice e abbiamo espresso in modo sintetico il nostro punto di vista.

Stay tuned!