G8 – Come installare, configurare e usare PGP su Windows per proteggere la privacy delle email
Le email sono uno degli strumenti più usati per comunicare online. Le usiamo per lavoro, documenti personali, servizi pubblici, contratti, iscrizioni, comunicazioni familiari e informazioni riservate.
Il problema è che una normale email non è progettata per essere riservata in ogni sua parte. Può attraversare diversi server, può essere conservata su più dispositivi e può essere letta se qualcuno accede alla casella di posta o ai sistemi coinvolti.
Per proteggere meglio il contenuto delle email, puoi usare PGP, o più precisamente OpenPGP.
PGP significa Pretty Good Privacy. È una tecnologia che permette di cifrare e firmare digitalmente i messaggi.
In parole semplici:
- la cifratura serve a rendere leggibile il messaggio solo al destinatario previsto;
- la firma digitale serve a dimostrare che il messaggio proviene davvero da te e non è stato modificato.
Questa guida spiega come usare OpenPGP su Windows con Mozilla Thunderbird, un programma gratuito per gestire la posta elettronica.
Nota importante: molte vecchie guide spiegano come usare Thunderbird insieme a Enigmail e GnuPG. Oggi non è più il percorso consigliato per i nuovi utenti. Thunderbird integra direttamente il supporto OpenPGP dalla versione 78, e l’estensione Enigmail non è più necessaria per i nuovi utenti. Mozilla spiega che Enigmail non è più disponibile per Thunderbird 78, salvo funzioni di migrazione per vecchi utenti, mentre il supporto OpenPGP è ora integrato in Thunderbird. (support.mozilla.org)
Scheda tecnica
| Voce | Informazione |
| Argomento | Uso di OpenPGP per email su Windows |
| Sistema operativo | Windows 10 o Windows 11 |
| Software principale consigliato | Mozilla Thunderbird |
| Funzione PGP | OpenPGP integrato in Thunderbird |
| Software aggiuntivo opzionale | Gpg4win |
| Estensione Enigmail | Non più consigliata per nuovi utenti Thunderbird |
| Requisiti | Connessione Internet, computer Windows, account email |
| Livello utente | Principiante – intermedio |
| Tempo richiesto | 30–60 minuti |
| Costo software | Gratis |
| Licenza | Software libero / open source, secondo i singoli componenti |
| Ultima revisione guida | Luglio 2026 |
Thunderbird oggi include il supporto OpenPGP direttamente nel client di posta. La documentazione Mozilla indica che per usare la cifratura end-to-end bisogna configurare una chiave personale nella sezione “End-to-end encryption” delle impostazioni dell’account; Thunderbird non prova a usare automaticamente la cifratura senza questa configurazione. (support.mozilla.org)
Considerazioni preliminari
PGP è utile quando vuoi inviare email il cui contenuto deve essere letto solo dal destinatario previsto.
È particolarmente utile per:
- documenti riservati;
- comunicazioni professionali sensibili;
- informazioni legali o amministrative;
- scambio di dati personali;
- comunicazioni con giornalisti, consulenti, attivisti o ricercatori;
- messaggi che non vuoi lasciare leggibili nella casella email.
Tuttavia, PGP richiede attenzione.
Non funziona come una normale app di messaggistica. Devi creare una chiave, proteggere la chiave privata, condividere la chiave pubblica e verificare le chiavi dei contatti.
La sicurezza dipende molto dal modo in cui usi lo strumento.
Cosa protegge PGP
PGP può proteggere il contenuto del messaggio.
Quando mandi una email cifrata con OpenPGP, il testo del messaggio viene trasformato in una forma illeggibile per chi non possiede la chiave corretta.
PGP può aiutarti a proteggere:
- corpo dell’email;
- allegati, se cifrati correttamente;
- autenticità del mittente, tramite firma digitale;
- integrità del messaggio, cioè la possibilità di capire se è stato modificato.
La firma digitale non serve a nascondere il messaggio. Serve a dimostrare che il messaggio è stato firmato con la tua chiave privata.
In pratica, la cifratura risponde alla domanda:
Solo il destinatario giusto può leggere questo messaggio?
La firma digitale risponde alla domanda:
Questo messaggio arriva davvero dalla persona che dichiara di averlo inviato?
Cosa PGP non protegge
PGP non protegge tutto.
È importante capirlo subito per evitare false aspettative.
PGP normalmente non nasconde:
- mittente;
- destinatario;
- data e ora dell’email;
- server coinvolti;
- dimensione del messaggio;
- oggetto dell’email, in molti casi;
- il fatto che due persone si stiano scrivendo.
Queste informazioni sono chiamate metadati.
I metadati non sono il contenuto del messaggio, ma possono comunque rivelare molto.
Per questo motivo, quando invii una email cifrata, usa un oggetto neutro.
Esempio da evitare:
Documenti medici urgenti per terapia
Esempio più neutro:
Documenti richiesti
PGP protegge il contenuto, ma non rende invisibile la comunicazione.
Metodo consigliato oggi su Windows
La guida originale prevedeva tre componenti:
- GnuPG;
- Mozilla Thunderbird;
- Enigmail.
Oggi, per un nuovo utente, il metodo consigliato è più semplice:
- installare Thunderbird;
- configurare l’account email;
- usare OpenPGP integrato in Thunderbird.
Enigmail ha terminato il supporto per Thunderbird 68 e precedenti il 1 ottobre 2021, dopo l’introduzione del supporto OpenPGP integrato in Thunderbird 91. (enigmail.net)
Questo significa che non è necessario installare Enigmail per seguire una guida moderna.
Installare Thunderbird
Per iniziare:
- apri il sito ufficiale di Thunderbird;
- scarica la versione per Windows;
- avvia il file di installazione;
- segui la procedura guidata;
- apri Thunderbird al termine dell’installazione.
Scarica sempre Thunderbird dal sito ufficiale, evitando siti di download non necessari.
Questo riduce il rischio di installare versioni modificate o pacchetti indesiderati.
Configurare l’account email
Al primo avvio, Thunderbird ti chiederà di configurare un account email.
Di solito dovrai inserire:
- nome visualizzato;
- indirizzo email;
- password dell’account;
- eventuali impostazioni del server, se non rilevate automaticamente.
Thunderbird spesso riconosce automaticamente i parametri dei principali provider.
In alcuni casi dovrai inserire manualmente:
- server IMAP per ricevere la posta;
- server SMTP per inviare la posta;
- porta;
- metodo di cifratura;
- metodo di autenticazione.
Se usi l’autenticazione a più fattori sul tuo account email, il provider potrebbe richiedere una password specifica per app o un diverso metodo di accesso.
Questo dipende dal servizio email che utilizzi.
Attivare OpenPGP in Thunderbird
Dopo aver configurato l’account, puoi attivare OpenPGP.
Il percorso può variare leggermente in base alla versione, ma in generale:
- apri Thunderbird;
- vai nel menu delle impostazioni;
- apri le impostazioni dell’account;
- seleziona l’account email;
- cerca la sezione “Crittografia end-to-end” o “End-to-end encryption”;
- configura una chiave OpenPGP personale.
Thunderbird permette di creare una nuova chiave oppure importare una chiave già esistente.
Per un nuovo utente, il percorso più semplice è creare una nuova chiave.
Creare una coppia di chiavi OpenPGP
OpenPGP usa una coppia di chiavi:
- una chiave pubblica;
- una chiave privata.
La chiave pubblica può essere condivisa con altre persone.
La chiave privata deve restare segreta.
Quando qualcuno vuole mandarti una email cifrata, usa la tua chiave pubblica.
Quando tu ricevi quella email, la leggi usando la tua chiave privata.
È come avere una cassetta della posta speciale:
- chiunque abbia la chiave pubblica può inserire un messaggio cifrato per te;
- solo tu, con la chiave privata, puoi aprirlo.
Durante la creazione della chiave, Thunderbird può chiederti:
- per quale account email creare la chiave;
- quanto tempo deve restare valida;
- se vuoi proteggere la chiave con una password;
- quale algoritmo usare.
Per un utente non esperto, è consigliabile usare le impostazioni predefinite moderne proposte dal programma, salvo esigenze specifiche.
Capire chiave pubblica e chiave privata
La distinzione tra chiave pubblica e chiave privata è fondamentale.
Chiave pubblica
La chiave pubblica può essere condivisa.
Puoi inviarla ai tuoi contatti, pubblicarla sul tuo sito o allegarla a una email.
Serve agli altri per:
- cifrare messaggi destinati a te;
- verificare le tue firme digitali.
Chiave privata
La chiave privata deve restare solo tua.
Serve a:
- decifrare i messaggi ricevuti;
- firmare digitalmente i messaggi inviati.
Se qualcuno ottiene la tua chiave privata e la relativa password, può leggere i messaggi cifrati destinati a te e può firmare messaggi fingendosi te.
Per questo motivo, la chiave privata va protetta con molta attenzione.
Proteggere la chiave privata
La chiave privata è il punto più delicato del sistema.
Per proteggerla:
- usa una password forte;
- non inviarla mai via email;
- non salvarla in cartelle condivise;
- non copiarla su chiavette USB non cifrate;
- non caricarla su servizi cloud senza protezione;
- crea una copia di backup sicura;
- conserva il backup in un luogo separato e protetto.
Una buona password per la chiave privata dovrebbe essere lunga e unica.
Meglio usare una passphrase, cioè una frase-password composta da più parole casuali.
Esempio di struttura:
fiume-carta-lampada-bosco-treno-nuvola
Non usare questo esempio come password reale.
Condividere la chiave pubblica
Per ricevere email cifrate, gli altri devono avere la tua chiave pubblica.
Puoi condividerla in diversi modi:
- allegandola a una email;
- esportandola come file;
- pubblicandola sul tuo sito personale;
- condividendola tramite un canale già affidabile;
- caricandola su un servizio di distribuzione delle chiavi, se sai cosa stai facendo.
Prima di pubblicare una chiave pubblica in modo permanente, rifletti.
Una chiave pubblica può contenere informazioni come nome e indirizzo email.
In alcuni sistemi di distribuzione delle chiavi, una volta pubblicata, potrebbe non essere semplice rimuoverla completamente.
Per utenti principianti, spesso è meglio condividere la chiave pubblica direttamente con le persone con cui si vuole comunicare.
Importare la chiave pubblica di un contatto
Per inviare una email cifrata a qualcuno, devi avere la sua chiave pubblica.
Puoi riceverla:
- come allegato email;
- come file .asc;
- da un sito web;
- da un servizio di pubblicazione delle chiavi;
- direttamente dalla persona tramite un canale affidabile.
In Thunderbird, puoi importare una chiave pubblica dalla gestione OpenPGP o dalle opzioni collegate al messaggio ricevuto.
Dopo l’importazione, non considerare automaticamente quella chiave come affidabile.
Prima devi verificarla.
Verificare una chiave
Verificare una chiave significa controllare che quella chiave appartenga davvero alla persona con cui vuoi comunicare.
Questo passaggio è molto importante.
Senza verifica, potresti cifrare un messaggio usando una chiave che non appartiene davvero al destinatario.
Il metodo migliore è confrontare l’impronta digitale della chiave.
L’impronta digitale è una lunga sequenza di caratteri che identifica una chiave in modo molto preciso.
Puoi verificarla:
- di persona;
- tramite una telefonata già affidabile;
- tramite un canale sicuro già verificato;
- durante una riunione;
- tramite un sito ufficiale della persona o dell’organizzazione.
Non limitarti a dire: “Il nome sembra giusto”.
Nomi e indirizzi email possono essere falsificati.
La verifica della chiave serve proprio a ridurre questo rischio.
Inviare una email cifrata
Dopo aver importato e verificato la chiave pubblica del destinatario, puoi inviare una email cifrata.
In generale:
- apri Thunderbird;
- crea un nuovo messaggio;
- inserisci il destinatario;
- scrivi un oggetto neutro;
- scrivi il corpo del messaggio;
- attiva l’opzione di cifratura OpenPGP;
- se utile, attiva anche la firma digitale;
- invia il messaggio.
Se Thunderbird non trova una chiave valida per il destinatario, potrebbe avvisarti che non è possibile cifrare il messaggio.
Non ignorare l’avviso.
Senza la chiave pubblica corretta del destinatario, la cifratura non può funzionare.
Ricevere una email cifrata
Quando ricevi una email cifrata, Thunderbird usa la tua chiave privata per decifrarla.
Potrebbe chiederti la password della chiave privata.
Se tutto è configurato correttamente, leggerai il messaggio in chiaro dentro Thunderbird.
Se qualcosa non funziona, le cause comuni possono essere:
- chiave privata mancante;
- password errata;
- chiave revocata;
- chiave scaduta;
- messaggio danneggiato;
- configurazione incompleta;
- email ricevuta su un account diverso da quello associato alla chiave.
Firmare digitalmente una email
La firma digitale OpenPGP permette al destinatario di verificare che il messaggio provenga davvero da te.
Puoi firmare una email anche senza cifrarla.
Questo può essere utile quando vuoi dimostrare autenticità e integrità, ma non hai bisogno di nascondere il contenuto.
Esempio:
- comunicazione pubblica;
- istruzioni operative;
- dichiarazione formale;
- invio di una chiave pubblica;
- conferma di un’informazione.
Attenzione: una email firmata ma non cifrata resta leggibile da chi può accedere al messaggio.
La firma protegge l’autenticità, non la riservatezza.
Revocare una chiave
La revoca serve a dichiarare che una chiave non deve più essere usata.
Può servire se:
- hai perso la chiave privata;
- pensi che la chiave sia stata copiata;
- hai dimenticato la password;
- cambi indirizzo email;
- vuoi sostituire la chiave con una più recente;
- il computer è stato compromesso.
Quando crei una chiave, è buona pratica creare anche un certificato di revoca, se il software lo permette.
Il certificato di revoca è un file che consente di invalidare la chiave pubblica in caso di problemi.
Deve essere conservato in modo sicuro e separato dalla chiave privata.
Non lasciarlo in una cartella pubblica o sincronizzata senza protezione.
Usare Gpg4win su Windows
Thunderbird è sufficiente per molti utenti che vogliono cifrare email con OpenPGP.
Tuttavia, su Windows esiste anche Gpg4win, una raccolta di strumenti basati su GnuPG.
Gpg4win può essere utile per:
- cifrare file;
- gestire chiavi;
- usare OpenPGP fuori da Thunderbird;
- lavorare con altri programmi compatibili;
- usare Kleopatra, un’interfaccia grafica per gestire chiavi e certificati.
Il sito ufficiale di Gpg4win descrive Gpg4win come una soluzione libera per cifratura di email e file su Windows, basata su GnuPG. (gpg4win.org) La pagina di download ufficiale indica che la versione Gpg4win 5.0.2 è stata rilasciata il 16 marzo 2026. (gpg4win.org)
Per un utente principiante, però, è meglio non complicare subito il percorso.
Prima impara a usare OpenPGP in Thunderbird.
Poi, se ti serve cifrare anche file o gestire chiavi in modo più avanzato, puoi valutare Gpg4win.
Errori da evitare
Errore 1: pensare che PGP protegga tutta l’email
PGP protegge il contenuto, ma non tutti i metadati.
Oggetto, mittente, destinatario e orari possono restare visibili.
Errore 2: non verificare le chiavi
Importare una chiave non significa sapere che appartiene davvero alla persona giusta.
Verifica sempre le chiavi per comunicazioni sensibili.
Errore 3: perdere la chiave privata
Se perdi la chiave privata, potresti non riuscire più a leggere le vecchie email cifrate.
Fai un backup sicuro.
Errore 4: condividere la chiave privata
La chiave privata non va mai condivisa.
La chiave pubblica si condivide.
La chiave privata si protegge.
Errore 5: usare un oggetto troppo descrittivo
L’oggetto può rivelare informazioni sensibili.
Usa oggetti neutri.
Errore 6: ignorare la sicurezza del computer
PGP non protegge da tutto.
Se il computer è infetto da malware, qualcuno potrebbe leggere il messaggio prima che venga cifrato o dopo che viene decifrato.
Mantieni Windows, Thunderbird e il browser aggiornati.
Errore 7: usare PGP quando non è adatto
PGP è potente, ma non sempre è lo strumento più semplice.
Per alcune comunicazioni quotidiane, un’app di messaggistica con crittografia end-to-end può essere più facile da usare.
Per email formali, documentali o professionali, OpenPGP può invece essere molto utile.
Cosa ricordare
PGP, o OpenPGP, serve a proteggere meglio il contenuto delle email.
Su Windows, oggi il percorso più semplice per molti utenti è usare Mozilla Thunderbird con OpenPGP integrato.
Non è più necessario installare Enigmail per i nuovi utenti.
Per usare PGP in modo corretto devi capire questi elementi:
- la chiave pubblica si condivide;
- la chiave privata si protegge;
- la cifratura protegge il contenuto;
- la firma digitale conferma autenticità e integrità;
- i metadati dell’email possono restare visibili;
- le chiavi dei contatti vanno verificate;
- la chiave privata va salvata in backup sicuro;
- una chiave compromessa deve essere revocata.
PGP non è solo un software. È un metodo.
Funziona bene quando viene usato con attenzione.
Riepilogo finale
Per usare PGP su Windows:
- installa Mozilla Thunderbird;
- configura il tuo account email;
- apri le impostazioni dell’account;
- vai nella sezione crittografia end-to-end;
- crea una chiave OpenPGP;
- proteggi la chiave privata con una passphrase forte;
- esporta e conserva un backup sicuro;
- condividi solo la chiave pubblica;
- importa e verifica le chiavi dei tuoi contatti;
- invia email cifrate quando hai la chiave corretta del destinatario;
- usa oggetti neutri;
- mantieni aggiornati Windows e Thunderbird.
La domanda da ricordare è semplice:
Sto proteggendo solo il messaggio, o anche il modo in cui gestisco chiavi, destinatari e dispositivo?
La cifratura è forte solo se tutto il processo viene gestito con cura.
Call to action
Prima di usare PGP per comunicazioni importanti, fai una prova con una persona di fiducia.
Create entrambi una chiave, scambiatevi le chiavi pubbliche, verificate le impronte digitali e inviate un messaggio cifrato di test.
Solo dopo aver compreso il funzionamento di base, usa PGP per comunicazioni realmente sensibili.
La privacy non nasce da un singolo clic. Nasce da strumenti corretti, impostazioni corrette e comportamenti consapevoli.
Risorse
- Documentazione Mozilla Thunderbird su OpenPGP
- Guida Mozilla alla crittografia end-to-end in Thunderbird
- Sito ufficiale Thunderbird
- Sito ufficiale GnuPG
- Sito ufficiale Gpg4win
- Documentazione GnuPG
- Guide su passphrase e password complesse
- Guide su backup sicuri e protezione della chiave privata










Rispondi