La Regola dell'Air-Gap
Alcune reti non hanno Internet. Non per policy — per progettazione.
Un SCIF (Sensitive Compartmented Information Facility) è una stanza schermata con gabbia di Faraday. Nessun segnale wireless entra o esce. L'ITAR (International Traffic in Arms Regulations) vieta l'invio di contenuti tecnici classificati a soggetti non autorizzati. I provider cloud non sono certificati ITAR. Per questi ambienti, il "SaaS cloud" non è un rischio da gestire.
Per queste strutture, gli strumenti cloud semplicemente non funzionano.
Uno strumento che richiede una connessione di rete attiva non può operare qui. Uno strumento che chiama un server di licenza viene bloccato. Uno strumento che invia file a un'API cloud per il rilevamento non può funzionare all'interno di uno SCIF. Non sono casi limite. Sono vincoli quotidiani per i team della difesa.
Il Caso ITAR
Una data scientist in una società di difesa ha cartelle del personale soggette a ITAR. Deve rimuovere nomi e ID prima di condividere i file. La sua rete è air-gapped.
Non esiste una soluzione cloud. L'unica via è uno strumento che funziona sul dispositivo locale, archivia i propri modelli localmente e produce output pulito senza chiamate esterne.
L'app Desktop basata su Tauri 2.0 soddisfa questi requisiti. Dopo l'installazione, non vengono effettuate chiamate di rete durante l'elaborazione. I modelli NER di spaCy e i pattern regex vengono eseguiti tutti sulla CPU locale. L'output rimane sul dispositivo fino a quando l'utente non lo esporta.
Perché la Reversibilità È Importante
Il lavoro classificato richiede spesso una pseudonimizzazione reversibile. I team sostituiscono i nomi reali con codici. Mantengono i dati utilizzabili proteggendo le identità reali.
L'Articolo 4(5) del GDPR definisce la pseudonimizzazione come misura formale di protezione della privacy. Riduce il rischio. I dati pseudonimizzati comportano meno obblighi legali — se il token di lookup è archiviato separatamente dal dataset.
La ricerca IAPP (2024) ha rilevato che solo il 23% degli strumenti supporta una vera reversibilità. La maggior parte esegue mascheratura unidirezionale o sostituzione completa. Una volta sovrascritto un record, è perso per sempre.
Alcuni team governativi dividono il lavoro per compartimento. Un team riceve i file pseudonimizzati e li analizza. Un secondo team custodisce il token di lookup e re-identifica i record solo quando la legge lo richiede. Questo progetto separato è l'unico approccio sicuro per i flussi di lavoro classificati multi-team.
Il modello zero-knowledge va un passo oltre. Il token di lookup viene creato sul dispositivo del cliente e non viene mai trasmesso. Se il fornitore riceve una richiesta giudiziaria, non può consegnare il token perché non lo ha mai avuto. Questo soddisfa le regole della catena di custodia in molti ambienti classificati.
Separazione dei Token secondo l'EDPB
Le Linee Guida 05/2022 dell'EDPB stabiliscono che il token di pseudonimizzazione deve essere conservato separatamente. Non deve risiedere presso la stessa parte che detiene i dati pseudonimizzati. Oppure deve essere protetto da controlli che impediscono a quella parte di accedere contemporaneamente ai dati e al token.
Tre elementi combinati soddisfano questa regola:
- Token creato sul dispositivo del cliente — mai trasmesso
- Tutta l'elaborazione avviene in locale — nulla lascia il sito air-gapped
- Output e token esportati separatamente — due file distinti, due percorsi distinti
Questo progetto soddisfa simultaneamente il requisito EDPB e il vincolo air-gap.
Per una visione completa, la nostra panoramica sulla sicurezza mostra come l'elaborazione locale riduca la catena di terze parti. La nostra guida alla conformità copre le regole GDPR sui trasferimenti. Consultare le FAQ per assistenza nella configurazione.
L'app Desktop di anonym.legal esegue tutto il rilevamento PII sul dispositivo locale. Non è necessaria la connessione Internet dopo l'installazione. Supporta Windows, macOS e Linux. I modelli NLP integrati coprono 24 lingue.
Aggiornato per il 2026