Torna al blog

Proxy per Threema in ambiente aziendale: configurazione, sicurezza e bypass delle restrizioni

Analizziamo perché un'azienda ha bisogno di un proxy per Threema, come configurarlo correttamente e quale tipo di proxy scegliere per la sicurezza aziendale.

📅26 giugno 2026
```html

Threema è uno dei pochi messenger progettati realmente con un occhio alla sicurezza aziendale: crittografia end-to-end, minimo di metadati, server in Svizzera. Ma anche questo ha un punto vulnerabile: il livello di rete. Se il tuo provider blocca il traffico, il dipartimento IT aziendale limita le connessioni o hai bisogno di nascondere il semplice fatto di utilizzare un messenger, non puoi fare a meno di un proxy.

In questo articolo vedremo come collegare un proxy a Threema Work e alla versione standard, quale tipo di proxy è adatto per le esigenze aziendali e come non compromettere la sicurezza durante la configurazione.

Perché Threema ha bisogno di un proxy: scenari aziendali reali

Molti pensano che poiché Threema crittografa tutto con crittografia end-to-end, un proxy sia superfluo. In pratica, non è così. La crittografia protegge il contenuto dei messaggi, ma non nasconde il fatto di connettersi ai server di Threema. È proprio a livello di rete che sorgono la maggior parte dei problemi aziendali.

Vediamo situazioni specifiche in cui un proxy diventa una necessità:

Scenario 1: Blocco regionale

In alcuni paesi e reti aziendali, il traffico verso i server di Threema è bloccato a livello di firewall. Questo è particolarmente rilevante per le aziende con uffici in paesi con severe normative su Internet. Un dipendente apre Threema Work e vede un errore di connessione. In questo caso, il proxy funge da nodo intermedio: il traffico non va direttamente ai server di Threema, ma attraverso un indirizzo IP in una giurisdizione consentita.

Scenario 2: Controllo IT aziendale

Le grandi corporazioni spesso instradano tutto il traffico dei dipendenti attraverso un server proxy aziendale per monitoraggio, filtraggio e registrazione. Se Threema Work non è configurato per funzionare attraverso questo proxy, semplicemente non si connetterà nella rete aziendale. Gli amministratori IT devono specificare esplicitamente il proxy nella configurazione dell'applicazione, altrimenti il messenger sarà inaccessibile sui dispositivi di lavoro.

Scenario 3: Intelligence competitiva e anonimato delle comunicazioni

Per i dirigenti e i dipartimenti legali, è importante non solo il contenuto delle comunicazioni, ma anche i metadati: da quali IP avviene la comunicazione, in quale regione si trovano i partecipanti. Un proxy consente di nascondere l'indirizzo IP reale dell'ufficio aziendale o di un dipendente specifico, specialmente durante le trattative di M&A, quando anche il semplice fatto di comunicare con una certa parte può essere un'informazione sensibile.

Scenario 4: Lavoro dei dipendenti remoti

I dipendenti in remoto da diversi paesi si trovano ad affrontare connessioni instabili ai server di Threema. Un proxy con server nella regione necessaria aiuta a ridurre la latenza e garantire una connessione stabile, specialmente per i team in Asia, America Latina e Africa, dove la connessione diretta ai server svizzeri di Threema può essere instabile.

È importante capire:

Un proxy non sostituisce la crittografia di Threema: opera a un livello diverso. Insieme forniscono un doppio strato di protezione: il contenuto è crittografato e la fonte del traffico è nascosta.

Threema Work vs Threema normale: qual è la differenza per le aziende

Prima di passare alla configurazione, è importante capire con quale versione stai lavorando. Questo determina come deve essere configurato il proxy.

Parametro Threema (personale) Threema Work (aziendale)
Gestione Utente Amministratore IT tramite MDM
Configurazione del proxy Attraverso le impostazioni di sistema del dispositivo Attraverso profilo MDM o file di configurazione
Supporto SOCKS5 Dipende dalle impostazioni di sistema Supportato tramite configurazione
Politiche di sicurezza Nessuna Politiche centralizzate
Pubblico target Privati Aziende da 10 persone

Per la maggior parte degli scenari aziendali viene utilizzato Threema Work: consente all'amministratore IT di gestire centralmente le impostazioni, incluso il proxy, tramite un sistema MDM (Mobile Device Management) — ad esempio, Jamf, Microsoft Intune o VMware Workspace ONE.

Se utilizzi Threema normale, il proxy viene configurato tramite le impostazioni di sistema del dispositivo (proxy Wi-Fi su iOS o proxy globale su Android). Questo è meno flessibile, ma è una soluzione funzionante per piccoli team.

Quale tipo di proxy scegliere per Threema

Non tutti i proxy sono ugualmente adatti per un messenger aziendale. Esaminiamo i principali tipi e la loro applicabilità a Threema.

Proxy residenziali

I proxy residenziali utilizzano indirizzi IP di utenti domestici reali. Questo è il tipo meno rilevabile: il traffico da un tale IP appare come quello di un normale utente di Internet, non come un server aziendale. Per Threema, questo è importante nei casi in cui è necessario bypassare il blocco basato sul tipo di indirizzo IP: molti firewall bloccano proprio gli IP dei data center, mentre gli indirizzi residenziali vengono accettati.

Lo svantaggio dei proxy residenziali per un messenger aziendale è la rotazione degli IP. Se il proxy cambia indirizzo ogni pochi minuti, questo può creare problemi di autorizzazione in Threema. Pertanto, per questo compito è necessario scegliere proxy residenziali con sessioni sticky — un IP fisso per un lungo periodo (da 10 minuti a 24 ore).

Proxy mobili

I proxy mobili funzionano tramite indirizzi IP di operatori mobili (3G/4G/5G). Questo è il tipo di traffico più affidabile dal punto di vista di qualsiasi sistema di filtraggio: gli IP mobili raramente finiscono nelle liste di blocco. Per Threema, i proxy mobili sono particolarmente buoni se i dipendenti utilizzano l'app su smartphone: il traffico si integra organicamente nel modello mobile.

I proxy mobili costano di più rispetto ai residenziali, ma per la sicurezza aziendale è una spesa giustificata — specialmente per i dirigenti e i dipartimenti legali, dove l'anonimato delle comunicazioni è critico.

Proxy dei data center

I proxy dei data center sono l'opzione più veloce e conveniente. Sono adatti per bypassare i firewall aziendali all'interno dell'azienda, quando l'amministratore IT configura il server proxy per instradare il traffico di Threema. Tuttavia, se l'obiettivo è nascondere il traffico aziendale da osservatori esterni, gli IP dei data center sono più facili da identificare come "non residenziali".

Tipo di proxy Velocità Anonimato Miglior scenario per Threema
Residenziali Media Alta Bypassare i blocchi regionali
Mobili Media Massima Anonimato dei dirigenti
Data center Alta Media Server proxy aziendale

Configurazione del proxy in Threema su Android

Su Android ci sono due modi per collegare un proxy a Threema: tramite le impostazioni di sistema Wi-Fi o tramite un'app proxy (ad esempio, ProxyDroid o Shadowsocks). Il primo metodo è più semplice, il secondo è più flessibile.

Metodo 1: Tramite impostazioni Wi-Fi (proxy HTTP)

Questo metodo funziona se il tuo proxy supporta il protocollo HTTP/HTTPS. I passaggi:

  1. Apri Impostazioni → Wi-Fi sul tuo dispositivo.
  2. Tieni premuta la rete connessa e seleziona "Modifica rete".
  3. Espandi "Opzioni avanzate".
  4. Nella sezione "Proxy" seleziona "Manuale".
  5. Inserisci Host proxy (indirizzo IP del tuo server proxy) e Porta.
  6. Se il proxy richiede autorizzazione, specifica nome utente e password nei campi corrispondenti (disponibile su Android 10+).
  7. Fai clic su "Salva" e riavvia Threema.

Controlla la connessione: in Threema vai su Impostazioni → Informazioni su Threema e fai clic sulla versione per inviare una diagnosi: se la connessione è stabilita, l'app mostrerà uno stato verde.

Metodo 2: Tramite SOCKS5 (per utenti avanzati)

Android non supporta SOCKS5 a livello di sistema direttamente. Per far funzionare SOCKS5 con Threema, utilizza l'app ProxyDroid (richiede root) o configura un tunnel tramite SSH. Per gli utenti aziendali, è più semplice utilizzare una VPN aziendale insieme al proxy: è una soluzione più gestibile.

Consiglio per il deployment aziendale:

Se gestisci i dispositivi dei dipendenti tramite MDM (ad esempio, Microsoft Intune), la configurazione del proxy può essere applicata centralmente a tutti i dispositivi Android aziendali tramite un profilo di configurazione. Questo elimina la necessità di configurare manualmente ogni dispositivo.

Configurazione del proxy in Threema su iPhone (iOS)

Su iOS, Threema utilizza le impostazioni di sistema del proxy: non ci sono impostazioni separate all'interno dell'app. Il proxy deve essere configurato a livello di rete Wi-Fi o tramite un profilo MDM.

Configurazione tramite Wi-Fi

  1. Apri Impostazioni → Wi-Fi.
  2. Fai clic sull'icona (i) accanto alla rete connessa.
  3. Scorri verso il basso fino alla sezione "HTTP Proxy".
  4. Seleziona "Manuale".
  5. Inserisci Server (indirizzo IP del proxy) e Porta.
  6. Se è necessaria l'autorizzazione, attiva l'interruttore "Autenticazione" e inserisci nome utente e password.
  7. Fai clic su "Fatto": iOS applicherà automaticamente le impostazioni a tutte le app, incluso Threema.

Configurazione tramite file PAC

Per l'uso aziendale, è più comodo utilizzare un file PAC (Proxy Auto-Configuration): consente di impostare regole su quale traffico passa attraverso il proxy e quale direttamente. Ad esempio, puoi instradare solo il traffico di Threema attraverso il proxy, lasciando il resto del traffico invariato.

  1. Nella sezione "HTTP Proxy", seleziona "Automaticamente".
  2. Inserisci l'URL del file PAC fornito dal tuo dipartimento IT.
  3. iOS caricherà automaticamente la configurazione e la applicherà.

Configurazione tramite MDM (Jamf, Intune)

Il modo aziendale è distribuire un profilo di configurazione tramite MDM. In Jamf Pro, questo viene fatto tramite Configuration Profiles → Network → Proxy. Il profilo viene applicato automaticamente a tutti gli iPhone aziendali dei dipendenti senza il loro intervento. Questo è l'approccio più corretto per le aziende con un parco di dispositivi di almeno 20 unità.

Configurazione del proxy in Threema su computer (Windows/Mac)

Threema Desktop (versione per computer) utilizza anche le impostazioni di sistema del proxy del sistema operativo. Non ci sono impostazioni separate per il proxy all'interno dell'app: questa è una decisione architettonica intenzionale degli sviluppatori per semplificare la gestione.

Windows 10/11

  1. Apri Impostazioni → Rete e Internet → Proxy.
  2. Nella sezione "Configurazione manuale del proxy", attiva l'interruttore "Usa un server proxy".
  3. Inserisci Indirizzo (IP del proxy) e Porta.
  4. Se è necessario escludere indirizzi locali, seleziona l'opzione "Non usare un server proxy per indirizzi locali".
  5. Fai clic su "Salva" e riavvia Threema Desktop.

macOS

  1. Apri Preferenze di Sistema → Rete.
  2. Seleziona la connessione di rete attiva (Wi-Fi o Ethernet) e fai clic su "Avanzate".
  3. Vai alla scheda "Proxy".
  4. Attiva il tipo di proxy necessario: "Proxy web (HTTP)" o "Proxy web sicuro (HTTPS)".
  5. Inserisci l'indirizzo e la porta del server proxy. Se necessario, anche nome utente e password.
  6. Fai clic su "OK" e "Applica". Riavvia Threema Desktop.

Verifica il funzionamento del proxy:

Dopo la configurazione, apri un browser e visita whatismyip.com: se viene visualizzato l'IP del tuo proxy e non l'IP reale dell'ufficio, la configurazione è stata eseguita correttamente. Quindi avvia Threema Desktop e controlla lo stato della connessione.

Sicurezza aziendale: cosa considerare durante il deployment

L'uso di un proxy con Threema in un ambiente aziendale non è solo una questione tecnica, ma anche organizzativa. Ecco gli aspetti chiave da considerare prima di iniziare il deployment.

1. Scelta della giurisdizione del server proxy

I server di Threema si trovano in Svizzera. Per una latenza minima, scegli un proxy con server nell'Europa occidentale. Se i dipendenti lavorano dall'Asia, cerca proxy con punti di presenza a Singapore o Hong Kong. È importante: assicurati che la giurisdizione del provider di proxy non obblighi a conservare e trasmettere i log del traffico: questo è critico per la riservatezza aziendale.

2. Politica di registrazione del provider di proxy

Richiedi al provider di proxy la politica di registrazione (No-logs policy). Per le comunicazioni aziendali tramite Threema, è fondamentale che il provider non conservi metadati: chi, quando e con quale IP si è connesso. Anche se il contenuto delle comunicazioni è crittografato a livello di Threema, i metadati delle connessioni possono essere sensibili.

3. Protocollo: HTTP vs SOCKS5

Per Threema è consigliato utilizzare SOCKS5, se tecnicamente possibile. SOCKS5 opera a un livello più basso e non modifica le intestazioni delle richieste: questo è importante per il corretto funzionamento delle notifiche push e la sincronizzazione dei messaggi. Il proxy HTTP funziona anche, ma può creare ritardi nella trasmissione di dati binari (file, messaggi vocali).

4. Autenticazione del proxy: IP-whitelist vs nome utente/password

Per l'uso aziendale, è preferibile l'autenticazione tramite whitelist IP (IP-whitelist): non richiede di memorizzare password sui dispositivi dei dipendenti ed è più semplice da gestire. Se i dipendenti lavorano con IP dinamici (ad esempio, da casa), utilizza l'autenticazione con nome utente e password con rotazione delle credenziali ogni trimestre.

5. Monitoraggio e proxy di riserva

Per comunicazioni aziendali critiche, imposta il monitoraggio della disponibilità del server proxy. Utilizza almeno due proxy in diversi data center: uno principale e uno di riserva. Se il proxy principale non è disponibile, i dipendenti devono sapere come passare a quello di riserva senza perdere l'accesso a Threema Work.

Errori comuni nell'uso del proxy con Threema

Nella pratica, la maggior parte dei problemi con Threema tramite proxy deriva da alcuni errori tipici. Esaminiamoli in dettaglio, affinché tu non cada negli stessi tranelli.

Errore 1: Utilizzo di proxy gratuiti

I proxy gratuiti rappresentano una minaccia diretta per la sicurezza aziendale. Spesso registrano tutto il traffico in transito, possono iniettare codice dannoso e spesso sono già bloccati a livello dei server Threema. Per un messenger aziendale che utilizzi proprio per la sicurezza, un proxy gratuito annulla completamente i vantaggi di Threema.

Errore 2: Proxy con rotazione IP senza sessioni sticky

Se il tuo proxy cambia IP ogni 1-5 minuti, Threema perderà continuamente la connessione e richiederà una nuova autorizzazione. Per il messenger sono necessarie sessioni sticky: un IP fisso per almeno 30 minuti. Quando scegli un provider di proxy, assicurati di chiedere il tempo massimo delle sessioni sticky.

Errore 3: Proxy solo per alcuni dispositivi

Situazione comune: il proxy è configurato sui laptop aziendali, ma non sugli smartphone dei dipendenti. Di conseguenza, lo stesso account Threema Work si connette a volte tramite proxy e altre volte direttamente, da IP diversi. Questo può suscitare sospetti nei sistemi di sicurezza e portare al blocco dell'account. Configura il proxy in modo uniforme su tutti i dispositivi di un singolo dipendente.

Errore 4: Ignorare le perdite DNS

Anche con un proxy configurato, le richieste DNS possono bypassarlo, andando direttamente al server DNS del provider. Questo è chiamato perdita DNS. Di conseguenza, nonostante il proxy, la reale posizione dell'ufficio potrebbe essere rivelata. Controlla la presenza di perdite DNS su dnsleaktest.com dopo la configurazione del proxy. Per risolvere, utilizza DNS-over-HTTPS (DoH) o configura un proxy con supporto per il proxy DNS (SOCKS5 con DNS remoto).

Errore 5: Proxy senza supporto WebSocket

Threema utilizza WebSocket per mantenere una connessione costante con il server (notifiche push, consegna rapida dei messaggi). Alcuni proxy HTTP non supportano WebSocket o bloccano le connessioni a lungo termine. Prima di scegliere un provider, verifica il supporto per WebSocket: altrimenti, le notifiche arriveranno in ritardo o non arriveranno affatto.

Errore 6: Mancanza di test prima del deployment

Prima di distribuire il proxy su tutti i dispositivi aziendali, testa la configurazione su 2-3 dispositivi per una settimana. Controlla: stabilità della connessione, velocità di consegna dei messaggi, funzionamento delle chiamate vocali e trasferimento di file. Solo dopo test riusciti procedi al deployment di massa.

Conclusione e raccomandazioni

Threema è uno strumento potente per le comunicazioni aziendali, ma la sua sicurezza può essere notevolmente potenziata aggiungendo un proxy a livello di rete. Il proxy risolve problemi che la crittografia da sola non chiude: bypassare i blocchi regionali, nascondere l'IP aziendale, instradare il traffico attraverso il firewall aziendale e garantire una connessione stabile per i dipendenti remoti.

Ecco i punti chiave dell'articolo:

  • Per bypassare i blocchi regionali, utilizza proxy residenziali con sessioni sticky.
  • Per la massima anonimato dei dirigenti, utilizza proxy mobili.
  • Per il deployment aziendale, configura il proxy tramite MDM (Jamf, Intune), non manualmente.
  • Controlla sempre le perdite DNS dopo la configurazione.
  • Richiedi al provider supporto per WebSocket e sessioni sticky di almeno 30 minuti.
  • Non utilizzare mai proxy gratuiti per comunicazioni aziendali.

Se stai cercando una soluzione affidabile per proteggere le comunicazioni aziendali tramite Threema, ti consigliamo di considerare proxy residenziali: offrono un alto livello di anonimato, un rischio minimo di blocchi e supporto per sessioni sticky, necessari per un funzionamento stabile del messenger. Per compiti in cui l'anonimato massimo delle comunicazioni è critico, la scelta ottimale saranno i proxy mobili: il loro traffico appare più naturale per qualsiasi sistema di filtraggio.

```