Il whistleblowing di ARPAV utilizza un sistema a doppia crittografia:

• asimmetrica lato client, sul browser di chi effettua la segnalazione
• simmetrica lato server, nel Centro Servizi di ARPAV

Le informazioni relative al fatto segnalato, il messaggio ed i file allegati vengono criptati, prima dell'invio sul browser di chi sta segnalando, con la chiave pubblica del Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT) di ARPAV.
I dati anagrafici di chi segnala il fatto vengono criptati, allo stesso modo, con la chiave pubblica assegnata al Custode dell’identità digitale.

Tutti i dati sono pertanto trasmessi attraverso la rete Internet già crittografati con il protocollo sicuro HTTPS.
Una volta inviati al server, i dati sono ulteriormente criptati con chiave simmetrica e salvati all'interno del database. I file, prima di essere salvati nel database, sono compressi all'interno di un file zip.

N.B. Soltanto i due Responsabili – in possesso esclusivo delle rispettive credenziali di accesso e delle chiavi private – sono in grado di visualizzare il contenuto della parte di segnalazione di propria competenza.
I dati e le informazioni relative alla segnalazione possono essere visualizzati soltanto dal RPCT di ARPAV e dal suo Collaboratore. Solo nei casi in cui si verifichi in capo al RPCT una personale situazione di conflitto di interessi (anche meramente potenziale), un suo diretto coinvolgimento nel fatto segnalato, oppure una sua temporanea ed improvvisa assenza, i dati e le informazioni saranno visualizzati dal Sostituto del Responsabile individuato a priori dall’Agenzia.

I dati anagrafici possono essere decriptati unicamente dal Custode dell’identità digitale e soltanto previa espressa richiesta dell'Autorità Giudiziaria, dopo aver ricevuto l'identificativo della segnalazione da parte del RPCT.

La cifratura lato server è eseguita con algoritmo AES-256-CBC con vettore unico ad inizializzazione casuale per ogni operazione.

La cifratura lato client è implementata attraverso il protocollo OpenPGP.

Questo è il flusso delle operazioni in invio della segnalazione:
client encryption -> server encryption -> database saving

Questo è invece il flusso delle operazioni in lettura della segnalazione:
database loading -> server decryption -> client decryption

Le principali tecnologie utilizzate sono:

• NodeJS
• MongoDB
• OpenPGP.js
• Material design

La piattaforma o applicativo informatico Whistleblowing di ARPAV è stato realizzato da Venis SpA