Come scegliere e configurare una VPN che funziona davvero
Guida pratica per scegliere una VPN, capire quale protocollo usare e configurarla per proteggere la tua privacy sul serio. Niente nomi di brand, solo quello che conta.
Torna al blog
La maggior parte delle persone installa una VPN e pensa di essere diventata invisibile. Come se fosse un mantello magico digitale. Clicchi connetti, vedi il lucchettino, e via - sei anonimo, no?
Neanche per sogno. Una VPN è uno strumento, e come tutti gli strumenti, funziona solo se lo configuri bene e capisci cosa fa davvero. Una VPN configurata male non ti dà nulla, se non una falsa sensazione di sicurezza. E questo è peggio che non avere nessuna VPN, perché almeno senza sai di essere scoperto.
In questa guida vediamo cosa fa davvero una VPN, come sceglierne una che non sia una fregatura, quale protocollo usare e come tappare le falle nella privacy che quasi nessuno conosce.
Cosa fa davvero una VPN (e cosa no)
Hai bisogno di un ripasso? Ecco la nostra spiegazione semplice di cos’è una VPN. In breve: una VPN crea un tunnel crittografato tra il tuo dispositivo e un server da qualche altra parte. Il tuo provider internet non può vedere cosa fai, e i siti web vedono l’indirizzo IP del server VPN al posto del tuo.
Adesso, cosa non fa:
Non ti rende anonimo. Accedi a Google tramite VPN e Google sa ancora benissimo chi sei. Una VPN nasconde il tuo indirizzo IP, non la tua identità.
Non ti protegge dal phishing o dai malware. Clicchi su un link falso della banca e la VPN cripterà felicemente quel traffico dritto fino all’attaccante. Protegge il tubo, non quello che ci passa dentro.
Non ti nasconde dal tuo provider VPN. Stai semplicemente spostando la fiducia dal tuo provider internet al tuo provider VPN. Invece del tuo provider internet che vede tutto, potrebbe vederlo il tuo provider VPN. Per questo scegliere quello giusto è fondamentale.
E allora a cosa serve? A impedire al tuo provider internet di registrare la tua navigazione. A proteggerti sulle reti WiFi pubbliche. A superare i blocchi geografici. Utilissima, insomma, basta non aspettarsi miracoli.
Come scegliere un provider VPN (senza farsi fregare)
Il mercato delle VPN è un disastro. Recensioni false, pubblicità aggressiva e siti “le 10 migliori VPN” che in realtà sono di proprietà delle stesse aziende VPN. Ecco cosa conta davvero.
Nessun registro dei dati, ma verifica che sia vero. Tutti i provider dichiarano di non salvare log. Lo scrivono su ogni pagina. La domanda è se possono dimostrarlo. Cerca quelli che lo confermano con audit di sicurezza indipendenti condotti da società serie. Un audit significa che un soggetto terzo ha esaminato la loro infrastruttura e ha verificato che non conservano dati degli utenti. Ancora meglio: alcuni provider fanno girare i server interamente in RAM, quindi tutto viene cancellato al riavvio. Niente dischi fissi significa niente dati da sequestrare.
Applicazioni open-source. Se l’app è open-source, chiunque può guardare il codice e verificare che faccia quello che l’azienda dichiara. Niente tracciamenti nascosti, niente log segreti. Le app closed-source sono una scatola chiusa. Non sono automaticamente sospette, ma l’open-source è un segnale di fiducia importante.
Evita le VPN gratuite. Se non paghi, il prodotto sei tu. Le VPN gratuite sono state beccate a iniettare pubblicità nella navigazione, installare tracker e persino vendere la banda del tuo dispositivo a terzi. Quello che stai cercando di evitare è letteralmente il loro modello di business.
Pagamento anonimo. I migliori provider accettano criptovalute, contanti o carte regalo. Se l’obiettivo è la privacy, pagare con una carta di credito intestata a te vanifica un po’ tutto. Non è indispensabile per tutti: se vuoi solo proteggerti sul WiFi del bar, pagare normalmente va benissimo.
Proprietà dei server. Il provider possiede fisicamente i server o li affitta da data center? Possedere l’hardware significa controllo totale. Affittare aggiunge un altro soggetto nella catena che potrebbe accedere all’infrastruttura o rispondere a richieste legali.
Giurisdizione: il paese conta
Il paese in cui il tuo provider VPN ha sede legale determina quali leggi si applicano ai tuoi dati.
L’alleanza Five Eyes (USA, Regno Unito, Canada, Australia, Nuova Zelanda) è un patto di sorveglianza tra questi paesi che condividono liberamente i dati di intelligence. Se il tuo provider VPN ha sede in uno di questi paesi, un ordine giudiziario in uno qualsiasi di essi potrebbe potenzialmente obbligare alla consegna dei dati. Poi ci sono i Nine Eyes (che aggiungono Danimarca, Francia, Paesi Bassi, Norvegia) e i Fourteen Eyes (che aggiungono Germania, Belgio, Italia, Spagna, Svezia). Più si allarga il cerchio, più la cooperazione è blanda, ma esiste.
Significa che non dovresti mai usare una VPN con sede in questi paesi? Non necessariamente. Un provider che davvero non conserva log non ha nulla da consegnare, indipendentemente dalla giurisdizione. Ma a parità di condizioni, cerca provider in paesi rispettosi della privacy come la Svizzera, l’Islanda, Panama o la Romania, posti con leggi sulla privacy solide e nessuna appartenenza alle alleanze Eyes.
Una distinzione importante che molti confondono: dove il provider ha sede legale (la giurisdizione) e dove si trova fisicamente il server a cui ti connetti. La giurisdizione del provider determina a quali richieste legali deve rispondere. La posizione del server determina da dove sembra provenire il tuo traffico. Se devi dare la priorità a una delle due cose, la giurisdizione del provider conta di più: è lì che si applicano le pressioni legali.
Protocolli VPN: quale usare
Il protocollo determina la crittografia, la velocità e il livello di sicurezza effettivo.
| Protocollo | Velocità | Sicurezza | Verdetto |
|---|---|---|---|
| WireGuard | Veloce | Forte | Consigliato |
| OpenVPN | Media | Forte | Ottima alternativa |
| IKEv2/IPsec | Veloce | Buona | Adatto al mobile |
| L2TP/IPsec | Lento | Discreta | Superato |
| PPTP | Veloce | Debole | Da evitare |
WireGuard è il vincitore indiscusso. Circa 4.000 righe di codice contro le oltre 100.000 di OpenVPN. Meno codice significa meno bug, audit più semplici e crittografia moderna (ChaCha20, Curve25519). È più veloce, si riconnette all’istante su mobile e consuma meno batteria. Se il tuo provider lo supporta, usalo.
OpenVPN è l’alternativa collaudata: testato sul campo, supportato ovunque, solido con AES-256. Solo un po’ più lento e pesante.
IKEv2 gestisce bene il passaggio tra reti, il che lo rende ottimo per il mobile. È integrato in iOS, macOS e Windows.
Tutto il resto? Lascia perdere. PPTP ha vulnerabilità note fin dai primi anni 2000. Se il tuo provider lo offre ancora, è un brutto segno.
La mossa definitiva: il tuo server WireGuard personale
Il punto è questo: con i provider VPN commerciali stai comunque affidando il tuo traffico a qualcun altro. Anche con i migliori. Leggi la loro informativa sulla privacy, controlli i report degli audit e speri che vada tutto bene.
Vuoi eliminare del tutto il problema della fiducia? Metti in piedi il tuo server VPN.
Affitta un piccolo VPS in un paese rispettoso della privacy, installa WireGuard, connetti i tuoi dispositivi. Il tuo traffico passa attraverso un tunnel crittografato verso un server che controlli solo tu. Niente intermediari, niente politiche sui log di cui preoccuparsi. Il design minimale di WireGuard fa sì che la configurazione siano poche righe, non pagine e pagine di opzioni.
Il compromesso: con una VPN commerciale, il tuo traffico si mescola con quello di migliaia di utenti sullo stesso IP. Con un tuo server, sei l’unico utente. Per la privacy dal provider internet e la protezione sulle reti WiFi pubbliche, va benissimo. Per l’anonimato nella massa, un provider commerciale o Tor funziona meglio.
Kill Switch: la tua rete di sicurezza
Le connessioni VPN a volte cadono. Il WiFi fa le bizze, il server si riavvia, il telefono cambia rete. E nel momento in cui la VPN si disconnette, il traffico passa direttamente dalla tua connessione normale con il tuo vero IP esposto. Bastano pochi secondi perché le richieste DNS e il traffico in background facciano trapelare dati.
Il Kill Switch blocca tutto il traffico internet nel momento in cui la VPN si disconnette. Niente entra e niente esce finché non si riconnette. Pensalo come un interruttore di emergenza per la tua privacy.
Cerca questa impostazione nella tua app VPN e attivala. Alcuni la chiamano “blocco di rete” o “VPN sempre attiva”. Puoi anche configurarla a livello di sistema operativo con le regole del firewall, il che è più affidabile perché funziona anche se l’app VPN va in crash.
Fai una prova. Connettiti alla VPN, poi disconnettiti di proposito. Se riesci ancora a navigare, il Kill Switch non sta funzionando.
Tunneling selettivo: instrada solo quello che serve
Far passare tutto dalla VPN rallenta la connessione e può bloccare i servizi locali o far scattare i blocchi delle piattaforme di streaming. Il tunneling selettivo (split tunneling) ti permette di scegliere cosa passa dalla VPN e cosa va diretto.
Qualche esempio pratico: fai passare la navigazione e la messaggistica dalla VPN ma lascia lo streaming video in connessione diretta. Instrada le app di lavoro tramite VPN ma lascia la navigazione personale in chiaro. La maggior parte delle app VPN supporta l’instradamento per app (scegli quali app usano la VPN - più semplice) o l’instradamento per indirizzo (specifichi quali destinazioni passano dalla VPN - più preciso).
Il compromesso in termini di sicurezza è ovvio: tutto quello che escludi dalla VPN non è protetto. Pensa a cosa ha davvero bisogno di protezione. Nel dubbio, instrada tutto e togli solo quello che crea problemi.
DNS: la falla nella privacy di cui nessuno parla
Potresti avere la miglior VPN del mondo e comunque esporre tutta la tua cronologia di navigazione attraverso il DNS. Il DNS traduce i nomi dei siti web in indirizzi IP, e per impostazione predefinita queste richieste spesso finiscono ai server del tuo provider internet, senza crittografia e completamente registrate.
Molte app VPN gestiscono la cosa in automatico facendo passare il DNS attraverso il tunnel. Ma non tutte lo fanno, e gli errori di configurazione sono frequenti. Se le richieste DNS finiscono fuori dal tunnel, il tuo provider internet può vedere ogni sito che visiti, anche se il resto del traffico è crittografato.
Risolvilo con il DNS crittografato. Due opzioni principali: DNS over HTTPS (DoH) invia le richieste tramite normali connessioni HTTPS, rendendo difficile il blocco perché sembra traffico web normale. DNS over TLS (DoT) usa una connessione crittografata dedicata, leggermente più veloce ma più facile da identificare e bloccare. Entrambi sono infinitamente meglio del DNS in chiaro.
Non usare il DNS del tuo provider internet. Scegli un provider DNS attento alla privacy che non registri le richieste e supporti il DNS crittografato. Dai un’occhiata alle nostre raccomandazioni sui DNS per suggerimenti specifici.
Fai un test. Dopo aver connesso la VPN, cerca “DNS leak test” e fanne uno. Questi strumenti ti mostrano quali server DNS stanno gestendo le tue richieste. Se vedi i server del tuo provider internet mentre sei connesso, hai una falla. Sistema la configurazione DNS prima di fare qualsiasi altra cosa.
Consigli extra
Controlla che il tuo IP non sia esposto. Dopo la connessione, cerca “qual è il mio IP” su un motore di ricerca. Se vedi il tuo vero IP, qualcosa non va. Testa anche le perdite WebRTC: alcuni browser mostrano il tuo vero IP attraverso WebRTC anche con la VPN attiva.
Gestisci IPv6. Molte VPN instradano solo il traffico IPv4. Se il tuo dispositivo usa anche IPv6 (la maggior parte di quelli moderni lo fa), quel traffico potrebbe aggirare completamente la VPN. Assicurati che la tua VPN supporti il tunneling IPv6, oppure disattiva IPv6 sul dispositivo quando sei connesso.
Non dimenticare il telefono. Il tuo telefono fa trapelare tanti dati quanto il computer, forse anche di più, con tutte quelle app che comunicano di continuo con i loro server. Se hai un iPhone, dai un’occhiata alla nostra guida per blindare la sicurezza.
Sii coerente con la tua identità. Se il tuo obiettivo è l’anonimato, non accedere ad account che ti identificano mentre usi la VPN. Nel momento in cui entri su Gmail, Google sa chi sei indipendentemente dal tuo IP.
Per un anonimato serio, considera Tor. Una VPN ti dà privacy dal provider internet e dalla rete locale. Se ti serve un anonimato vero, come quello di cui hanno bisogno giornalisti e attivisti, Tor è uno strumento diverso per un modello di minaccia diverso.
L’autenticazione forte resta fondamentale. Una VPN protegge la tua connessione, non i tuoi account. Usa metodi di accesso sicuri ovunque.
Ricapitolando
Il tuo piano d’azione:
- Scegli un provider con una politica di zero log verificata, giurisdizione in un paese rispettoso della privacy, app open-source e audit indipendenti
- Usa WireGuard - più veloce, più semplice e più sicuro delle alternative
- Attiva il Kill Switch per non far trapelare traffico quando la VPN si disconnette
- Configura il DNS crittografato e testa che non ci siano falle
- Imposta il tunneling selettivo per bilanciare privacy e prestazioni
- Testa tutto - perdite IP, perdite DNS, IPv6, Kill Switch
Oppure fai il passo in più: salta i provider commerciali e metti su il tuo server WireGuard personale. Controllo totale, nessuna fiducia necessaria.
Una VPN non ti renderà invisibile. Ma una VPN configurata bene ti renderà un bersaglio molto più difficile. E in un mondo dove tutti vogliono i tuoi dati, è questo che conta.
Per consigli su provider specifici, dai un’occhiata alla nostra pagina risorse.