La VPN non ti salverà
La VPN è diventata la risposta automatica a "come proteggo la privacy". Facile da comprare, facile da attivare. Peccato che non risolva il problema che pensi di avere. Ecco tre cose che proteggono più di qualsiasi tunnel cifrato.
La VPN è diventata la risposta automatica a "come proteggo la privacy". Facile da comprare, facile da attivare, impossibile da fraintendere. Peccato che non risolva il problema che pensi di avere.
Il lucchetto sulla porta sbagliata
L'anno scorso un cliente mi ha chiamato tutto soddisfatto. "Alberto, ho messo la VPN su tutti i PC dello studio. Siamo a posto con la privacy, no?"
No.
Marco (lo chiamo Marco, come tutti i miei clienti tipo) aveva comprato un abbonamento VPN da 3 euro al mese per otto postazioni. Trentadue PC collegati a un server in Svizzera, traffico cifrato, IP mascherato. Sulla carta, tutto perfetto.
Poi gli ho fatto una domanda: "I tuoi dipendenti, quando accendono il PC la mattina, dove fanno login?"
"Su Google Workspace."
"E la posta?"
"Gmail."
"E i file?"
"Google Drive."
"E il calendario, i contatti, le videochiamate?"
"Tutto Google."
Ecco. Marco aveva messo un lucchetto blindato sulla porta di casa, dopo aver consegnato una copia delle chiavi al vicino. La VPN cifrava il traffico tra il suo PC e Internet. Ma tutti i suoi dati, email, documenti, contatti dei clienti, stavano già sui server di Google. Google non ha bisogno di intercettare il tuo traffico. Li hai già dati tu.
Perché la VPN è così popolare
C'è una vecchia barzelletta tra gli scienziati, nota come streetlight effect: un uomo cerca le chiavi sotto il lampione, non perché le abbia perse lì, ma perché è l'unico punto dove c'è luce. H.L. Mencken la metteva in modo più tagliente: "Per ogni problema complesso c'è una risposta semplice, chiara e sbagliata."
La VPN è la ricerca sotto il lampione.
"Come proteggo la privacy?"... "Compra una VPN." Tre click, un abbonamento, un'icona verde nell'angolo dello schermo. Problema risolto. Il cervello tira un sospiro di sollievo e passa ad altro.
Il marketing delle VPN lo sa benissimo. Guarda le pubblicità: "Naviga in sicurezza", "Proteggi i tuoi dati", "Nessuno saprà cosa fai online". Ti vendono una sensazione di controllo. Non il controllo vero; la sensazione.
E funziona, perché la sensazione è sufficiente per il cervello pigro: problema visto, soluzione comprata, prossimo.
Cosa fa davvero una VPN
Una VPN fa una cosa sola: crea un tunnel cifrato tra il tuo dispositivo e un server gestito dal provider VPN. Il tuo fornitore di connessione Internet (Fastweb, TIM, Vodafone) non può più vedere quali siti visiti. Il tuo indirizzo IP, quel numero che identifica la tua connessione: viene sostituito con quello del server VPN.
Fine.
Non cifra le tue email. Non protegge i file che hai su Google Drive. Non impedisce a Facebook di tracciarti con i cookie. Non cancella i dati che hai già condiviso con mezza Internet. Non ti rende anonimo: se fai login su Gmail con la VPN attiva, Google sa benissimo chi sei.
La VPN sposta il problema. Prima il tuo traffico lo vedeva il provider Internet. Adesso lo vede il provider VPN. Hai sostituito un intermediario con un altro. Se il provider VPN tiene i log (i registri di navigazione), ha le stesse informazioni che aveva il tuo provider Internet. Se ha sede negli Stati Uniti o in un paese con leggi permissive sulla sorveglianza, quei dati possono finire nelle mani di chi vuole.
Fermiamoci un secondo. Sto dicendo che la VPN è inutile?
No. Sto dicendo che è un pezzo di un puzzle molto più grande, venduto come se fosse il puzzle intero.
Il problema reale non è il tunnel
Il problema reale della privacy nel 2026 non è chi intercetta il tuo traffico Internet. Quello è un problema degli anni Novanta, quando i dati viaggiavano in chiaro e bastava mettersi in ascolto sulla rete per leggere le email di qualcuno.
Oggi il problema è diverso: tu consegni volontariamente i tuoi dati a piattaforme che li usano come vogliono. Ogni ricerca su Google. Ogni file su OneDrive. Ogni messaggio su WhatsApp (sì, anche con la crittografia end-to-end: i metadati, chi scrive a chi, quando, quanto spesso... quelli li raccolgono). Ogni "Accedi con Google" su un sito qualsiasi.
La VPN non tocca nulla di tutto questo. È come indossare un passamontagna mentre entri in banca con il tuo documento d'identità.
Il vero campo di battaglia della privacy è altrove:
Quali dati generi. Ogni servizio che usi produce dati. Più servizi usi dallo stesso fornitore, più il profilo che quel fornitore costruisce su di te è completo. Google con Gmail + Drive + Maps + Calendar sa più cose su di te del tuo commercialista.
Dove vanno quei dati. Server in Europa? Negli USA? In un paese dove il CLOUD Act permette al governo americano di richiedere l'accesso senza che tu lo sappia? Il CLOUD Act (Clarifying Lawful Overseas Use of Data Act), per chi non lo conosce, è una legge del 2018 che obbliga le aziende americane a consegnare i dati dei clienti anche se quei dati sono fisicamente su server europei.
Chi li controlla. Puoi esportarli? Puoi cancellarli davvero? Se domani chiudi l'account, cosa resta?
La VPN giusta e quella sbagliata
Detto questo: ci sono situazioni in cui una VPN serve davvero. Se lavori da un Wi-Fi pubblico, aeroporto, hotel, coworking, la VPN protegge il traffico da chi potrebbe intercettarlo sulla rete locale. Se sei in un paese con censura Internet, ti permette di raggiungere siti bloccati. Se vuoi evitare che il tuo provider Internet venda i dati di navigazione (succede, soprattutto negli USA), la VPN lo impedisce.
Ma anche qui: non tutte le VPN sono uguali. Quelle gratuite spesso si finanziano vendendo i tuoi dati di navigazione. Quelle a pagamento variano enormemente in trasparenza. Mullvad, per esempio, ha dimostrato sul campo la sua policy no-log: ad aprile 2023 la polizia svedese si è presentata nei loro uffici di Göteborg con un mandato di perquisizione per sequestrare dati dei clienti. È andata via a mani vuote, perché quei dati non esistevano. Non li conservano. Non tecnicamente, non per policy aziendale: proprio architetturalmente, il sistema non li raccoglie.
Poi ci sono VPN che dichiarano "no-log" ma non hanno mai pubblicato un audit indipendente del codice, o hanno sede in paesi dove un mandato può costringerle a consegnare tutto senza che tu lo sappia. La differenza tra una VPN e l'altra è enorme. Ma anche la migliore VPN del mondo non risolve il problema di fondo: se fai login su Gmail con Mullvad attiva, Google sa comunque chi sei, cosa cerchi e a chi scrivi. La VPN da sola non basta.
Tre cose che proteggono più di una VPN
Se Marco, il commercialista con otto postazioni e Google Workspace, mi chiedesse dove investire il tempo e il budget destinato alla privacy, gli direi di fare queste tre cose prima ancora di pensare a una VPN:
1. Cambia il browser. Passa a Firefox o Brave. Attiva il blocco dei tracker. Solo questo taglia la quantità di dati che i siti raccolgono su di te in modo drammatico. Non costa nulla, richiede dieci minuti.
2. Separa i servizi. Non usare lo stesso fornitore per email, file, calendario e ricerca. Ogni servizio che sposti da Google a un fornitore diverso è un pezzo di profilo che Google perde. La mail su un provider europeo (Proton Mail, Tuta, Mailbox.org). I file su un NAS in ufficio o su Nextcloud. Non devi fare tutto in un giorno... ma inizia.
3. Chiediti: dove sono fisicamente i miei dati? Se non sai rispondere, hai un problema più grande di qualsiasi tunnel cifrato possa risolvere. Chiedi al tuo fornitore IT. Se non sa rispondere neanche lui, hai trovato il vero problema.
La VPN può venire dopo. Come quarto o quinto passo. Come strato aggiuntivo, non come fondamenta.
La privacy non si compra con un abbonamento. Si costruisce, un pezzo alla volta, sapendo dove vanno i propri dati e chi ne ha le chiavi.
