Quali dati possono registrare le VPN?
Una politica no-logs è una delle caratteristiche più importanti da valutare nella scelta di un provider VPN. In sostanza, significa che l'azienda VPN non registra, archivia o monitora la tua attività online mentre sei connesso al loro servizio. Tuttavia, il termine è stato ampiamente abusato nel marketing, e non tutte le dichiarazioni no-logs sono equivalenti. Comprendere quali tipi di dati possono essere registrati e come verificare le affermazioni di un provider è fondamentale per fare una scelta veramente orientata alla privacy.
Cosa significa veramente "no-logs"
I provider VPN possono potenzialmente raccogliere diversi tipi di dati. I log di connessione includono i timestamp di quando ti connetti e disconnetti, la durata della sessione e la quantità di dati trasferiti. I log di utilizzo (chiamati anche log di attività) sono molto più invasivi e includono i siti web che visiti, i file che scarichi e i servizi che usi. Alcuni provider registrano anche il tuo indirizzo IP di origine, l'IP del server VPN che ti è stato assegnato e le tue query DNS. Un vero provider no-logs non dovrebbe conservare nessuno di questi dati oltre a quanto necessario per la sessione attiva.
Come verificare le dichiarazioni sulla privacy
Il termine "no-logs" dovrebbe idealmente significare zero registrazioni permanenti della tua attività o dei metadati di connessione. Tuttavia, alcuni provider che dichiarano politiche no-logs raccolgono comunque dati di connessione anonimizzati o statistiche aggregate sulla larghezza di banda. I provider più rispettosi della privacy dichiarano esplicitamente di non registrare indirizzi IP di origine, attività di navigazione, query DNS o qualsiasi dato che possa collegare un utente specifico a un'azione online specifica. Leggi attentamente la politica sulla privacy e cerca un linguaggio chiaro e inequivocabile piuttosto che vaghe rassicurazioni.
Audit indipendenti e la loro importanza
Gli audit di sicurezza indipendenti sono il modo più affidabile per verificare le dichiarazioni no-logs di un provider. Le aziende VPN affidabili ingaggiano società come PricewaterhouseCoopers, Deloitte, Cure53 o KPMG per esaminare la loro infrastruttura server, il codice e le pratiche di gestione dei dati. Questi audit confermano se i sistemi del provider sono tecnicamente in grado di registrare e se i dati vengono effettivamente conservati. Provider come Mullvad, ProtonVPN, NordVPN ed ExpressVPN hanno pubblicato risultati di audit che confermano i loro impegni no-logs.
Giurisdizione e considerazioni legali
La giurisdizione gioca un ruolo significativo nell'affidabilità di una politica no-logs. I provider VPN con sede in paesi che fanno parte delle alleanze di condivisione di intelligence Five Eyes, Nine Eyes o Fourteen Eyes possono essere obbligati per legge a raccogliere e condividere i dati degli utenti. I provider con sede in giurisdizioni favorevoli alla privacy come Panama, le Isole Vergini Britanniche, la Svizzera o la Svezia operano secondo quadri normativi che non impongono la conservazione dei dati per i servizi VPN. Tuttavia, la giurisdizione da sola non garantisce la privacy; dovrebbe essere considerata insieme ai risultati degli audit e all'architettura tecnica.
Gli incidenti nel mondo reale forniscono la prova più forte dell'impegno per la privacy di una VPN. I casi in cui le forze dell'ordine hanno richiesto dati degli utenti ai provider VPN e il provider non è stato in grado di consegnare nulla di significativo (perché genuinamente non aveva nulla registrato) rappresentano il gold standard della fiducia. Quando la dichiarazione no-logs di un provider è stata messa alla prova in tribunale o attraverso il sequestro governativo dei server e non sono stati trovati dati utilizzabili, questa è una testimonianza potente delle sue pratiche sulla privacy.