Audit di sicurezza VPN completo: 9 test per verificare la tua protezione

Accendere un VPN è banale. Verificare che faccia davvero ciò che promette: questa è tutt'altra faccenda. La maggior parte degli utenti clicca su «Connetti», vede un segno di spunta verde e considera la cosa conclusa. Il client mostra un IP straniero, quindi tutto deve andare bene. Solo che quella luce verde non dice nulla sulle query DNS che escono in chiaro verso il tuo provider, sul vero IP rivelato da WebRTC a qualsiasi sito che interroghi il browser, o sul kill switch che non scatta mai perché un aggiornamento del sistema operativo ha disabilitato silenziosamente l'estensione.

Questo audit in nove test richiede circa mezz'ora la prima volta, poi da quindici a venti minuti come routine trimestrale. Va oltre i leak classici (IP, DNS, WebRTC, IPv6): verifica anche la geolocalizzazione lato piattaforma per lo streaming, il fingerprinting del browser (che sopravvive al VPN) e la stabilità complessiva su dieci minuti di condizioni reali. È più impegnativo della maggior parte dei check VPN rapidi in 7 passi, ed è esattamente il protocollo che applichiamo ai VPN che testiamo internamente per la nostra metodologia pubblicata.

Perché un VPN impostato su «ON» non basta mai da solo

Il tunnel cifrato tra il tuo dispositivo e il server VPN è solido. Utilizza OpenVPN, WireGuard o IKEv2 con cipher suite moderne (AES-256-GCM, ChaCha20-Poly1305): lo strato crittografico in sé ha sostanzialmente smesso di essere l'anello debole dal 2018. L'anello debole oggi è tutto ciò che aggira il tunnel a tua insaputa.

Quattro vulnerabilità rappresentano la maggior parte delle configurazioni VPN difettose. Primo, i leak DNS silenziosi: il tuo sistema operativo continua a risolvere i nomi di dominio tramite il server DNS del tuo provider, che vede quindi ogni sito che visiti anche se il contenuto è cifrato. Secondo, i leak WebRTC lato browser: uno snippet JavaScript su una pagina qualsiasi sonda i candidati ICE e recupera il tuo IP locale e pubblico reale nonostante il VPN attivo. Questo è documentato nell'RFC 8826 sulle considerazioni di sicurezza WebRTC ed è il vettore di de-anonimizzazione più sfruttato dalle reti di marketing comportamentale.

Terzo, l'IPv6 non gestito: il tuo provider distribuisce IPv6 in modo nativo (BT, Sky, Virgin Media nel Regno Unito; Comcast, Verizon negli USA), il tuo VPN tunnellizza solo IPv4 e il risultato è che Google, Cloudflare e Facebook vedono il tuo vero IPv6 mentre tu pensi di essere protetto dietro l'IPv4 del VPN. Quarto, un kill switch assente o difettoso: a ogni caduta del VPN (cambio di Wi-Fi, sospensione dello schermo, aggiornamento del client) il tuo traffico riprende in chiaro senza alcun avviso visibile, a volte per minuti prima della riconnessione automatica.

L'Electronic Frontier Foundation lo dice chiaramente: un VPN è uno strumento per delegare la fiducia, non per un'anonimizzazione assoluta. Sposti la fiducia dal tuo provider al tuo fornitore di VPN, a condizione che questi configuri correttamente il tunnel, gestisca i leak lato client e rispetti la sua policy di logging. Verificare queste tre condizioni tecniche è lo scopo dei test che seguono.

Test 1 — Il tuo IP pubblico è davvero mascherato?

Questo è il test più elementare e quello che intercetta le configurazioni più grossolanamente difettose in meno di 30 secondi. Apri il nostro strumento My IP senza il VPN per prima cosa. Annota l'indirizzo IPv4 visualizzato, l'IPv6 se presente e — cosa cruciale — il nome del provider internet (BT, Sky, Virgin Media, Comcast, Verizon, Spectrum negli USA; ecc.). Questa è la tua base di riferimento.

Ora attiva il VPN su un server a tua scelta — scegli un server geograficamente vicino per mantenere bassa la latenza di test. Ricarica la pagina. L'IPv4 deve essere completamente diverso. Il provider visualizzato deve passare a un nome di host di datacenter: Tefincom S.A. (controllata di NordVPN, Panama), Datacamp Limited (CDN77, usata anche da NordVPN), M247 Europe (usata da diversi VPN), Tata Communications, Leaseweb, Hetzner Online, DigitalOcean o OVH. Anche la geolocalizzazione rilevata dovrebbe essersi spostata sul Paese del server selezionato.

Se l'IP non è cambiato dopo l'attivazione, o il client VPN non è realmente connesso (controlla lo stato dell'interfaccia), oppure la tua rete aziendale instrada il traffico attraverso un proxy che scavalca il VPN. Un caso più raro: in alcune configurazioni split-tunnel impostate in modo errato, il client lascia il browser in chiaro mentre tunnellizza altre app — disabilita lo split-tunneling per questo test.

Annota anche il Paese rilevato: deve corrispondere al server selezionato. Una discrepanza (server elencato come Paesi Bassi, geolocalizzazione che mostra la Germania) suggerisce un server mal referenziato nei database MaxMind GeoIP2 o IP2Location, oppure una rotta di transito che esce in Germania nonostante l'annuncio olandese. Non critico per la privacy, ma importante quando punti a un catalogo di streaming specifico — Netflix legge la geolocalizzazione MaxMind, non il Paese dichiarato dal VPN.

Test 2 — Leak DNS: la trappola silenziosa

Un IP correttamente mascherato non garantisce nulla sul DNS. Lo scenario classico: il tunnel cifra tutto il traffico HTTPS in uscita, ma il tuo sistema operativo continua a risolvere netflix.com, bbc.co.uk o nytimes.com tramite il server DNS del provider configurato quando ti sei connesso al Wi-Fi. Il tuo provider vede quindi la tua cronologia di domini, indicizzata cronologicamente, con timestamp al secondo. Nessun segnale visibile sul tuo client VPN.

Questo è il leak più frequente e meno visibile, da qui la sua criticità assoluta. Il test rapido: visita dnsleaktest.com con il VPN attivo, clicca su «Extended Test» (mai lo «Standard Test», che è insufficiente) e attendi dai 10 ai 20 secondi. Lo strumento invia una ventina di query DNS uniche ed elenca ogni server che ha risposto. Se anche solo uno di quei server corrisponde al tuo provider (BT, Sky, Virgin Media, Comcast, Verizon…), hai un leak confermato.

Test complementare: il nostro strumento interno per i leak DNS, che combina il rilevamento di DNS, WebRTC e IPv6 in un unico passaggio. È il controllo più rapido per confermare in 30 secondi che i tre tipi principali di leak sono neutralizzati. Per il metodo dettagliato sistema per sistema — come disabilitare la Smart Multi-Homed Name Resolution su Windows 11, come forzare il DNS del VPN su macOS, come gestire systemd-resolved su Linux — consulta la nostra guida completa al test dei leak DNS, che tratta ogni correzione nel dettaglio.

Sui buoni VPN a pagamento, questo test passa senza alcuna configurazione: NordVPN, ExpressVPN, Surfshark, ProtonVPN e Mullvad impongono i propri server DNS ricorsivi quando attivi. Sui VPN gratuiti o economici, decide il sistema operativo — e il sistema operativo usa per impostazione predefinita il server del provider, garantendo un leak.

Test 3 — Leak WebRTC: la trappola del browser

WebRTC è progettato per la comunicazione peer-to-peer nel browser — videochiamate Google Meet, condivisione di file in tempo reale, gaming online. Per funzionare, cerca di scoprire tutti gli indirizzi IP della tua macchina: IP locale (192.168.x.x), IPv4 pubblico, IPv6 pubblico, candidati STUN e TURN. Inclusi gli IP che il tuo VPN dovrebbe mascherare. Se nulla lo blocca lato client VPN o lato browser, qualsiasi snippet JavaScript su qualsiasi pagina può leggere il tuo vero IP in background, senza interazione dell'utente e senza alcun permesso richiesto.

Questo è il leak più subdolo dei nove test. Dall'esterno il VPN mostra «connesso», l'IP pubblico visto tramite lo strumento web è mascherato, il DNS passa. Ma WebRTC tradisce silenziosamente il tuo vero IP a qualsiasi sito che interroghi il browser — è usato massicciamente dalle reti pubblicitarie e dalle piattaforme di rilevamento frodi.

Il test: esegui il nostro strumento di test dei leak DNS, che sonda i candidati ICE WebRTC dal tuo browser ed elenca ogni IP rivelato. Confronta con l'IP di uscita del VPN annotato nel test 1. Se nell'elenco WebRTC compare un IP pubblico diverso, leak confermato. Se compare solo l'IP del server VPN, la protezione è efficace.

Soluzioni in ordine decrescente di efficacia. Primo, abilita la protezione WebRTC nel client VPN — la maggior parte dei buoni VPN ha questa opzione, a volte chiamata «WebRTC Leak Protection» o «Disable WebRTC». Secondo, installa l'estensione ufficiale del browser del provider, che disabilita WebRTC a livello di browser ed è più robusta di un blocco lato client. Terzo, disabilita WebRTC manualmente: su Firefox digita about:config e imposta media.peerconnection.enabled su false; su Chrome usa uBlock Origin con l'opzione «Prevent WebRTC from leaking local IPs» abilitata nelle impostazioni sulla privacy.

Nota: Brave ha una protezione WebRTC nativa ben configurata ed è uno dei pochi browser mainstream che supera questo test senza un'estensione aggiuntiva. Tor Browser blocca interamente WebRTC per design.

Test 4 — Il kill switch scatta davvero?

Il kill switch interrompe automaticamente la tua connessione internet se il tunnel VPN cade. Senza di esso, una disconnessione di un secondo — cambio di Wi-Fi, uscita dalla sospensione, aggiornamento del client, sospensione della CPU — basta a esporre il tuo vero IP a tutte le applicazioni e i siti in uso. Durante un download lungo o una sessione di streaming, l'esposizione può durare diversi minuti prima che il client VPN si riconnetta automaticamente.

Il test semplice, e quello che applichiamo sistematicamente negli audit interni. Avvia un download lungo in background: l'ISO di Ubuntu LTS (4 GB) è perfetto a questo scopo, o qualsiasi torrent legale di una distribuzione Linux. Verifica che la velocità sia stabile. Poi, o clicca bruscamente su «Disconnetti» nel client VPN, o termina il processo del client tramite il Task Manager (Ctrl+Maiusc+Esc su Windows, Monitoraggio Attività su macOS, killall su Linux). Il download deve fermarsi di colpo entro un secondo.

Se prosegue, il tuo kill switch non è attivo. Controlla l'opzione nelle impostazioni avanzate del client (a volte chiamata «Network Lock», «Internet Kill Switch» o «App Kill Switch»). Su alcuni client esistono due livelli: kill switch di sistema (interrompe tutto) o kill switch per app (interrompe solo le app elencate). Per gli audit a privacy rigorosa, abilita il livello di sistema.

Test secondario — spesso trascurato ma critico: il comportamento all'avvio della macchina. Il tuo VPN si riconnette prima che il browser invii le sue prime richieste in background? In caso contrario, la finestra di esposizione tra l'avvio del sistema operativo e l'attivazione del VPN può rivelare il tuo IP ai tracker che si caricano automaticamente (Google Analytics sui tab nei preferiti, Facebook Pixel sui siti di notizie, notifiche push dei servizi connessi). Soluzione: abilita «Avvia all'avvio» + «Connetti automaticamente all'avvio» + «Blocca il traffico finché il VPN non è connesso» nel client. Disabilita inoltre il ripristino della sessione del browser se apre tab sensibili.

Test 5 — Velocità reale: cosa costa davvero un VPN in termini di prestazioni

Un VPN ben configurato su un protocollo moderno perde tipicamente dal 5 al 15% di throughput su un server geograficamente vicino, aggiungendo dai 10 ai 40 ms di latenza a seconda della distanza fisica dal server. Oltre queste soglie, o il server è congestionato nelle ore di punta, o il protocollo scelto è obsoleto (in particolare OpenVPN TCP, che impila due meccanismi di ritrasmissione e rovina la latenza), o il tuo VPN è tecnicamente al di sotto dello standard di mercato 2026.

Una corretta metodologia di misurazione conta quanto i numeri grezzi. Usa il nostro strumento Speed Test in una sequenza riproducibile. Prima passata senza VPN: tre misurazioni consecutive a 30 secondi di distanza, prendi la mediana di download, upload e latenza. Annota i numeri. Seconda passata con VPN attivo sul server più vicino (Londra dal Regno Unito, New York dalla costa orientale degli USA, ecc.): tre misurazioni consecutive nelle stesse condizioni, mediana. Calcola la perdita percentuale: (velocità senza VPN − velocità con VPN) / velocità senza VPN × 100.

Soglie di allarme. Se la perdita è > 30% del throughput su un server geograficamente locale, il tuo server VPN è probabilmente saturo: cambia server (i buoni client elencano il carico in percentuale) o cambia protocollo — forza WireGuard o il suo derivato proprietario (NordLynx per NordVPN, Lightway per ExpressVPN), che nel 2026 sono significativamente più efficienti di OpenVPN. Se la latenza aggiunta è > 80 ms su un server locale, è anomalo — la latenza su una connessione in fibra verso un server nazionale dovrebbe restare sotto i 30 ms aggiunti.

Test complementare utile: misura la velocità anche su un server distante (USA Est, Giappone) per anticipare l'uso in streaming geo-sbloccato. Lì la perdita è legittimamente più alta (40–60%) per via della distanza fisica, ma deve restare stabile e riproducibile. Per le aspettative di benchmark protocollo per protocollo e la procedura completa, consulta la nostra guida al test di velocità VPN, che documenta il metodo di misurazione passo passo.

Test 6 — Geolocalizzazione di piattaforma (e perché il tuo VPN «non funziona» su Netflix)

Questo è il test che separa un VPN che «funziona tecnicamente» da uno che «funziona nella pratica». Puoi avere un IP US perfettamente mascherato, DNS US pulito, zero leak WebRTC e vedere comunque l'«errore di streaming M7111-5059» di Netflix con il messaggio «sembra che tu stia usando un unblocker o un proxy». Perché? Perché Netflix, Disney+, BBC iPlayer e Hulu non si limitano a leggere l'IP geografico: lo incrociano con un database di intervalli di IP segnalati come «datacenter» mantenuto dai loro team anti-VPN, e controllano segnali comportamentali (coerenza tra lingua del sistema / lingua del browser / fuso orario del sistema operativo, latenza inattesa).

Il test: apri una piattaforma geo-bloccata da un server VPN nel Paese di destinazione. Netflix US da un server VPN statunitense: il catalogo deve mostrare titoli esclusivi US («Seinfeld», «It's Always Sunny in Philadelphia», contenuti US su licenza HBO) e trailer in inglese senza sottotitoli italiani per impostazione predefinita. BBC iPlayer da un server VPN del Regno Unito: la homepage deve caricarsi senza «BBC iPlayer only works in the UK», e almeno un episodio deve partire. Disney+ Giappone da un server VPN giapponese: il catalogo deve mostrare contenuti in giapponese esclusivi per il mercato JP.

Se compare la schermata «proxy», ci sono due possibili cause. O il pool di IP del server VPN è interamente segnalato come datacenter dalla piattaforma — il caso della maggior parte dei server VPN gratuiti e di molti economici. O il server non è stato ottimizzato per lo streaming dal provider — alcuni VPN offrono server dedicati «ottimizzati per lo streaming» o «SmartPlay» progettati per aggirare queste rilevazioni.

Per validare la copertura di streaming sulle piattaforme che usi realmente, esegui il nostro test di geo-blocco, che verifica l'accessibilità di Netflix US/UK/JP, BBC iPlayer, Disney+ US/JP, Max e altri in un unico passaggio. Se un VPN fallisce sulla piattaforma che ti serve, fallisce per il tuo caso d'uso — a prescindere dal superamento degli altri 8 test. Per il dettaglio metodologico e i benchmark di sblocco di NordVPN rispetto alle alternative, consulta la nostra recensione di NordVPN.

Test 7 — Policy di logging e giurisdizione del provider

Questo è il passaggio che non puoi testare tecnicamente da solo, ma che puoi verificare indirettamente tramite terze parti affidabili e un po' di ricerca. Un VPN che dichiara «no-logs» senza un audit pubblico pubblicato è solo una promessa di marketing — non una prova tecnica che regga a un'ingiunzione legale.

Cerca sul sito del VPN la menzione di un recente audit indipendente condotto da una società riconosciuta. Nomi da cercare: PwC, Deloitte, KPMG, Cure53, Securitum, VerSprite. La data conta quanto il revisore: un audit del 2019 non dice nulla sulla policy del 2026. NordVPN ha pubblicato diversi audit PwC (2018, 2020, 2022) e audit Deloitte (2023, 2024). ExpressVPN è stato verificato da KPMG nel 2022 e riauditato da Cure53 nel 2024. Mullvad ha una serie di audit annuali Cure53 dal 2020. ProtonVPN è stato verificato da Securitum nel 2023.

Controlla anche la giurisdizione della sede legale registrata del provider. Un VPN con sede a Panama (NordVPN), nelle Isole Vergini Britanniche (ExpressVPN), in Svizzera (ProtonVPN) o in Romania (CyberGhost) non è soggetto agli stessi obblighi di conservazione dei dati di uno con sede negli Stati Uniti (membro dei Five Eyes, giurisdizione di condivisione dell'intelligence), nel Regno Unito (Five Eyes; Investigatory Powers Act 2016 con obblighi attivi di sorveglianza statale) o in Australia (Five Eyes; Technical Assistance and Access Act). Questo non garantisce che non registrino nella pratica, ma riduce la pressione legale che potrebbe costringerli a farlo.

Per un ulteriore confronto incrociato, controlla le raccomandazioni indipendenti di PrivacyGuides, il sito di riferimento della community che audita regolarmente i provider e pubblica la sua lista minimalista. Includono solo VPN che soddisfano criteri di trasparenza, audit indipendente e giurisdizione favorevole.

Test 8 — Fingerprinting del browser (ciò che il VPN non cancella)

Questo è il test che spiega perché un VPN perfettamente configurato non ti rende anonimo. Il fingerprinting del browser è l'insieme di segnali unici che il tuo browser invia a ogni sito, in modo completamente indipendente dal tuo IP. User-agent preciso, lingua del sistema, lingua del browser, fuso orario, risoluzione dello schermo, profondità di colore, font installati, plugin installati, rendering Canvas, rendering WebGL, fingerprint AudioContext, hash dell'elenco delle estensioni. Combinati, questi segnali sono sufficienti a identificare il tuo browser in modo quasi univoco tra milioni — anche se cambi IP ogni giorno.

Il test: esegui AmIUnique o EFF Cover Your Tracks prima senza VPN, poi con VPN attivo. Confronta. Se la tua impronta è contrassegnata come «unique» o «almost unique» con un punteggio di diversi milioni di bit di entropia, il tuo browser è rilevabile tramite fingerprinting a prescindere dal VPN. La mascheratura dell'IP del VPN non fa nulla contro questo vettore di tracciamento.

Soluzioni pratiche. Primo, usa Firefox con la modalità di resistenza: about:config, imposta privacy.resistFingerprinting su true. Questo forza valori standardizzati (risoluzione, font, fuso orario UTC) che rendono il tuo browser indistinguibile dalle altre istanze di Firefox in modalità di resistenza. Lieve attrito UX (fuso orario a volte visualizzato in modo errato, dimensione dello schermo standardizzata) ma un guadagno di privacy enorme. Secondo, Tor Browser: l'implementazione più completa della resistenza al fingerprinting, per design. Se il tuo modello di minaccia giustifica Tor su VPN, questo è lo strumento. Terzo, Brave offre una protezione nativa contro il fingerprinting («Shields» → «Fingerprinting» → «Block») che randomizza i segnali a ogni sessione.

Il VPN da solo non risolve questo problema — ed è importante capirlo. Se il tuo obiettivo è semplicemente mascherare il tuo IP dal tuo provider e dai siti web per un uso privato quotidiano, un VPN che supera i primi 7 test è sufficiente. Se il tuo obiettivo è un anonimato rigoroso (giornalista, fonte protetta, ricerca sensibile), devi combinare VPN + browser irrobustito + OPSEC completa. È la sfumatura che nessun marketing di VPN dichiara mai chiaramente.

Test 9 — Test combinato in condizioni reali (quello che rivela tutto)

I primi otto test validano ogni dimensione in isolamento in un ambiente statico: una pagina di test, una misurazione, una spunta. È necessario ma non sufficiente. Il test 9 riproduce uno scenario d'uso reale su 10 minuti continuativi per verificare che la protezione tenga nel tempo. È il test più rivelatore, e quello che separa due VPN che sulla carta sembrano equivalenti.

Il protocollo. All'interno della stessa finestra di 10 minuti: (1) avvia lo streaming HD su una piattaforma geo-bloccata che richiede il tuo VPN — Netflix US da un server statunitense, BBC iPlayer da un server del Regno Unito; (2) apri tre siti che usi normalmente in tab separati (notizie, ricerca, e-commerce) e naviga normalmente; (3) avvia un download lungo in background (ISO Linux 4 GB, o un accumulo di file torrent legali). Per tutti i 10 minuti, tieni aperto il nostro strumento di test dei leak DNS in un tab e ricaricalo ogni 2–3 minuti per verificare che non compaia alcun leak nel tempo.

Cosa rivela questo test. Primo, la stabilità del tunnel: un VPN economico può cambiare server a metà sessione (rotazione del pool di IP lato provider), il che può esporre brevemente il tuo vero IP se il kill switch non reagisce abbastanza velocemente. Secondo, il comportamento sotto carico: la combinazione di streaming HD + download + navigazione può saturare un server VPN sottodimensionato, degradare la velocità in modo non lineare o persino forzare una disconnessione. Terzo, il kill switch in tempo reale: deve scattare a una disconnessione improvvisa (test 4) ma anche restare silenzioso durante l'uso normale — un kill switch troppo aggressivo che scatta ogni 30 secondi è ingestibile nel quotidiano.

Criteri di successo. Nessun leak rilevato sui successivi aggiornamenti dello strumento. Streaming stabile senza buffering anomalo. Navigazione fluida. Download che mantiene una velocità costante con i risultati del test 5. Se uno di questi punti cede, il VPN non è adatto all'uso combinato privacy + streaming — cioè esattamente ciò che la maggior parte delle persone fa nella pratica.

Della decina di VPN testati internamente nella primavera del 2026, solo NordVPN, ExpressVPN, Surfshark, ProtonVPN e Mullvad superano questo test combinato in modo riproducibile. I VPN gratuiti falliscono quasi tutti il criterio velocità + stabilità prima della soglia dei 5 minuti.

Riepilogo — la tua checklist di audit in 9 test

Per non tralasciare nulla in modalità operativa, ecco la sequenza nell'ordine metodologico ottimale. Ogni test deve restituire un risultato conforme allo standard 2026; altrimenti il VPN non è adatto a un uso serio di privacy o a un uso multimediale esigente. La sequenza è ordinata dal più veloce al più lento per ottimizzare il tempo: se un test fallisce presto, non ha senso proseguire con quel VPN.

Rinnova questo audit completo dopo ogni aggiornamento importante: feature update semestrali di Windows 11, release annuali di macOS, versioni maggiori di Firefox e Chrome e, naturalmente, dopo ogni aggiornamento del client VPN. Una volta a trimestre è sufficiente per un uso personale non sensibile. Mensilmente per il giornalismo o la ricerca. La nostra metodologia di test pubblicata descrive la sequenza esatta che applichiamo ai VPN che recensiamo internamente.

Punti chiave

Un VPN che supera tutti e nove i test ti protegge dai leak comuni (IP, DNS, WebRTC, IPv6), copre scenari d'uso reali (streaming, navigazione, download) e resiste ragionevolmente al profiling lato piattaforma. È lo standard minimo per un utente attento alla privacy nel 2026, e descrive in linea di massima i tre o quattro leader di mercato — NordVPN, ExpressVPN, Surfshark, integrati da Mullvad o ProtonVPN per casi d'uso più orientati alla privacy.

I VPN gratuiti raramente raggiungono questo standard, e nemmeno i VPN che non puoi verificare rapidamente con 3 test veloci — il divario tra un audit a 3 test e uno a 9 test è esattamente ciò che separa «sembra funzionare» da «so che sta facendo il suo lavoro». Se operi in modalità anonimato giornalistico o whistleblower, dovrai andare oltre questi 9 test — Tor su VPN, una macchina Linux o Tails dedicata, OPSEC completa nel tempo. Non è più un argomento di audit VPN; è OPSEC, al di fuori dell'ambito di questa guida.

Per la stragrande maggioranza dei casi d'uso quotidiani — privacy giornaliera, prevenzione della raccolta dati da parte del provider, streaming geo-sbloccato, sicurezza sul Wi-Fi pubblico — le nove verifiche di cui sopra sono più che sufficienti. Una volta a trimestre richiede circa venti minuti, una volta consolidata la routine, e ne vale assolutamente la pena per confermare che il tuo strumento di privacy stia davvero facendo il suo lavoro al di là del marketing.

Completare il tuo stack di sicurezza: il gestore di password

Un VPN cifra il tuo traffico di rete, ma non protegge le tue password una volta inserite su un sito compromesso o riutilizzate tra i servizi. NordPass completa logicamente lo stack difensivo: cifratura XChaCha20 a 256 bit, audit Cure53 2024, sincronizzazione tra dispositivi, piano gratuito per iniziare senza impegno. Premium a 1,69 €/mese con impegno di 2 anni. È uno strumento separato dal VPN, complementare — non un sostituto.

Articolo pubblicato il 29 maggio 2026, aggiornato il 13 giugno 2026. Questa guida descrive un protocollo di audit che esegui tu stesso sul tuo VPN — non è il resoconto di un banco di prova privato. Le soglie citate (5–15% di perdita di throughput, 10–40 ms di latenza, allarmi oltre il 30%/80 ms) sono punti di riferimento tecnici generali, derivati dal comportamento documentato dei protocolli, non misurazioni proprietarie. Il punto sui VPN gratuiti si basa sulla ricerca pubblica citata (studio ACM IMC 2016 su 283 app). Informativa sull'affiliazione: questo sito riceve una commissione se ti abboni tramite i link NordVPN — questo non influenza il metodo descritto.