DNS — Domain Name System, definito nell'RFC 1034 — è la rubrica di Internet. Quando digiti anonymflow.com nel browser, il tuo computer chiede a un server DNS l'indirizzo IP corrispondente. Il server risponde 198.51.100.42 e la connessione può essere stabilita. Il problema: se questa query DNS aggira il tunnel VPN, il tuo provider Internet (ISP) vede l'elenco esatto dei domini che visiti — anche se tutto il resto del tuo traffico è cifrato nel tunnel VPN. Si chiama fuga DNS e il nostro audit interno su 6 VPN principali mostra che resta frequente nel 2026 sulle configurazioni non auditate.
Perché si verificano le fughe DNS? Le 4 cause tecniche
Una fuga DNS si verifica quando le query di risoluzione dei nomi escono tramite il resolver del tuo provider invece del tunnel VPN, nonostante la VPN sia attiva. Le quattro cause: (1) Windows Smart Multi-Homed DNS invia le query in parallelo su tutte le interfacce; (2) il DoH del browser (Firefox, Chrome) aggira completamente il DNS di sistema; (3) VPN senza gestione DNS nativa; (4) IPv6 non incapsulato dove le query DNS IPv6 escono in chiaro.
Una VPN incapsula il tuo traffico in un tunnel cifrato tra il tuo dispositivo e il server VPN remoto. In teoria, tutte le query — incluso il DNS — passano per questo tunnel. In pratica, diverse configurazioni di sistema aggirano il tunnel specificamente per le query DNS. Comprendere le quattro cause principali ti permette di identificare quale ti riguarda e applicare la correzione giusta.
Causa #1 — Windows e Smart Multi-Homed DNS. Da Windows 8, Microsoft ha implementato un comportamento chiamato Smart Multi-Homed Name Resolution (SMHNR) che invia le query DNS a tutte le schede di rete attive in parallelo, mantenendo la prima risposta ricevuta. Quando una VPN è connessa, Windows invia quindi la query sia al DNS della VPN SIA al DNS del provider tramite l'interfaccia Wi-Fi/Ethernet sottostante. Se la risposta del provider arriva per prima (spesso il caso a livello locale), viene usata e il provider ha registrato la query. È un comportamento documentato "by design" che crea fughe sistematiche sulle VPN che non disabilitano esplicitamente SMHNR.
Causa #2 — Browser con DoH abilitato separatamente. Firefox abilita il DNS-over-HTTPS per impostazione predefinita verso Cloudflare 1.1.1.1 dal 2020. Chrome offre la stessa funzione. Questi resolver DoH del browser aggirano completamente il DNS di sistema — quindi anche quello della VPN — a meno che il browser non rilevi specificamente la presenza di una VPN attiva. Firefox a volte lo rileva guardando l'interfaccia di rete attiva; Chrome meno sistematicamente. Risultato: le tue query DNS dal browser vanno direttamente a Cloudflare, fuori dal tunnel VPN.
Causa #3 — VPN senza gestione DNS nativa. Alcune VPN di fascia bassa non dichiarano i propri server DNS nella configurazione di sistema quando il tunnel si attiva. Il sistema operativo continua quindi a usare i server DNS che aveva prima — tipicamente quelli del provider forniti via DHCP. È il caso della maggior parte delle VPN gratuite e di diverse VPN a pagamento secondarie. NordVPN, ExpressVPN e Surfshark gestiscono correttamente questo aspetto dalle loro versioni 2023+.
Causa #4 — IPv6 non incapsulato. Molte VPN incapsulano solo il traffico IPv4 nel loro tunnel. Il traffico IPv6 — pur attivo per impostazione predefinita su Free, certe configurazioni Orange e tutti i modem moderni — esce direttamente fuori dalla VPN. Le query DNS IPv6 arrivano ai server DNS IPv6 del provider, che le registra. La soluzione: l'opzione "Blocca traffico IPv6" o "Incapsula IPv6" abilitata nella VPN. NordVPN supporta l'incapsulamento IPv6 dal 2024.
Come testare una fuga DNS? (metodo a 3 strumenti)
Test di 2 minuti: con VPN attiva, vai su dnsleaktest.com → Extended Test. Lo strumento elenca quali server DNS hanno risolto le tue query. Se vedi i resolver del tuo provider (Orange, Comcast, BT, Free), è una fuga confermata. Verifica incrociata con browserleaks.com/dns per isolare se la fonte è il sistema o il DoH del browser.
Il metodo classico consiste nel visitare un servizio che ti dice quale server DNS ha effettivamente risolto la sua query. Questi servizi funzionano generando un sottodominio casuale univoco (abc123xyz.dnsleaktest.com), provocandone la risoluzione dal tuo browser e leggendo lato server quale IP ha effettuato la risoluzione. Tre strumenti di terze parti riconosciuti permettono la verifica incrociata dei risultati.
Strumento #1 — DNSLeakTest.com. Il test di riferimento dal 2008. Procedura: connetti la VPN, apri l'URL, clicca "Extended Test" (non "Standard Test" che è insufficiente), aspetta 10-20 secondi. Lo strumento elenca i server DNS che hanno risposto — tipicamente da 2 a 6 resolver diversi (i server DNS moderni usano architetture con bilanciamento del carico). Confronta con i server DNS del tuo provider: se corrispondono, fuga confermata.
Strumento #2 — BrowserLeaks DNS. Test complementare che verifica in modo incrociato DNS standard, DNS-over-HTTPS e resolver rilevati tramite WebRTC. Particolarmente utile per identificare se la fuga proviene dal browser (DoH abilitato) anziché dal sistema. Esegui dopo dnsleaktest.com per validare la coerenza del risultato.
Strumento #3 — il nostro strumento integrato /tools/dns-leak-test. Per il test WebRTC in particolare (che è la causa di fuga lato browser più frequente nel 2026), lo strumento interno del sito sonda i candidati ICE WebRTC dal tuo browser e rivela il tuo IP reale se esiste una fuga a questo livello.
Per identificare il DNS del tuo provider da confrontare con i risultati: cerca su Google "DNS Orange" (resolver 80.10.246.X), "DNS Free" (212.27.40.240 e 212.27.40.241), "DNS SFR" (109.0.66.20), "DNS Bouygues" (194.158.122.10). Se l'indirizzo mostrato da DNSLeakTest corrisponde a un range del provider o al nome del suo sistema autonomo (AS), stai avendo una fuga. Se corrisponde a NordVPN ("Tefincom", AS136787), ExpressVPN, Cloudflare (AS13335), Quad9 (AS19281), Google Public DNS (AS15169), è tutto a posto.
Come correggere in base alla causa rilevata
Caso 1 — VPN con opzione "DNS Leak Protection" dormiente
Il caso più comune e più semplice. Su NordVPN, Surfshark, ExpressVPN, ProtonVPN, Mullvad, l'opzione di protezione dalle fughe DNS esiste ma può essere disabilitata per impostazione predefinita sulle installazioni più vecchie. Procedura di verifica su NordVPN: Settings → Connection → Custom DNS Protection → abilita "Auto DNS" o "NordVPN DNS". Su Surfshark: Settings → Connectivity → Custom DNS → disabilita (lascia gestire a Surfshark). Su ExpressVPN: Preferences → Advanced → DNS Network Lock → verifica che sia abilitato.
Dopo l'abilitazione, riavvia la VPN (disconnetti / riconnetti) poi rifai il DNSLeakTest. Nella maggior parte dei casi, la fuga scompare a questo punto.
Caso 2 — Windows Smart Multi-Homed DNS
Se abilitare la DNS Protection della VPN non basta e sei su Windows 10/11, il colpevole è probabilmente SMHNR. Disabilitazione manuale via PowerShell come amministratore:
Set-DnsClientGlobalSetting -SmartMultiHomedNameResolution $false
Questo comando disabilita completamente il comportamento SMHNR. Per riabilitarlo in seguito: Set-DnsClientGlobalSetting -SmartMultiHomedNameResolution $true. Dopo la disabilitazione, riavvia il computer. SMHNR non si riattiverà fino a un aggiornamento importante di Windows (ricontrolla dopo ogni feature update di Windows).
Alternativa meno invasiva: forzare la priorità dell'interfaccia VPN con Get-NetAdapter | Set-NetIPInterface -InterfaceMetric 1 che imposta tutte le interfacce VPN a priorità più alta. Meno affidabile della disabilitazione di SMHNR ma non tocca il registro di Windows.
Caso 3 — Firefox con bypass DoH
Se il test BrowserLeaks DNS rivela Cloudflare come resolver mentre non hai configurato Cloudflare come DNS di sistema, il tuo browser Firefox è in difetto. Procedura di correzione: apri about:preferences#general → scorri fino a "DNS over HTTPS" → seleziona "Off" o "Default protection" che disabilita automaticamente il DoH quando viene rilevata una VPN attiva. Salva, riavvia Firefox, ritesta.
Per Chrome: chrome://settings/security → disabilita "Usa DNS sicuro". Per Edge: edge://settings/privacy → idem. Per Safari: nessun DoH del browser, ci pensa il sistema.
Caso 4 — Nessuna opzione nella tua VPN attuale
Se la tua VPN non ha nessuna delle opzioni sopra e continua a perdere, due opzioni. Opzione radicale: configurare manualmente un DNS pubblico cifrato a livello di sistema. Su Windows: Impostazioni → Rete → Scheda → Proprietà → IPv4 → DNS manuale → Cloudflare 1.1.1.1 / 1.0.0.1. Su macOS: Preferenze di Sistema → Rete → Avanzate → DNS → aggiungi 1.1.1.1. Su Linux: modifica /etc/resolv.conf (o via systemd-resolved). Non ideale — la tua VPN dovrebbe occuparsene — ma neutralizza la fuga.
Opzione pragmatica: cambiare VPN. Una VPN che perde DNS nel 2026 senza un'opzione adeguata è tecnicamente obsoleta. La nostra recensione completa di NordVPN conferma l'assenza di fughe DNS nei test incrociati standard.
Testa NordVPN — protezione DNS nativa abilitata per impostazione predefinita
DNS cifrato + Threat Protection completo · 30 giorni soddisfatti o rimborsati
Il DNS over HTTPS (DoH) sostituisce una VPN?
Domanda frequente: se il DoH cifra le query DNS, è sufficiente come protezione al posto di una VPN completa? La risposta tecnica precisa: no, il DoH non sostituisce una VPN.
Il DoH (DNS-over-HTTPS, definito nell'RFC 8484) cifra le tue query DNS tra il tuo browser e un resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9). È un utile livello di protezione contro uno sniffer su Wi-Fi pubblico o un provider che esamina le tue query DNS in chiaro. Ma il DoH non cambia le altre tre dimensioni che una VPN protegge:
Il DoH non nasconde il tuo IP pubblico visto dai siti visitati. Un sito che vede ilTuoIPpubblico.com accedere ai suoi contenuti ti traccia comunque tramite IP, a prescindere dal fatto che la tua risoluzione DNS sia cifrata. Il DoH non cambia la rotta del tuo traffico principale — solo la risoluzione DNS è cifrata. Il traffico HTTPS principale verso il sito continua a fluire in chiaro dal tuo IP reale. Il DoH inoltre non incapsula altri protocolli (BitTorrent, SSH, ecc.) che restano visibili al tuo provider.
Il DoH garantisce che un attaccante tra te e il tuo resolver DNS non possa vedere o interferire con le tue query. Non protegge contro un attaccante tra il tuo resolver DNS e il sito finale, né contro il sito stesso.
Se usi già una VPN, disabilita il DoH a livello di browser per evitare di creare due percorsi DNS divergenti (uno via DoH del browser, uno via tunnel VPN). Lascia che la VPN gestisca la risoluzione completa tramite il suo tunnel. Se non hai una VPN, abilitare il DoH aggiunge un livello di protezione parziale ma non sostituisce una VPN per i casi d'uso in cui l'IP pubblico conta (streaming con restrizioni geografiche, elusione della censura, protezione dal profiling basato su IP).
L'aspetto legale di una fuga DNS in Francia
Sul versante francese, le fughe DNS comportano una posta legale non trascurabile. Per la legge Hadopi 2.0 e la direttiva europea ePrivacy, i provider francesi sono tenuti a conservare i registri di risoluzione DNS per almeno 12 mesi. Questi registri sono accessibili su richiesta giudiziaria nell'ambito di indagini o azioni civili. Se usi una VPN per proteggere la cronologia dei domini visitati (ad esempio perché consulti siti politicamente sensibili, siti medici riservati o forum anonimi), una fuga DNS rivela l'elenco esatto dei domini al tuo provider — e potenzialmente alle autorità.
La situazione è simile in Spagna (l'RDL 14/2019 impone la conservazione dei dati da parte degli operatori) e nel Regno Unito (Investigatory Powers Act 2016 — sorveglianza statale attiva sui provider britannici). Negli Stati Uniti, la FCC ha rimosso le tutele sulla privacy dei provider nel 2017, autorizzando la vendita diretta delle cronologie DNS ai data broker.
Conseguenza pratica: una VPN il cui DNS perde è tecnicamente inutile per l'obiettivo di privacy, a prescindere dalla qualità della cifratura del tunnel per il resto del traffico. Ecco perché DNSLeakTest è diventato un criterio obbligatorio in qualsiasi valutazione VPN seria — ha più valore dei benchmark di velocità.
Riepilogo dei passaggi — checklist applicabile in 2 minuti
Per non tralasciare nulla, ecco la sequenza esatta di audit DNS da applicare dopo l'installazione della VPN o un aggiornamento importante di Windows/macOS: (1) disconnetti la VPN ed esegui dnsleaktest.com → annota i server DNS rivelati (riferimento provider), (2) connetti la VPN e riesegui dnsleaktest.com → annota i nuovi server DNS, (3) se i server corrispondono alla VPN, OK; se corrispondono al provider, fuga confermata, (4) applica la correzione in base alla causa identificata (casi da 1 a 4 sopra), (5) ricontrolla dopo ogni modifica.
Questa procedura va rifatta dopo ogni aggiornamento importante: i feature update di Windows 11 a volte ripristinano SMHNR; le release macOS possono reintrodurre resolver DNS Apple in parallelo; i browser Firefox/Chrome abilitano automaticamente il DoH su certe installazioni. Il nostro protocollo completo di test VPN include questo test in ogni ciclo trimestrale. Per approfondire il profilo di rete esposto al punto di accesso, vedi anche la nostra guida sullo spoofing MAC su Wi-Fi pubblico — la randomizzazione MAC completa utilmente la protezione DNS.
Cosa ricordare
Una fuga DNS non è una catastrofe immediata in termini di cybersicurezza, ma è una falla di privacy silenziosa: il tuo provider continua a registrare la cronologia dei domini visitati nonostante la VPN attiva. Se usi una VPN proprio per questo, è ironico. Il test richiede 2 minuti via dnsleaktest.com o il nostro strumento integrato /tools/dns-leak-test. Come controllo complementare, verificare il tuo vero indirizzo IP pubblico prima e dopo il tunnel resta il controllo di coerenza più rapido per confermare che la VPN mascheri l'IP oltre a chiudere la fuga DNS.
Se rilevi una fuga, la soluzione dipende dalla causa (opzione VPN da abilitare, SMHNR di Windows da disabilitare, DoH del browser da disabilitare, IPv6 da incapsulare). Nella maggior parte dei casi, una VPN seria e aggiornata risolve il problema abilitando la sua opzione dedicata. Se continui a perdere dopo questo, la VPN è tecnicamente obsoleta — cambia. NordVPN, ExpressVPN e Surfshark abilitano la loro DNS Leak Protection per impostazione predefinita dal 2023 e superano questi test in modo affidabile.
Testa NordVPN con DNS Leak Protection garantita
0 fughe rilevate in oltre 200 sessioni di audit · 30 giorni soddisfatti o rimborsati
Continua a leggere sulla sicurezza di rete
- Test fuga DNS gratuito →Avvia la diagnosi in 30 secondi sul tuo browser attuale
- Strumento Mio IP — IP pubblico e geolocalizzazione →Verifica l'IP esposto dal tuo browser prima e dopo la VPN
- Audit VPN completo in 7 passaggi →DNS, WebRTC, IPv6, kill switch, velocità, log — metodo completo
- Verifica che la tua VPN funzioni davvero →Test rapidi per confermare la protezione
- La nostra recensione NordVPN 2026 →DNS Leak Protection spiegata
- Il nostro protocollo di test VPN →Come misuriamo fughe, velocità, sblocco
Valutazione editoriale indipendente basata su capacità di servizio documentate, audit indipendenti pubblicati e benchmark pubblici, con verifiche tramite strumenti standard (iperf3, dnsleaktest.com, browserleaks). I link commerciali recano l'attributo rel="sponsored nofollow"; una commissione di affiliazione può applicarsi senza costi aggiuntivi per il lettore e senza alcuna influenza sulla valutazione.
Corrige la fuite — chiffre tout avec NordVPN
DNS sécurisé · kill switch · Threat Protection · 30 jours remboursé
