L'icona verde nell'angolo della tua applicazione VPN significa una cosa sola: il client software è connesso al server VPN. Non dice che il tuo browser passa attraverso il tunnel. Non dice che le tue query DNS sono cifrate. Non dice che il WebRTC non sta facendo trapelare il tuo IP reale via JavaScript. Non dice che l'IPv6 non sta aggirando il tunnel direttamente verso il tuo provider. Ecco la checklist per verificarlo davvero nel 2026 — cinque minuti, cinque test, e sai esattamente a che punto sei. È il complemento espresso al nostro audit VPN completo in 7 passi per le verifiche di routine.
Test n. 1 — Il tuo IP pubblico è cambiato davvero?
Come verificare: apri lo strumento Il mio IP senza VPN e annota il tuo IP e il tuo provider. Attiva la VPN, ricarica. L'IP deve essere completamente diverso e il provider deve passare a un nome di datacenter (Tefincom, M247, Tata Communications). Se l'IP mostra lo stesso provider residenziale, il tunnel VPN non funziona — riavvia il client, cambia server e riprova.
Il test più rapido e visibile. Senza VPN, apri lo strumento Il mio IP e annota l'indirizzo visualizzato e il nome del provider (Orange, Free, SFR, Bouygues se in Francia). Per capire cosa rivela davvero il tuo indirizzo pubblico oltre alla semplice etichetta del provider, vedi il nostro approfondimento su cosa dice di te il tuo indirizzo IP. Attiva la VPN, ricarica la pagina. L'IP deve essere completamente diverso: non solo un'ultima cifra cambiata ma un intervallo del tutto nuovo. Anche il provider deve cambiare — deve mostrare un nome host di datacenter (Tefincom per NordVPN, Tata Communications, M247, Datacamp, OVH) e non più il tuo provider residenziale.
Se l'IP non si è mosso: la tua VPN non è realmente connessa, oppure sta instradando il traffico senza mascherare l'IP (caso raro legato a un proxy aziendale che neutralizza la VPN). Soluzioni in ordine di azione: riavvia il client VPN, cambia server nella lista, riprova. Se nulla cambia nemmeno dopo 3 tentativi, la tua VPN semplicemente non funziona — disinstalla, reinstalla l'ultima versione, o contatta il supporto tecnico del fornitore. Nessun altro test ha senso finché questo test n. 1 fallisce.
Test n. 2 — Il Paese rilevato corrisponde al server selezionato
Ti sei connesso a un server etichettato «Paesi Bassi» nel tuo client VPN. Ma il sito che stai navigando rileva la tua geolocalizzazione come «Germania» o un altro Paese. Non necessariamente da farsi prendere dal panico — i database di geolocalizzazione IP (MaxMind GeoIP2, IP2Location) sono a volte imprecisi fino al Paese vicino, in particolare ai confini europei. Ma se punti a un catalogo di streaming specifico per Paese, è necessario verificare sul servizio finale.
Per Netflix: vai su netflix.com senza eseguire l'accesso (o con un account pulito). Il catalogo della homepage mostra contenuti del Paese rilevato da Netflix. Se punti a Netflix US e vedi «The Office US», «Brooklyn Nine-Nine», «Parks and Recreation» in prima pagina, è buono. Se vedi produzioni francesi o europee, il Paese rilevato non è quello a cui puntavi — cambia server VPN, cancella i cookie di Netflix, riprova. Per il dettaglio della metodologia, vedi la nostra guida a Netflix US dalla Francia.
Per BBC iPlayer, France TV, RTVE, NHK: stesso principio. Una connessione che rimbalza sulla versione «internazionale» del servizio segnala che la tua VPN esce in un Paese non coperto dai diritti — prova che la geolocalizzazione rilevata non è quella attesa. Da notare: anche con un'uscita VPN perfetta, l'impronta hardware del tuo livello radio può tradirti su reti captive — vedi la nostra guida MAC spoofing su Wi-Fi pubblico per l'identificatore che la VPN non maschera.
Test n. 3 — C'è una fuga WebRTC che espone il tuo IP reale?
WebRTC (integrato in Chrome, Firefox, Edge, Safari) può esporre il tuo IP reale via JavaScript anche con una VPN attiva. Esegui il nostro strumento DNS Leak Test: se compare un IP pubblico diverso dall'uscita VPN, è una fuga WebRTC confermata. Soluzione: attiva «Block WebRTC» nelle impostazioni della tua VPN, o installa l'estensione ufficiale per browser della VPN. È la fuga silenziosa più frequente nel 2026.
Questa è la trappola n. 1 e la fuga più critica nel 2026. WebRTC è un'API di comunicazione in tempo reale integrata in tutti i browser moderni (Chrome, Firefox, Safari, Edge). Cerca di scoprire il tuo IP reale tramite i server STUN per consentire la comunicazione P2P nel browser (videochiamate Discord, condivisione schermo Google Meet, ecc.). Se la tua VPN non lo blocca esplicitamente, un sito malevolo può leggere il tuo IP reale via JavaScript in meno di 100 ms, senza alcun segnale visibile lato utente.
Esegui il nostro strumento DNS Leak Test che sonda il WebRTC nel tuo browser ed elenca tutti gli IP candidati rilevati. Tre interpretazioni possibili: (1) IP locale (192.168.x.x, 10.x.x.x, 172.16-31.x.x) — normale, è la tua rete LAN/Wi-Fi interna, non rivela nulla all'esterno; (2) IP pubblico corrispondente alla tua uscita VPN annotata al test n. 1 — buon segno, la VPN incanala il WebRTC correttamente; (3) IP pubblico non corrispondente alla tua VPN — fuga WebRTC confermata, azione immediata richiesta.
Soluzioni per efficacia: cerca nel tuo client VPN un'opzione «Block WebRTC» o «WebRTC Leak Protection» (NordVPN ce l'ha dal 2022, anche ExpressVPN), installa l'estensione ufficiale per browser della VPN che disattiva nativamente il WebRTC, o come ultima risorsa disattiva manualmente il WebRTC in Firefox about:config (variabile media.peerconnection.enabled su false) o tramite uBlock Origin su Chrome (Impostazioni → Privacy → impedire al WebRTC di rivelare l'IP locale).
Test n. 4 — DNS risolto via VPN, non via il tuo provider
Le query DNS devono passare attraverso il tunnel VPN. Altrimenti il tuo provider continua a vedere l'elenco esatto dei domini che visiti — log conservati 12 mesi in Francia secondo Hadopi 2.0, accessibili su richiesta giudiziaria. È il tipico caso d'uso di privacy della VPN che diventa ironico in caso di fuga DNS.
Test rapido: apri dnsleaktest.com e lancia un «Extended Test» (non l'insufficiente «Standard Test» — controlla ~5 resolver contro ~30 dell'Extended). Aspetta 10-20 secondi i risultati. Lo strumento elenca i server DNS che hanno effettivamente risolto le query di test. Criterio di successo: tutti i server DNS che rispondono devono appartenere alla VPN (NordVPN usa i propri resolver interni 103.86.96.X) o a un resolver pubblico riconosciuto (Cloudflare 1.1.1.1, Quad9 9.9.9.9, Google 8.8.8.8). Nessuna risposta dal tuo provider: è il criterio assoluto. Se vedi 80.10.246.X (Orange), 212.27.40.X (Free), 109.0.66.X (SFR), 194.158.122.X (Bouygues), è una fuga confermata.
Per il dettaglio tecnico delle possibili cause e delle correzioni specifiche per sistema operativo (SMHNR di Windows da disattivare, DoH del browser da disattivare, IPv6 da incanalare), vedi la nostra guida completa al test delle fughe DNS.
Test n. 5 — C'è una fuga IPv6 che aggira il tuo tunnel VPN?
Molte VPN instradano solo l'IPv4 — l'IPv6 esce direttamente verso il tuo provider senza cifratura. Visita test-ipv6.com: «No IPv6 detected» significa al sicuro. Se compare un indirizzo IPv6 corrispondente al prefisso del tuo provider, hai una fuga confermata. Soluzione: attiva «Block IPv6» o «Disable IPv6» nelle impostazioni del tuo client VPN. NordVPN supporta il tunneling IPv6 nativo dal 2024.
L'IPv6 è la trappola più dimenticata degli audit superficiali. Molte VPN instradano solo l'IPv4 nel loro tunnel cifrato; il traffico IPv6 esce direttamente verso il tuo provider senza incapsulamento. Sui siti che supportano l'IPv6 (Google, Facebook, Cloudflare ospitano gran parte di internet in dual stack IPv4+IPv6), il tuo IPv6 reale resta visibile ai siti visitati mentre il tuo IPv4 è nascosto dalla VPN. Il sito conosce quindi la tua geolocalizzazione reale nonostante la VPN attiva.
Vai su test-ipv6.com. Due esiti possibili: «No IPv6 detected» significa perfetto — IPv6 disattivato o bloccato efficacemente dalla VPN. Altrimenti viene visualizzato «Your IPv6 address: 2001:...»: verifica che questo indirizzo corrisponda al prefisso IPv6 del server VPN (prefisso diverso dal tuo provider residenziale) e non al tuo prefisso IPv6 reale. Se corrisponde al tuo provider (Orange/Free/Bouygues hanno i propri intervalli IPv6), è una fuga IPv6 confermata.
Soluzioni: se la tua VPN non gestisce nativamente l'IPv6 e presenta fughe, attiva l'opzione «Disable IPv6» o «Block IPv6» nel client VPN, oppure disattiva l'IPv6 nelle impostazioni di sistema della tua scheda di rete (Impostazioni di Windows → Rete → Scheda → Proprietà → deseleziona IPv6). Tecnicamente brutto (rinunci ai vantaggi dell'IPv6) ma funziona per bloccare la fuga. NordVPN supporta il tunneling IPv6 nativo dal 2024, ExpressVPN blocca l'IPv6 per impostazione predefinita.
Test avanzati 2026 — oltre i 5 fondamentali
Per gli utenti che vogliono andare oltre la checklist rapida, ecco quattro test complementari da eseguire una volta al trimestre o dopo qualsiasi cambiamento importante dell'infrastruttura di rete (cambio provider, rollout dual-stack IPv6, aggiornamento firmware del router). Questi test richiedono 10-15 minuti aggiuntivi ma rilevano fughe residue invisibili al controllo rapido.
Fuga WebRTC — verifica da riga di comando
Oltre al nostro strumento per browser, una verifica affidabile da riga di comando conferma l'assenza di fuga STUN a livello di sistema. Su Linux o macOS, installa un client di test WebRTC (npm install -g webrtc-leak-test) poi esegui webrtc-leak-test --stun stun.l.google.com:19302. Il comando mostra gli IP candidati riportati da WebRTC. Interpretazione: nessun IP pubblico fuori dall'uscita VPN deve comparire. Su Windows, browserleaks.com/webrtc è l'equivalente per browser più preciso — elenca gli IP candidati host, srflx e relay con il loro prefisso ASN, permettendo un tracciamento immediato della fonte. Nota: con un kill switch configurato correttamente (vedi il kill switch VPN spiegato), una fuga WebRTC è tecnicamente impossibile perché nessun traffico esce dal tunnel — una verifica complementare utile.
Fuga IPv6 — correzione per sistema operativo
Se test-ipv6.com rivela il prefisso del tuo provider, la correzione dipende dal sistema:
- Windows 10/11: Impostazioni → Rete e Internet → Wi-Fi/Ethernet → clic sulla connessione → configurazione IP → Modifica → disattiva IPv6. Alternativa PowerShell da amministratore:
Disable-NetAdapterBinding -Name "*" -ComponentID "ms_tcpip6". Verifica conGet-NetAdapterBinding -ComponentID ms_tcpip6che il binding sia disattivato su tutte le interfacce. - macOS Sonoma/Sequoia: Terminale →
networksetup -setv6off Wi-Fi(sostituisci Wi-Fi con il nome esatto dell'interfaccia elencato tramitenetworksetup -listallnetworkservices). Per ripristinare:networksetup -setv6automatic Wi-Fi. - Linux Ubuntu/Debian: modifica
/etc/sysctl.conf, aggiunginet.ipv6.conf.all.disable_ipv6 = 1poisudo sysctl -p. La disattivazione è persistente dopo il riavvio. - iOS/Android: nessuna disattivazione IPv6 nativa senza root. Soluzione: usa un client VPN che blocchi esplicitamente l'IPv6 (NordVPN, Mullvad, ProtonVPN gestiscono questo caso dal 2024).
Browser fingerprinting — correlazione VPN/impronta
Anche con VPN attiva e fughe IP/DNS/WebRTC bloccate, il tuo browser espone un'impronta unica (fuso orario, lingua, font installati, risoluzione dello schermo, plugin) che può servire al tracciamento cross-sessione. Testa su amiunique.org. Se la tua impronta è riportata come «unica tra N visitatori», un sito può riconoscerti nonostante l'IP cambiato. Mitigazione: usa la modalità privata del browser insieme alla VPN, o un browser orientato alla privacy (Brave, LibreWolf) che randomizza alcuni valori dell'impronta. Il Tor Browser resta il riferimento assoluto per neutralizzare il fingerprinting — vedi il nostro confronto Tor vs VPN per la scelta giusta in base al caso d'uso.
Aggiramento DPI — il tuo provider ispeziona il tuo traffico?
La Deep Packet Inspection (DPI) consente a un provider o a una rete aziendale di rilevare il traffico VPN da un pattern riconoscibile (handshake OpenVPN, firma WireGuard) anche cifrato, e di limitarlo o bloccarlo. Test semplice: misura la tua velocità tramite il nostro strumento di speed test senza VPN, poi con VPN in protocollo standard (OpenVPN UDP), poi con protocollo offuscato (NordVPN Obfuscated Servers, Mullvad Bridges, o WireGuard sulla porta 443). Se la velocità cala solo con OpenVPN standard ma resta corretta con il protocollo offuscato, il tuo provider probabilmente fa DPI sulle porte VPN classiche. Soluzione duratura: forza il client VPN su un protocollo offuscato o modalità stealth — particolarmente utile su reti aziendali, hotel e provider aggressivi.
Strumenti di verifica VPN 2026 — confronto rapido
Non tutti gli strumenti sono uguali. Ecco una selezione commentata degli strumenti gratuiti più accurati per controllare una VPN.
| Strumento | Tipo di test | Gratuito? | Precisione | Verdetto |
|---|---|---|---|---|
| ipleak.net | IP + DNS + WebRTC + Torrent | Sì | Molto alta | Riferimento multi-test, esegue tutto in parallelo |
| dnsleaktest.com | DNS Extended | Sì | Alta | Il più affidabile per il DNS, ma lento (15-20 s) |
| browserleaks.com | Fingerprint + WebRTC + Canvas | Sì | Molto alta | Il più dettagliato per il fingerprinting |
| test-ipv6.com | Fuga IPv6 | Sì | Alta | Specialista IPv6, punteggio su 10 |
| ipx.ac | IP + ASN + rilevamento VPN | Sì | Alta | Mostra l'ASN del datacenter, utile per confermare l'uscita VPN |
| Il nostro strumento DNS leak test | DNS + WebRTC combinati | Sì | Alta | Diagnosi in un clic in 30 s, con contesto spiegato |
| Il nostro strumento Il mio IP | IP + geolocalizzazione + provider | Sì | Molto alta | Mostra l'host del datacenter per identificare l'uscita VPN |
Raccomandazione pratica: per il controllo di routine, concatenare il nostro strumento interno (30 s) + dnsleaktest Extended (20 s) + test-ipv6 (15 s) copre la grande maggioranza delle fughe. Per un controllo approfondito, aggiungi browserleaks per il fingerprinting e ipx.ac per la conferma dell'ASN. Vedi la nostra metodologia di test completa per il protocollo passo per passo.
NordVPN — gestisce nativamente WebRTC, DNS e IPv6
Audit PwC 2023 confermato · 30 giorni soddisfatti o rimborsati · supera i test di fuga
Riepilogo — la checklist pratica in 5 minuti
Per applicare rapidamente il controllo senza saltare un test, ecco la sequenza esatta da concatenare in ordine. Ogni test richiede 30-60 secondi cumulativi.
| # | Test | Strumento | Risultato atteso |
|---|---|---|---|
| 1 | IP pubblico cambiato | strumento Il mio IP | IP completamente diverso, provider = host di datacenter |
| 2 | Paese rilevato | catalogo Netflix / BBC iPlayer | Corrisponde al server VPN scelto |
| 3 | Senza fughe WebRTC | strumento DNS Leak Test | Nessun IP pubblico rilevato fuori dal tunnel |
| 4 | DNS via VPN | DNSLeakTest.com Extended | Nessun DNS del provider residenziale |
| 5 | Nessuna fuga IPv6 | test-ipv6.com | Nessun IPv6 OPPURE IPv6 = prefisso VPN |
Se superi tutti i 5 test, la tua VPN funziona davvero — non solo nella sua icona della barra delle applicazioni. Se anche uno fallisce, identifica la causa e applica la correzione appropriata prima di continuare un uso sensibile (banking, account riservati, navigazione politica). Rifai la sequenza completa dopo ogni aggiornamento importante di sistema, browser o client VPN.
Differenza con l'audit completo in 7 passi
Questa checklist in 5 minuti è una diagnosi rapida di routine, da eseguire regolarmente per confermare che non sia avvenuta alcuna regressione silenziosa. Non copre tutti gli aspetti di una verifica approfondita: kill switch (passo 5 dell'audit completo), misurazione della perdita di velocità (passo 6) e verifica della politica no-log tramite audit indipendente (passo 7) non sono inclusi qui per ragioni di rapidità.
Per un audit annuale approfondito o in caso di seri dubbi sulla VPN usata, passa al nostro audit VPN completo in 7 passi che include tutti i punti. Per la verifica di routine (ad esempio, dopo un aggiornamento di Windows, dopo l'installazione di un nuovo browser, o trimestralmente), questi 5 test rapidi bastano ampiamente.
Cosa ricordare
L'icona verde del client VPN è un indicatore di connessione software, non una protezione efficace. Cinque test rapidi — IP pubblico, Paese, WebRTC, DNS, IPv6 — bastano a confermare che il tuo traffico, il tuo DNS e le API del tuo browser passano davvero attraverso il tunnel cifrato, senza aggiramenti silenziosi lato browser o sistema operativo.
Da rifare dopo ogni aggiornamento del sistema operativo (Windows, macOS), della VPN (nuovo client) o del browser (Firefox 125 → 126 ad esempio) — perché le regressioni silenziose esistono e nessun segnale visibile te lo dirà. Se cerchi un audit più approfondito (kill switch, velocità, log), vedi il nostro audit completo in 7 passi. Per il controllo di routine regolare, questi cinque test bastano ampiamente e garantiscono che il tuo strumento di privacy stia facendo il suo lavoro.
NordVPN — supera i 5 test di fuga in modo affidabile
Audit indipendente PwC 2023 + Deloitte 2024 · 30 giorni soddisfatti o rimborsati
Continua a leggere
- Strumento di test fughe DNS + WebRTC →Diagnosi in 30 secondi nel tuo browser
- Strumento Il mio IP — IP pubblico e geolocalizzazione →Controlla cosa i siti vedono di te
- Audit VPN completo in 7 passi →Versione approfondita con kill switch, velocità, log
- Guida completa al test delle fughe DNS →Possibili cause e correzioni per sistema operativo
- Netflix US dalla Francia →Esempio concreto di verifica del Paese rilevato
- La nostra recensione NordVPN 2026 →Test + sblocco + velocità
Valutazione editoriale indipendente basata su capacità di servizio documentate, audit indipendenti pubblicati e benchmark pubblici, con controlli tramite strumenti standard (iperf3, dnsleaktest.com, browserleaks). I link commerciali riportano l'attributo rel="sponsored nofollow"; può essere applicata una commissione di affiliazione senza costi aggiuntivi per chi legge e senza alcuna influenza sulla valutazione.
Corrige la fuite — chiffre tout avec NordVPN
DNS sécurisé · kill switch · Threat Protection · 30 jours remboursé
