Strumenti per la privacy nel 2026: il toolkit completo per categoria

Perché ti serve un toolkit e non un solo strumento

Ogni anno qualcuno chiede: «mi basta una VPN?» La risposta è no — non perché le VPN siano cattive, ma perché le minacce alla privacy online sono diverse e una VPN ne affronta solo una.

I tuoi dati fuoriescono contemporaneamente attraverso più vettori: il tuo provider vede le tue query DNS, gli inserzionisti creano un'impronta del tuo browser, la tua casella di posta viene scansionata per il targeting, le tue password vengono riutilizzate su database violati e la tua cronologia di ricerca costruisce un profilo di te. Ognuno di questi richiede uno strumento diverso.

La buona notizia: costruire uno stack solido per la privacy non richiede competenze tecniche e non deve costare molto. Questa guida passa in rassegna 8 categorie, ciò da cui ognuna protegge realmente e quali strumenti meritano il tuo tempo nel 2026.

1. VPN — il primo mattone

Una VPN cifra tutto il traffico tra il tuo dispositivo e il server VPN, sostituendo il tuo IP reale con l'IP del server. Ciò che impedisce davvero: che il tuo provider registri quali siti visiti, che gli operatori del Wi-Fi pubblico intercettino il tuo traffico e che le reti pubblicitarie basate sull'IP correlino la tua identità tra i vari siti.

Ciò che non impedisce: il fingerprinting del browser, il tracciamento degli account a cui hai effettuato l'accesso (Google, Meta ti vedono indipendentemente dall'IP) o gli attacchi basati sul riutilizzo delle password.

Il requisito nel 2026: scegli un provider con un audit recente e pubblicato da una società indipendente (PwC, Deloitte, Cure53). Un'affermazione «no-log» non sottoposta ad audit è marketing. La data dell'audit conta — il 2020 è obsoleto.

Consigli:

• Proton VPN — giurisdizione svizzera, open source, audit SEC Consult 2024. La scelta privacy-first più solida, soprattutto per giornalisti o utenti in regioni con forte sorveglianza.
• NordVPN — giurisdizione Panama, audit Deloitte 2024, oltre 6.000 server. Il miglior equilibrio tra velocità e prezzo (~3 €/mese sul piano biennale), affidabile per lo streaming.
• Surfshark — Paesi Bassi, audit Deloitte 2023, dispositivi illimitati. Ottimo rapporto qualità-prezzo, in particolare se hai molti dispositivi.

2. Browser privato + anti-tracciamento

Il tuo browser è uno dei componenti più permeabili della tua configurazione. Anche con una VPN, il fingerprinting del browser — la combinazione di risoluzione dello schermo, font installati, rendering Canvas, profilo WebGL, fuso orario e lingua — può identificarti in modo univoco tra i vari siti senza alcun cookie.

Ciò che impedisce una configurazione del browser rafforzata: le richieste dei tracker di terze parti (impedisce alle reti pubblicitarie di vedere quali siti visiti), il fingerprinting (rende il tuo browser anonimo) e il tracciamento tramite cookie tra siti.

Consigli:

• Firefox + uBlock Origin — la combinazione più compatibile. Attiva la protezione dal fingerprinting «rigorosa» in about:config (privacy.resistFingerprinting = true) e usa Multi-Account Containers (add-on ufficiale) per isolare siti come Google e Facebook nei loro contenitori di cookie. Nessun dato inviato a Google.
• Brave — basato su Chromium con Shields integrati (blocca pubblicità, tracker e fingerprinting in modo nativo). Più facile da configurare di Firefox per gli utenti non tecnici, include una finestra Tor per la navigazione ad alta sensibilità.
• Tor Browser — l'anonimato più forte disponibile (onion routing a tre relay), ma 10-20 volte più lento. Usalo per sessioni specifiche ad alto rischio, non come browser di tutti i giorni.

Il minimo: uBlock Origin in «hard mode» blocca la grande maggioranza dei tracker di terze parti su qualsiasi browser.

3. Password manager — lo strumento più sottovalutato

Il credential stuffing (gli attaccanti testano coppie nome utente/password provenienti da violazioni precedenti) è oggi uno dei vettori di attacco iniziali più comuni. Se riutilizzi la stessa password su più servizi — e la maggior parte delle persone lo fa — una sola violazione può esporre tutti i tuoi account.

Un password manager genera e memorizza password uniche e robuste per ogni sito. Tu ricordi una sola password principale; al resto pensa il manager.

Consigli:

• NordPass — audit Cure53 2024, architettura zero-knowledge, disponibile su tutte le piattaforme. Si integra in modo pulito con l'ecosistema Nord se usi già NordVPN.
• Bitwarden — open source, sottoposto ad audit da Cure53, il piano gratuito è pienamente funzionale. L'opzione più trasparente; self-hosting disponibile tramite Vaultwarden.
• 1Password — le funzioni più solide per aziende/famiglie, interfaccia eccellente. Proprietario ma sottoposto regolarmente ad audit.

4. Email cifrata

L'email standard (Gmail, Outlook, Yahoo) trasmette i messaggi in chiaro tra i server — leggibili dal provider e disponibili alle agenzie di intelligence tramite procedura legale. Gmail scansiona esplicitamente il contenuto delle email per alimentare i suoi sistemi di targeting pubblicitario.

L'email cifrata end-to-end significa che solo tu e il tuo destinatario potete leggere il messaggio — il provider no.

Consigli:

• Proton Mail (Svizzera) — fondatori del CERN/MIT, E2E predefinito tra utenti Proton, architettura zero-knowledge. Piano gratuito: 1 GB, un indirizzo. A pagamento da 4 €/mese. Il passaggio più facile da Gmail — l'Assistente di migrazione importa la tua casella di posta automaticamente.
• Tutanota — giurisdizione tedesca (GDPR), E2E open source, app mobili molto pulite. Piano gratuito disponibile; calendario incluso nei piani a pagamento.

Limite onesto: la cifratura E2E funziona solo quando sia il mittente sia il destinatario usano un servizio cifrato. Quando scrivi a un utente Gmail, il messaggio è cifrato in transito (TLS) ma non end-to-end. Questo copre la minaccia «il mio provider legge le mie email», non la minaccia «il provider del destinatario legge la sua casella di posta».

5. Messaggistica end-to-end

Gli SMS e le normali chiamate telefoniche non sono cifrati — leggibili dal tuo operatore e, in molti paesi, dalle agenzie governative. La maggior parte delle app di messaggistica (iMessage, WhatsApp) cifra in transito ma conserva i metadati (con chi parli, quando, con quale frequenza) che possono essere rivelatori quanto il contenuto.

Consigli:

• Signal — lo standard di riferimento. E2E predefinito per tutti i messaggi, le chiamate e le chat di gruppo. Open source, sottoposto ad audit da Cure53. Memorizza metadati minimi; i messaggi scompaiono dal dispositivo se attivi i messaggi a scomparsa. Gratuito.
• Briar — per scenari estremi: funziona tramite Tor, Bluetooth o Wi-Fi diretto senza infrastruttura internet. Rilevante per giornalisti in contesti repressivi.

Per gli utenti iMessage: l'E2E all'interno dell'ecosistema Apple è autentico, ma solo da iMessage a iMessage (bolle blu). Il fallback su SMS (bolle verdi) non è cifrato. Apple conserva alcuni metadati. Passa a Signal come app di messaggistica predefinita.

6. Motore di ricerca privato

Google, Bing e Yahoo costruiscono profili dettagliati a partire dalle tue query di ricerca — ogni domanda che hai mai digitato. Questi profili vengono usati per il targeting pubblicitario e condivisi con i data broker. Le query di ricerca sono spesso i dati più sensibili che produci: domande mediche, preoccupazioni finanziarie, problemi sentimentali.

Consigli:

• DuckDuckGo — nessun tracciamento, nessuna personalizzazione, con sede negli USA. Solido per le ricerche generiche; i risultati sono migliorati significativamente nel 2024-2026.
• Startpage — restituisce i risultati di Google senza passare la tua identità a Google. Se ti serve l'indice di Google senza il tracciamento, è l'opzione migliore.
• Brave Search — indice indipendente (non passato tramite Google), nessun tracciamento, integrato nel browser Brave.

Suggerimento per la migrazione: imposta il tuo motore di ricerca predefinito in Firefox su DuckDuckGo o Brave Search tramite Impostazioni > Ricerca > Motore di ricerca predefinito. Bastano 30 secondi.

7. DNS cifrato

Quando digiti una URL, il tuo dispositivo chiede a un server DNS «qual è l'indirizzo IP di questo dominio?». Per impostazione predefinita, questa query va ai server DNS del tuo provider — non cifrata, registrata e (in molti paesi) conservata per anni. Il DNS è anche il vettore che i provider usano per applicare il blocco dei contenuti imposto dai governi.

DNS over HTTPS (DoH) cifra queste query all'interno del normale traffico HTTPS, rendendole invisibili al tuo provider.

Consigli:

• NextDNS — piano gratuito: 300.000 query/mese (sufficienti per la maggior parte degli utenti). Liste di filtraggio configurabili (blocca reti pubblicitarie, domini malware, tracker noti). Funziona come resolver DoH in Firefox, Chrome, Edge o a livello di sistema. Guida alla configurazione passo passo per browser.
• Quad9 — no profit, nessun logging, blocca i domini malware per impostazione predefinita. L'opzione più semplice senza configurazione.
• Cloudflare 1.1.1.1 — tra i resolver più veloci a livello globale, orientato alla privacy (query cancellate entro 24 ore secondo la loro politica pubblicata). Facile da configurare a livello di sistema su macOS, Windows, iOS, Android.

Nota: il DNS cifrato completa una VPN ma non la sostituisce. Una VPN cifra tutto il traffico; il DoH cifra solo le query DNS. Usa entrambi.

8. Anti-tracciamento oltre il browser

I tracker del browser sono un livello. Altri da affrontare:

Pixel di tracciamento email: molte email di marketing incorporano immagini pixel 1x1 invisibili che avvisano il mittente quando apri un'email (e da dove). Strumenti: Hey Mail blocca tutti i pixel in modo nativo; ProtonMail blocca le immagini remote per impostazione predefinita; in Gmail, disattiva «carica automaticamente le immagini esterne» nelle impostazioni.

Opt-out dai data broker: aziende come Acxiom, LexisNexis, Spokeo e decine di altre detengono profili dettagliati sulla maggior parte degli adulti statunitensi ed europei — cronologia degli indirizzi, stime di reddito, parenti, attività online. L'opt-out manuale è laborioso (ogni broker ha la sua procedura). Servizi come Incogni (il servizio di rimozione dati di Surfshark) o DeleteMe lo automatizzano. Vale la pena farlo una volta all'anno.

Permessi delle app mobili: ogni app con accesso alla posizione è potenzialmente un data broker. Controlla le tue app: su iOS, Impostazioni > Privacy > Localizzazione; su Android, Impostazioni > App > Autorizzazioni. Revoca l'accesso alla posizione a ogni app che non ne ha realmente bisogno.

Mettere tutto insieme: lo stack per la privacy del 2026

Totale realistico: 3-12 €/mese a seconda che tu usi i piani a pagamento. È meno di un caffè al mese, a fronte dei costi diretti potenzialmente significativi del furto d'identità.

La VPN è l'unico strumento a pagamento per cui vale la pena prevedere un budget. Tutto il resto di questo elenco ha un piano gratuito davvero funzionale. Inizia con Proton VPN o NordVPN, aggiungi Firefox + uBlock Origin, attiva il DoH nel tuo browser e avrai coperto l'80 % che conta di più.

Riferimento rapido

Questa sezione riassume i punti chiave di questo articolo.

Sulla perdita di velocità VPN: l'overhead dipende fortemente da protocollo, provider e percorso — verificalo sempre sulla tua connessione anziché affidarti a cifre generiche.