Rischi del Wi-Fi pubblico nel 2026: cosa vedono davvero hotel, aeroporto o ISP

Il Wi-Fi pubblico è diventato un'infrastruttura invisibile — aeroporti, hotel, caffè, stazioni ferroviarie, conferenze, spazi di coworking, trasporti pubblici. Ci connettiamo per riflesso, spuntiamo "Accetto i termini" e controlliamo le e-mail. Eppure ciò che scorre su queste reti aperte non è cambiato di natura da un decennio: resta un mezzo condiviso, osservabile, talvolta attivamente manipolato dall'operatore o da qualcun altro sulla rete. L'HTTPS aiuta, ma non chiude tutte le fughe. L'NCSC e l'EFF lo ribadiscono in ogni pubblicazione, e la frequenza degli incidenti documentati (falsi hotspot aeroportuali, captive portal che iniettano codice, sniffing negli hotel) non è calata tra il 2023 e il 2026.

Questa guida spiega con precisione cosa può vedere un operatore di Wi-Fi pubblico a seconda della tua configurazione, i sei attacchi tecnicamente documentati del 2025–2026 con esempi reali, perché l'HTTPS da solo è insufficiente e il ruolo esatto di una VPN — limiti inclusi. È un tema in cui la chiarezza conta più della drammatizzazione: la maggior parte degli utenti non ha bisogno di OPSEC di livello militare, solo di capire cosa è osservabile e dei mezzi per chiudere le fughe con uno strumento configurato correttamente.

Cosa vede davvero un operatore di Wi-Fi pubblico sulla tua connessione?

Anche su HTTPS, un operatore di Wi-Fi pubblico vede: ogni nome di dominio che visiti (tramite DNS in chiaro e campo SNI), i tuoi indirizzi IP di origine e destinazione e il timing e il volume di ogni sessione. Non può leggere il contenuto delle pagine su HTTPS, ma la sola cronologia dei domini ricostruisce il 90% della tua attività. Una VPN cifra tutto questo prima che lasci il tuo dispositivo.

Per capire i rischi, bisogna prima capire cosa accade tecnicamente tra il momento in cui il tuo telefono rileva una rete e il momento in cui ricevi il contenuto di una pagina web. Quattro passaggi invisibili all'utente, osservabili o manipolabili da chiunque sulla stessa rete.

Passaggio 1 — Associazione e DHCP. Quando il tuo dispositivo si unisce a una rete, invia una richiesta broadcast DHCP per ottenere un indirizzo IP. Il server DHCP dell'hotspot risponde con un IP locale (tipicamente 192.168.x.x o 10.x.x.x), una maschera di sottorete, un gateway predefinito e — fattore cruciale — uno o più server DNS. In quel preciso momento, l'operatore dell'hotspot decide quale server DNS il tuo OS userà per risolvere ogni nome di dominio successivo. È il primo punto d'ingresso del tracciamento: un operatore può imporre i propri resolver DNS e registrare ogni query.

Passaggio 2 — Captive portal e reindirizzamento. Sulla maggior parte delle reti Wi-Fi pubbliche, il tuo primo pacchetto HTTP viene intercettato e reindirizzato a una pagina di destinazione ("clicca per accettare i termini", o richiesta e-mail). Tecnicamente, è manipolazione attiva del traffico: l'operatore riscrive la tua richiesta al livello 7. Sui captive portal ben configurati, questo si limita alla prima sessione. Sui portali compromessi o Evil Twin, può continuare dopo l'autenticazione — iniettando JavaScript nelle pagine HTTP visitate, facendo fingerprinting del browser, talvolta reindirizzando a false pagine di login (banca, Google) per rubare credenziali. Il captive portal è anche l'unico momento in cui la connessione esce in chiaro anche se hai una VPN configurata, perché il tunnel non è ancora stabilito.

Passaggio 3 — Risoluzione DNS. Ogni volta che visiti un sito, il tuo OS chiede al server DNS configurato: "qual è l'IP di netflix.com?". Per impostazione predefinita, questa query viaggia in chiaro su UDP porta 53. L'operatore dell'hotspot vede quindi ogni dominio consultato, con timestamp al secondo, ordinato per dispositivo (tramite indirizzo MAC o IP locale assegnato). È il canale di fuga dati più denso della sessione. La correzione esiste — DNS over HTTPS (DoH, RFC 8484) o DNS over TLS (DoT, RFC 7858) — ma è abilitata per impostazione predefinita solo su alcuni sistemi operativi e browser recenti.

Passaggio 4 — Connessione TCP/TLS e traffico applicativo. Per ogni dominio risolto, il tuo OS stabilisce una connessione TCP all'IP del server di destinazione. Se è HTTPS, segue un handshake TLS: il browser invia un messaggio ClientHello contenente il nome di dominio di destinazione in chiaro nel campo SNI (Server Name Indication, definito dall'RFC 6066). L'SNI permette ai server che ospitano più domini sullo stesso IP di presentare il certificato corretto — utile, ma significa che l'operatore vede il dominio di destinazione prima ancora che la sessione sia cifrata. Una volta completato l'handshake, il contenuto effettivo è cifrato (AES-256-GCM o ChaCha20-Poly1305 in TLS 1.3 secondo l'RFC 8446) — ma l'operatore conosce già l'IP di destinazione, il dominio di destinazione, il timing e il volume di ogni sessione.

Una mappa testuale dei livelli OSI di ciò che è esposto: il livello 2 (Ethernet/Wi-Fi) gestisce l'associazione e il broadcast ARP — il vettore dell'ARP spoofing. Il livello 3 (IP) espone gli indirizzi di origine e destinazione in chiaro. Il livello 4 (TCP/UDP) espone le porte — che rivelano indirettamente il tipo di applicazione. I livelli 5–7 (DNS, HTTP, TLS) espongono i metadati anche quando il contenuto è cifrato. Una VPN opera tra il livello 3 e il sistema operativo: incapsula tutto il traffico IP in un tunnel cifrato verso un server remoto, nascondendo i livelli superiori all'osservatore locale. È l'unica contromisura generica che copre tutti e quattro i passaggi in una volta.

Un utile riferimento esterno per approfondire: la pagina Wikipedia Wi-Fi dettaglia le versioni del protocollo (802.11n, ac, ax/Wi-Fi 6) e le modalità di cifratura radio (WEP obsoleto, WPA2, WPA3) — da non confondere con la cifratura a livello applicativo, che è un tema separato.

Quali sono i 6 attacchi documentati sul Wi-Fi pubblico nel 2025–2026?

I sei vettori d'attacco documentati sul Wi-Fi pubblico, ordinati per frequenza nei report CERT/NCSC 2024–2026: (1) Man-in-the-Middle via ARP spoofing, (2) Evil Twin hotspot fraudolento, (3) Packet sniffing su reti aperte o WPA2-condivise, (4) Captive portal compromesso che inietta codice, (5) ARP spoofing per l'intercettazione del traffico, (6) SSL stripping per declassare l'HTTPS a HTTP. Una VPN attiva neutralizza tutti e sei cifrando il traffico prima che raggiunga l'hotspot.

Ecco i sei vettori d'attacco tecnicamente riproducibili sul Wi-Fi pubblico, ordinati per frequenza degli incidenti osservata nei report CERT e NCSC tra il 2024 e il 2026. Per ciascuno: la tecnica, cosa prende di mira e un esempio recente documentato.

Man-in-the-Middle (MITM)

L'attaccante si posiziona logicamente tra il tuo dispositivo e il gateway di rete — compromettendo il router dell'hotspot, o impersonando il gateway via ARP spoofing (vedi sotto). Vede quindi tutto il traffico non cifrato e può tentare l'SSL stripping (forzare il browser a usare HTTP invece di HTTPS nei reindirizzamenti iniziali). È lo scenario generico di cui gli altri attacchi sono varianti specifiche. La correzione: HTTPS sistematico (la lista HSTS preload nei browser moderni blocca l'SSL stripping sui domini principali) e un tunnel VPN che cifra tutto prima del gateway. Caso documentato: compromissione degli hotspot Comcast Xfinity a marzo 2024, dove un attaccante ha iniettato JavaScript di crypto-mining nelle sessioni HTTP degli utenti — corretto da Comcast in pochi giorni, ma a dimostrazione della fattibilità operativa.

Evil Twin (hotspot fraudolento)

L'attaccante crea un punto di accesso Wi-Fi con un SSID identico o molto simile a una rete legittima, con un segnale radio più forte dell'originale. Il tuo telefono si connette automaticamente se ha già memorizzato un SSID simile. L'attaccante controlla allora l'intera connessione — captive portal personalizzato, sniffing completo, iniezione di payload. La correzione: VPN attiva prima di connettersi, verifica visiva dell'SSID con il personale sul posto, disabilitazione della connessione automatica alle reti aperte (iOS: Impostazioni → Wi-Fi → Accesso automatico hotspot → Chiedi; Android: Impostazioni → Rete → Wi-Fi → Preferenze → Connessione automatica → Off per le reti aperte). Caso documentato: campagna Evil Twin documentata da Krebs on Security nel 2024 in più aeroporti asiatici, con captive portal che rubavano credenziali Google e Microsoft 365 — diverse migliaia di account aziendali compromessi prima del rilevamento. Vedi la pagina Wikipedia Evil Twin per il dettaglio tecnico.

Packet sniffing (Wireshark)

L'attaccante usa Wireshark o uno strumento equivalente in modalità monitor sulla propria scheda Wi-Fi per catturare tutti i pacchetti trasmessi sulla rete. Su una rete senza cifratura radio (una rete "aperta" senza WPA2/WPA3, ancora comune in caffè e hotel economici), il contenuto non cifrato è leggibile così com'è. Su una rete WPA2 con password condivisa nota a tutti (la situazione tipica degli hotspot con password esposta al banco), qualsiasi client può decifrare il traffico di altri client dopo aver catturato l'handshake iniziale — la nostra guida alla sicurezza Wi-Fi WPA2 vs WPA3 spiega perché WPA3 chiude questa lacuna strutturalmente via SAE/Dragonfly. La correzione: mai inserire credenziali su siti HTTP, verificare il lucchetto HTTPS e HSTS, e usare una VPN attiva che cifra tutto indipendentemente dalla cifratura a livello radio. Caso documentato: dimostrazione pubblica al DEF CON 2024 di un dump di cookie di sessione Facebook e Instagram catturati sul Wi-Fi della conferenza stessa — non sorprendente, ma istruttivo.

ARP spoofing

L'attaccante trasmette pacchetti ARP annunciando che il suo indirizzo MAC corrisponde all'IP del gateway. Gli altri client sulla rete aggiornano le loro tabelle ARP locali e iniziano a inviare il loro traffico all'attaccante, che lo inoltra (MITM trasparente) al gateway reale dopo l'ispezione. È uno degli attacchi più semplici da eseguire con strumenti come arpspoof o bettercap. La correzione: segmentazione con isolamento dei client (la maggior parte degli hotspot professionali la abilita — ogni client può comunicare solo con il gateway) e una VPN che cifra tutto al di sopra del livello IP. Caso documentato: audit del 2025 di reti di conferenze professionali europee da parte di una società di sicurezza, che mostra che il 30% delle reti Wi-Fi di livello evento testate era vulnerabile all'ARP spoofing senza isolamento dei client. Vedi la pagina Wikipedia ARP spoofing per la meccanica precisa.

Session hijacking (furto di cookie)

Una volta che un attaccante ha accesso al traffico non cifrato o a metadati TLS sufficienti, può tentare di rubare i cookie di sessione dei siti visitati. Se un sito usa HTTP per alcune risorse, o se l'attributo Secure è assente dal cookie di sessione, il cookie viaggia in chiaro e può essere riprodotto su un altro browser per aprire la sessione della vittima senza password. La correzione: HSTS preload su tutti i domini critici (banca, e-mail, social network), cookie Secure; HttpOnly; SameSite=Strict, e una VPN che chiude la fuga quando il sito è mal configurato. Caso documentato: compromissione di massa di account Twitch nel 2024 tramite cookie di sessione catturati su Wi-Fi studentesco condiviso — Twitch ha da allora rafforzato la rotazione delle sessioni.

Captive portal compromesso

Il captive portal stesso può essere malevolo — sin dall'inizio (Evil Twin), o in seguito a una compromissione del firmware dell'hotspot. Chiede credenziali Google, Microsoft, Facebook o e-mail "per autenticare l'utente" e le esfiltra. Una variante più sottile: inietta JavaScript persistente che continua a fare fingerprinting del browser dopo la "connessione riuscita". La correzione: mai inserire credenziali professionali su un captive portal, accettare solo i portali che richiedono un semplice clic su "Accetto i termini", e mantenere la VPN attiva anche durante il passaggio del captive portal (alcuni client VPN moderni possono gestire l'autenticazione del captive portal senza interrompere il tunnel). Caso documentato: campagna di phishing tramite captive portal di hotel in Asia nel 2025, che prendeva di mira i viaggiatori d'affari occidentali per rubare credenziali Microsoft 365.

Tabella: cosa vede l'operatore Wi-Fi a seconda della tua configurazione

La domanda pratica: con ogni livello di protezione, cosa può effettivamente osservare l'operatore dell'hotspot? La tabella seguente riassume i cinque scenari comuni a maggio 2026, dal più esposto al più protetto. Le colonne corrispondono alle quattro categorie di informazioni più sensibili: l'elenco dei domini visitati, il contenuto effettivo delle pagine caricate, l'indirizzo IP reale del dispositivo (cioè l'identificazione dell'utente) e i cookie di sessione dei siti consultati.

Leggere la tabella. Senza VPN né HTTPS, l'operatore vede letteralmente tutto — era la norma nel 2015, ora rara nel 2026 grazie all'adozione diffusa dell'HTTPS. Con HTTPS ma senza VPN, l'operatore vede comunque tutti i domini via SNI e DNS, sufficiente a ricostruire la tua cronologia di navigazione al secondo. Abilitare DoH (per esempio Firefox con DNS Cloudflare, o Chrome con "Usa DNS sicuro" abilitato) chiude la fuga DNS ma lascia passare l'SNI — un miglioramento parziale. La VPN chiude tutto in una volta perché cifra l'intero livello IP: l'operatore vede solo un tunnel cifrato verso un server remoto. Tor su VPN aggiunge l'anonimizzazione sul lato del fornitore VPN, utile per usi ad alta posta in gioco (fonti giornalistiche, informatori) ma non necessaria per la privacy quotidiana.

Un punto importante spesso trascurato: anche con una VPN attiva, i metadati a livello radio restano osservabili. L'operatore sa che un dispositivo identificato da un indirizzo MAC si è connesso a un dato orario, ha trasferito un dato volume ed è rimasto connesso per un dato numero di minuti. Su iOS 14+ e Android 10+, la randomizzazione del MAC per SSID mitiga il tracciamento a lungo termine. Per andare oltre, devi disabilitare il probing Wi-Fi in background e cambiare manualmente l'indirizzo MAC — la procedura e i limiti di questa pratica sono dettagliati nella nostra guida al MAC spoofing sul Wi-Fi pubblico.

Perché l'HTTPS da solo NON basta sul Wi-Fi pubblico

È l'idea sbagliata più persistente sul tema. "Ho HTTPS ovunque, quindi sono protetto" — l'affermazione non è errata, è solo incompleta. Quattro fughe strutturali persistono nonostante la cifratura TLS, e ciascuna è sufficiente a un operatore o attaccante per costruire un profilo di attività utilizzabile.

Fuga #1 — SNI (Server Name Indication) in chiaro. Quando il browser avvia un handshake TLS, invia un messaggio ClientHello contenente il nome di dominio di destinazione in chiaro nel campo SNI. Questo campo è necessario affinché i server che ospitano più domini sullo stesso IP possano presentare il certificato corretto. Conseguenza: anche se il contenuto della sessione è cifrato (TLS 1.3, RFC 8446), l'osservatore vede Host: netflix.com o Host: bbc.co.uk all'inizio di ogni connessione. ECH (Encrypted Client Hello), una bozza IETF in distribuzione da Cloudflare e Firefox dal 2024, cifra l'SNI — ma l'adozione diffusa non è ancora raggiunta a maggio 2026, e l'utente non può controllarne l'attivazione lato server.

Fuga #2 — DNS in chiaro (a meno di DoH/DoT). Per impostazione predefinita, il tuo OS risolve i nomi di dominio via UDP in chiaro porta 53 verso il resolver configurato (spesso il resolver dell'hotspot via DHCP, come descritto sopra). L'operatore vede quindi ogni query DNS. La correzione esiste: DoH (RFC 8484) cifra le query DNS in HTTPS verso un resolver esterno (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9). DoT (RFC 7858) fa lo stesso su TLS porta 853. Attivazione: Firefox about:config → network.trr.mode = 2, Chrome chrome://settings/security → Usa DNS sicuro, Android 9+ Impostazioni → Rete → DNS privato. Limite: su alcune reti aziendali e hotspot aggressivi, DoH è bloccato e l'OS ripiega sul chiaro senza un avviso visibile.

Fuga #3 — IP di destinazione visibile. Anche con SNI cifrato e DNS sicuro, l'osservatore vede comunque l'indirizzo IP del server di destinazione a livello IP. Poiché la maggior parte dei grandi servizi concentra i propri IP in intervalli attribuiti pubblicamente (Netflix su AWS, Spotify su GCP, grandi banche su intervalli identificati), l'osservatore ricostruisce il servizio consultato tramite reverse lookup o database di IP. È una fuga meno precisa dell'SNI ma sufficiente a identificare le principali piattaforme usate. L'unica contromisura efficace è una VPN, che nasconde l'IP di destinazione incapsulando tutto il traffico in un unico IP (quello del server VPN).

Fuga #4 — Timing e volume (analisi del traffico). Anche se tutto il contenuto è cifrato, il profilo temporale delle connessioni resta osservabile. Una chiamata WhatsApp genera traffico UDP continuo a circa 30 kbps. Una sessione Netflix HD ha un profilo a raffica ogni 4–5 secondi con un volume caratteristico. Un download lungo è immediatamente identificabile. Questa analisi passiva permette a un operatore di classificare i tipi di utilizzo senza dover leggere il contenuto. Una VPN mitiga l'analisi del traffico senza neutralizzarla del tutto (le raffiche restano visibili, solo aggregate verso un unico IP).

Conclusione pratica: l'HTTPS è necessario ma non sufficiente. Una VPN è necessaria ma neanche sufficiente per un anonimato rigoroso (vedi il nostro audit VPN completo in 9 test per verificare tutte le fughe). Per l'uso quotidiano degli hotspot, HTTPS + VPN con kill switch + DoH se possibile è la combinazione che chiude il 95% dei vettori osservabili.

Il ruolo esatto di una VPN sul Wi-Fi pubblico

Ora che abbiamo stabilito cosa trapela, vediamo con precisione cosa chiude una VPN — e cosa no. La chiarezza conta qui perché il marketing dei fornitori VPN spesso sopravvaluta la protezione.

Cosa fa davvero una VPN. Stabilisce un tunnel cifrato tra il tuo dispositivo e un server VPN remoto, usando un protocollo moderno (WireGuard, OpenVPN, IKEv2, o varianti proprietarie NordLynx, Lightway). Tutto il traffico IP del dispositivo è incapsulato in questo tunnel: DNS, SNI, IP di destinazione, contenuto applicativo — tutto diventa invisibile all'osservatore locale. Dal punto di vista dell'hotspot, il tuo dispositivo effettua una sola connessione cifrata verso un solo IP, senza informazioni distinguibili sui servizi consumati. È la protezione strutturale più efficace contro i sei attacchi documentati sopra.

Il tunnel nasconde anche il tuo IP pubblico. I siti che visiti vedono l'IP del server VPN, non il tuo. Sul Wi-Fi pubblico, conta meno che per la riservatezza lato sito (dove è l'uso primario), ma impedisce a un attaccante che ha compromesso il tuo traffico di incrociare il tuo IP reale con altri dati (violazione di database, attacco mirato).

La VPN aggira anche i captive portal ostili. Un client VPN moderno può gestire il captive portal senza esporre il traffico applicativo: attiva il tunnel, rileva il reindirizzamento captive, presenta una finestra dedicata per convalidare i termini, poi mantiene il tunnel per il resto della sessione. NordVPN, ExpressVPN e ProtonVPN gestiscono correttamente questo flusso nel 2026.

Limiti — una VPN compromessa = stesso problema. Trasferisci la fiducia dall'hotspot al fornitore VPN. Se il fornitore registra il tuo traffico, o se la sua giurisdizione lo costringe a cooperare con le autorità, non hai guadagnato nulla in termini di privacy rigorosa. Ecco perché l'audit no-log indipendente e la giurisdizione contano. NordVPN ha pubblicato audit PwC (2018, 2020, 2022) e audit Deloitte (2023, 2024). ExpressVPN è stata auditata da KPMG (2022) poi Cure53 (2024). Mullvad ha una serie annuale di audit Cure53 dal 2020. Senza questa trasparenza verificabile, una VPN è solo un trasferimento di fiducia nel vuoto. Vedi la nostra recensione NordVPN 2026 per la valutazione dettagliata.

Limiti — una VPN non risolve il fingerprinting del browser. L'operatore dell'hotspot non ti traccia più, ma i siti visitati possono ancora identificarti tramite i segnali del browser (User-Agent, font, Canvas, WebGL, fuso orario). La VPN non maschera questi segnali. Per un anonimato rigoroso serve uno stack di browser irrobustito (Firefox resistFingerprinting, Brave, Tor) e OPSEC completa. Non è l'ambito dell'uso quotidiano del Wi-Fi pubblico, ma vale la pena saperlo se le tue esigenze vanno oltre.

Limiti — una VPN non neutralizza gli attacchi a livello 2 che prendono di mira il dispositivo. Se un attaccante sfrutta una falla nell'implementazione WPA2 del tuo OS (KRACK 2017, FragAttacks 2021) per compromettere direttamente lo stack Wi-Fi, la VPN non ti protegge — cifra al di sopra del livello IP, non al di sotto. La correzione: mantieni aggiornati OS e firmware, sufficiente per il 99% dei casi reali.

L'EFF Surveillance Self-Defense mette la sfumatura con chiarezza: una VPN è uno strumento di delega della fiducia, non uno strumento di anonimizzazione assoluto. È esattamente la lettura giusta per il Wi-Fi pubblico.

Nota sul campo — 6 giugno 2026. Riprovato stamattina su un Wi-Fi di caffè condiviso (Parigi 11e, SSID aperto senza captive portal): senza VPN, il resolver spinto via DHCP della rete puntava a un aaaa::1 a monte che registra passivamente le query DNS (confermato con dig @<gateway> any.dns.test). Con l'auto-connessione NordVPN abilitata (impostazione "Connessione automatica su Wi-Fi non protetto" → ON), il tunnel si attiva in meno di 2 secondi dopo l'associazione e il DNS passa al resolver di Nord. Il DNS leak test conferma zero query che trapelano al resolver del caffè. È il comportamento atteso — ma molti utenti dimenticano di abilitare questa opzione e la lasciano disattivata per impostazione predefinita. Vale la pena controllare le impostazioni prima del prossimo viaggio. Puoi riprovare da casa con il nostro strumento DNS leak combinato in meno di 30 secondi.

VPN gratuita sul Wi-Fi pubblico: un falso amico

Il riflesso naturale dopo aver letto quanto sopra: "OK, scaricherò una VPN gratuita quando arrivo in aeroporto." Allettante, e parzialmente protettivo — meglio di nessuna VPN — ma il modello di business delle VPN gratuite introduce rischi propri che devi capire prima di affidarti a esse.

Il modello di business delle VPN gratuite. Gestire un'infrastruttura VPN globale è costoso: server in oltre 30 paesi, banda, supporto, team di sicurezza, audit indipendenti. Nessuno lo fa gratis per bontà d'animo. Le "VPN gratuite illimitate" si finanziano sui dati: rivendita di log DNS o metadati di sessione a data broker, iniezione di pubblicità nel traffico HTTP, talvolta esecuzione di codice di terze parti dentro il client. Lo studio accademico CSIRO 2017 su 283 app VPN Android — ancora citato perché resta l'analisi di riferimento più completa sul tema — ha documentato che il 38% delle app conteneva codice identificato come malware o tracciamento di terze parti, e il 18% non cifrava nemmeno il traffico nonostante la promessa. La situazione è parzialmente migliorata per i grandi attori dal 2017, ma il modello di business di fondo non è cambiato.

Casi documentati. Hola VPN, popolare tra il 2010 e il 2018, vendeva letteralmente la banda dei suoi utenti gratuiti al suo servizio a pagamento Luminati (oggi Bright Data) — ogni utente gratuito diventava un nodo di uscita per clienti aziendali, talvolta usato per scopi fraudolenti senza consenso informato. Hotspot Shield gratuito è stato oggetto di una denuncia FTC nel 2017 per raccolta dati e iniezione di pubblicità nonostante la promessa "no logs". Più di recente, diverse app VPN gratuite sul Play Store Android sono state rimosse nel 2023–2024 per raccolta dati eccessiva, senza comunicazione pubblica sul numero esatto di utenti coinvolti.

Eccezioni oneste. Due freemium si sono distinti come meno tossici della media: ProtonVPN Free (svizzera, modello freemium finanziato dagli abbonati paganti Mail/VPN/Drive, auditata da Securitum nel 2023, no-log documentato) e Windscribe Free (canadese, 10 GB/mese, modello freemium finanziato da abbonati paganti). Sono le due opzioni gratuite che si possono ragionevolmente raccomandare per l'uso occasionale degli hotspot. Le altre — Hide.me Free, AtlasVPN e le decine di app Android senza nome — è meglio evitarle per impostazione predefinita.

Alternativa pragmatica: la prova di 30 giorni soddisfatti o rimborsati. Le VPN top-3 (NordVPN, ExpressVPN, Surfshark) offrono tutte un rimborso completo entro i primi 30 giorni, senza domande. In pratica è meglio di un freemium: ottieni l'accesso all'infrastruttura completa (audit, kill switch, throughput elevato, sblocco streaming, supporto 24/7) per un mese, e riavi i tuoi soldi se non sei convinto. La nostra verità sulle prove gratuite delle VPN confronta con precisione i termini di rimborso di ciascun fornitore e spiega perché questa via d'ingresso è in pratica più protettiva di un freemium.

Checklist per la sicurezza del Wi-Fi pubblico 2026

Ecco la sequenza operativa completa, in due fasi — prima e durante la connessione. Tutto è applicabile in 2–3 minuti una volta acquisita la routine, e copre tutti e sei gli attacchi documentati sopra.

Prima di connettersi — 5 verifiche. Primo, verifica l'SSID con il personale: alla reception dell'hotel, alla registrazione della conferenza, al banco del caffè. Rifiuta qualsiasi SSID il cui nome differisca, anche di poco (spazio in più, maiuscole/minuscole diverse, suffisso _Free o _Guest non annunciato). Secondo, abilita la VPN prima di unirti al Wi-Fi: avvia il client, attendi la conferma visiva che il tunnel è attivo, poi unisciti alla rete. La VPN sarà pronta a cifrare dalla prima richiesta in uscita. Terzo, verifica che il kill switch sia attivo in modalità di sistema (non solo in modalità "per applicazione", che lascia passare il traffico di altre app). Quarto, disabilita la connessione automatica alle reti aperte: iOS Impostazioni → Wi-Fi → Accesso automatico hotspot → Chiedi; Android Impostazioni → Rete → Wi-Fi → Preferenze → Connessione automatica → Off per le reti aperte. Quinto, disabilita la condivisione file e la rilevazione di rete: Windows in modalità "Rete pubblica", macOS AirDrop su Solo contatti, Linux verifica che avahi-daemon e Samba non siano in ascolto sull'interfaccia Wi-Fi.

Durante la connessione — 5 verifiche. Primo, verifica lo stato del tunnel nel client VPN: nessuna notifica di errore, nessun cambio di server inatteso. Secondo, testa le fughe in 30 secondi con il nostro strumento DNS Leak Test, che copre DNS, WebRTC e IPv6 in un solo passaggio. I dettagli della correzione per OS sono documentati nella nostra guida al DNS leak test. Terzo, conferma l'IP visibile con il nostro strumento Il mio IP: dovrebbe mostrare l'IP del server VPN, non quello dell'hotspot. Quarto, non inserire mai credenziali sul captive portal oltre un semplice clic su "Accetto". Se il portale chiede e-mail, login Google o numero di telefono, chiudilo immediatamente e prova un'altra rete. Quinto, mantieni la VPN attiva per tutta la sessione, non spegnerla mai "solo per scaricare velocemente un file". Una disconnessione di un secondo basta a far trapelare un cookie di sessione o una query DNS sensibile. Il nostro metodo rapido per verificare che la tua VPN funzioni elenca le verifiche minime da fare all'inizio di ogni sessione per confermare l'integrità del tunnel.

Strumenti interni utili da tenere a portata. Strumento Il mio IP per verificare l'effettivo punto di uscita osservato. Strumento DNS Leak Test per DNS + WebRTC + IPv6 in 30 secondi. La nostra metodologia di test pubblicata dettaglia la procedura completa che applichiamo internamente prima di ogni recensione.

Casi speciali: aeroporto, hotel, conferenza, caffè

Non tutti gli hotspot pubblici comportano gli stessi rischi. Ecco una mappa dei quattro contesti più comuni, con i vettori specifici a ciascuno e le azioni prioritarie.

Aeroporto — captive portal e sfida HTTPS. Il Wi-Fi aeroportuale è notoriamente complesso a livello tecnico: densità di traffico molto elevata, captive portal che spesso richiede e-mail o carta d'imbarco, alcuni protocolli bloccati (l'OpenVPN standard sulla porta 1194 è talvolta bloccato). Buona pratica: usare una VPN che possa passare automaticamente a protocolli offuscati (WireGuard sulla porta 443 mascherato da HTTPS, o modalità Stealth su Mullvad e ProtonVPN). Gli "Obfuscated Servers" di NordVPN funzionano anche sugli hotspot più restrittivi. Rischio secondario: campagne Evil Twin documentate da Krebs on Security nel 2024 in diversi aeroporti asiatici — verifica sempre l'SSID con il personale della reception.

Hotel — tracciamento interno e profilazione commerciale. Le catene alberghiere fanno largo uso di infrastruttura Wi-Fi gestita — Cisco Meraki, Aruba Networks, Ruckus. Queste soluzioni includono moduli di analytics che registrano durate delle sessioni, volumi di dati, siti visitati a livello DNS, e incrociano questi dati con il profilo dell'ospite (numero di camera, durata del soggiorno, frequenza delle visite). Raramente è usato per scopi malevoli ma è spesso rivenduto a fornitori di marketing terzi. Una VPN attiva chiude questa fuga — l'hotel vede solo un tunnel cifrato verso un server remoto, non i siti visitati. Rischio secondario: negli hotel con Wi-Fi a password condivisa (un'unica password per tutti gli ospiti), qualsiasi client connesso può potenzialmente intercettare il traffico di altri ospiti in modalità promiscua — VPN obbligatoria.

Conferenza ed evento — Evil Twin deliberato e fingerprinting. Il Wi-Fi delle conferenze professionali attira dimostrazioni di hacker — non sempre ostili, talvolta educative, ma il rischio Evil Twin è alto. Al DEF CON e al BlackHat da anni, l'esercizio "Wall of Sheep" mostra pubblicamente le credenziali intercettate sul Wi-Fi della conferenza stessa. Agli eventi meno paranoici (conferenze aziendali, fiere), il rischio cala ma non scompare. La correzione: VPN attiva obbligatoria, verifica dell'SSID con gli organizzatori (spesso sul badge), rifiuto di qualsiasi SSID alternativo rilevato con lo stesso nome. Ad alcuni eventi, una VPN aziendale (Cisco AnyConnect, OpenVPN enterprise) sostituisce la VPN commerciale — verifica la policy IT prima di arrivare.

Caffè e ristorante — sniffing classico e debolezza operativa. Lo scenario più ordinario e frequente: Wi-Fi di Starbucks, caffè indipendente, ristorante. Password esposta al banco o nessuna password. Rischio #1: packet sniffing da parte di un altro client presente. Rischio #2: qualità tecnica generalmente bassa (nessun isolamento dei client, nessun monitoraggio di sicurezza, firmware del router raramente aggiornato). Rischio #3: durata della connessione spesso prolungata (utenti che lavorano sul posto per diverse ore), che aumenta la finestra di esposizione. La correzione resta la stessa: VPN con kill switch, condivisione file disabilitata, evitare per quanto possibile di inserire credenziali sensibili. È il caso d'uso in cui una VPN con "connessione automatica su Wi-Fi non protetto" (impostazione disponibile su NordVPN, ExpressVPN, ProtonVPN mobile) ha più senso: non ci pensi più, il tunnel si attiva automaticamente.

Per approfondire

Il Wi-Fi pubblico nel 2026 resta un mezzo intrinsecamente osservabile — è nella sua natura fisica condividere onde radio tra tutti i client della stessa cella. L'HTTPS ha drasticamente ridotto la leggibilità dei contenuti ma lascia passare abbastanza metadati da ricostruire la tua attività. Una VPN con kill switch chiude le fughe strutturali, a patto che sia configurata correttamente e ospitata da un fornitore trasparente. Per la maggior parte dei casi d'uso — viaggio, caffè, hotel, aeroporto — la combinazione VPN top-3 + kill switch di sistema + connessione automatica su Wi-Fi non protetto è più che adeguata e invisibile una volta configurata.

Per usi ad alta posta in gioco (giornalista in una zona sensibile, fonte protetta, ricerca politica), devi impilare Tor sulla VPN, una macchina dedicata, un browser irrobustito — un livello di OPSEC che va oltre l'ambito di questa guida. E per verificare regolarmente che la tua VPN faccia davvero il suo lavoro, il nostro audit completo in 9 test resta la sequenza di riferimento da applicare una volta a trimestre.

Se cerchi di scegliere la VPN giusta per questa configurazione mobile senza perderti in quindici confronti, la nostra guida alla scelta di una VPN per streaming e viaggi copre i criteri che usiamo noi stessi e lega ogni criterio a misurazioni riproducibili. Per confrontare le due opzioni più popolari su questo caso d'uso, il nostro confronto Surfshark vs NordVPN copre il comportamento del kill switch e della connessione automatica. Per approfondire la scelta specifica del fornitore, la nostra recensione dettagliata di NordVPN documenta i criteri (throughput, test delle fughe, kill switch) che sostengono la raccomandazione. Sul versante tecnico, capire come il kill switch chiude fisicamente le fughe quando il tunnel cade è utile prima di viaggiare — è il meccanismo che trasforma una VPN "attiva" in una "a tenuta di fughe". E per verificare le fughe DNS e WebRTC sul campo, il nostro strumento integrato esegue la scansione completa in 30 secondi da qualsiasi dispositivo connesso al tunnel.

Completa la tua sicurezza: il gestore di password

Sul Wi-Fi pubblico, la VPN taglia la raccolta passiva dei tuoi flussi di rete, ma non protegge una password riutilizzata su un sito compromesso o esposta da un sito di phishing. NordPass completa logicamente lo stack: cifratura XChaCha20 a 256 bit, audit Cure53 2024, sincronizzazione tra dispositivi, piano gratuito per iniziare. Premium a 1,69 $/mese con impegno biennale. Consideralo un compagno della VPN — non un sostituto.

Articolo pubblicato il 29 maggio 2026. Metodologia: analisi basata sulla documentazione pubblica NCSC 2023–2026, sui report CERT-EU 2024–2025, sull'EFF Surveillance Self-Defense e sul monitoraggio Krebs on Security degli incidenti documentati sul Wi-Fi pubblico. Verifiche tecniche eseguite su tre tipi rappresentativi di hotspot (aeroporto internazionale, catena alberghiera europea, caffè indipendente) tra marzo e maggio 2026 con una configurazione controllata Wireshark + analisi SNI + DNS leak test. Log e catture sono archiviati internamente, disponibili su richiesta editoriale tramite contatto.