Glossario VPN e privacy: 30 termini spiegati in modo semplice (2026)

Quando si comincia a esplorare le VPN e la privacy digitale, i termini tecnici si moltiplicano in fretta: WireGuard, kill switch, no-log, giurisdizione Five Eyes, perfect forward secrecy... Ogni comparativa li usa come se fossero ovvi, senza mai definirli. Questo glossario risolve il problema: 30 definizioni brevi e precise, organizzate per argomento, scritte per essere comprese in meno di 30 secondi.

Funziona come riferimento rapido da tenere a portata di mano e come base per comprendere gli audit VPN e le guide tecniche di questo sito. I termini più critici — quelli che definiscono davvero se una VPN ti protegge o no — sono evidenziati esplicitamente.

Indice

• Protocolli VPN
• Crittografia e sicurezza
• Leak e vulnerabilità
• Privacy e giurisdizione
• Funzioni principali
• Strumenti e tecnologie correlati

Protocolli VPN

VPN (Virtual Private Network)

Una VPN è un tunnel cifrato tra il tuo dispositivo e un server remoto gestito dal provider. Maschera il tuo indirizzo IP reale, cifra tutto il traffico e fa credere ai siti che stai navigando dalla posizione del server. Il tuo provider internet vede solo il tunnel cifrato, non quali siti visiti.

WireGuard

WireGuard è il protocollo VPN più moderno (meno di 4.000 righe di codice sorgente, contro le 400.000 di OpenVPN). Usa ChaCha20 per la crittografia e Curve25519 per lo scambio delle chiavi. Nei benchmark di throughput è da 2 a 5 volte più veloce di OpenVPN, con latenza inferiore e una superficie di attacco minima. Lo standard consigliato nel 2026.

OpenVPN

OpenVPN è il protocollo VPN open source di riferimento dal 2001. Molto auditato, estremamente flessibile, disponibile su tutti i sistemi operativi, ma tecnicamente più pesante di WireGuard. Usa AES-256-GCM e supporta TCP (stabile ma lento) e UDP (veloce). Resta rilevante per aggirare i firewall che bloccano WireGuard. Vedi il nostro confronto WireGuard vs OpenVPN.

IKEv2/IPsec

IKEv2 (Internet Key Exchange v2) combinato con IPsec è un protocollo performante, nativo su iOS e macOS, particolarmente stabile durante i cambi di rete (Wi-Fi → 4G). Leggermente più lento di WireGuard ma più collaudato su mobile. Un'alternativa solida quando WireGuard presenta problemi di compatibilità di rete.

Split tunneling

Lo split tunneling permette di scegliere quali applicazioni o domini passano attraverso il tunnel VPN e quali usano la connessione diretta. Utile per accedere a risorse locali (stampante, NAS, app bancaria) proteggendo tutto il resto. Disattiva lo split tunneling durante gli audit tecnici per evitare misurazioni distorte.

Crittografia e sicurezza

AES-256

AES-256 (Advanced Encryption Standard, chiave a 256 bit) è lo standard di crittografia simmetrica usato praticamente da tutte le VPN moderne. Un attacco brute-force diretto è computazionalmente impossibile con l'hardware attuale — inclusi i computer quantistici nell'attuale modello di minaccia. La variante GCM (Galois/Counter Mode) aggiunge un'autenticazione dei messaggi integrata.

Perfect forward secrecy (PFS)

La perfect forward secrecy genera una chiave di sessione univoca per ogni connessione, indipendente dalla chiave principale. Se una chiave di sessione viene compromessa, le sessioni passate e future restano protette. Senza PFS, una chiave a lungo termine compromessa decifra l'intera cronologia delle comunicazioni. Le implementazioni moderne di WireGuard e OpenVPN applicano la PFS di default tramite ECDH.

Crittografia end-to-end (E2E)

La crittografia end-to-end garantisce che solo il mittente e il destinatario possano leggere il messaggio — non il fornitore del servizio né alcun intermediario di rete. Signal, ProtonMail e alcune app di messaggistica la implementano. Distinzione chiave: una VPN cifra il transito di rete ma non il contenuto applicativo; la E2E cifra il payload dell'applicazione stesso.

Offuscamento

L'offuscamento maschera il traffico VPN per farlo sembrare normale traffico HTTPS, rendendone difficili rilevamento e blocco. Usato per aggirare i firewall a deep packet inspection (DPI) — in particolare in Cina (Great Firewall), Russia ed Emirati Arabi Uniti. ExpressVPN (Lightway offuscato), NordVPN (server offuscati) e Mullvad offrono questa opzione.

Zero-knowledge

Un sistema zero-knowledge memorizza o elabora i dati senza mai avere accesso al contenuto in chiaro. Nel contesto VPN significa che il provider tecnicamente non può accedere ai tuoi dati di navigazione, anche se costretto. Diverso dal semplice no-log: il no-log è una promessa di policy, lo zero-knowledge è una garanzia architetturale.

Leak e vulnerabilità

Leak DNS

Un leak DNS si verifica quando le richieste di risoluzione dei nomi di dominio (quale server corrisponde a "google.com"?) escono fuori dal tunnel VPN e passano per i server DNS del provider internet. Risultato: il tuo provider vede ogni dominio che visiti, anche se il contenuto è cifrato. È il leak più frequente e meno visibile. Guida completa: testare i leak DNS.

Leak WebRTC

WebRTC è un'API del browser per la comunicazione peer-to-peer. Per funzionare, interroga tutte le interfacce di rete della tua macchina — incluso il tuo IP reale, prima che la VPN lo mascheri. Uno script JavaScript malevolo può così recuperare il tuo IP reale nonostante la VPN attiva. Soluzione: attivare la protezione WebRTC nel client VPN o disattivare WebRTC nel browser.

Leak IP

Un leak IP espone il tuo indirizzo IP reale a un sito esterno nonostante la VPN attiva. Possibili cause: tunnel mal configurato, bug del client, protocollo non supportato (IPv6 se la VPN tunnelizza solo IPv4). Verificabile in 30 secondi con il nostro strumento di test dei leak. Ogni audit VPN serio parte da qui.

Leak IPv6

Se il tuo provider internet implementa IPv6 in modo nativo e la tua VPN tunnelizza solo IPv4, il tuo indirizzo IPv6 reale resta visibile dall'esterno. Piattaforme come Google o Facebook preferiscono IPv6 quando disponibile — quindi vedono la tua vera identità. Soluzione: disattivare IPv6 a livello di sistema operativo o usare una VPN che gestisce entrambi i protocolli.

Fingerprinting (impronta del browser)

Il fingerprinting identifica un browser o un dispositivo tramite la combinazione unica delle sue caratteristiche tecniche: risoluzione dello schermo, font installati, fuso orario, rendering Canvas/WebGL, elenco delle estensioni. Questa impronta sopravvive ai cambi di IP — una VPN non la maschera. Contromisure: Firefox con privacy.resistFingerprinting, Brave Shields o Tor Browser. Vedi il nostro audit VPN completo per il test dedicato.

Privacy e giurisdizione

No-log (zero log)

Una politica no-log significa che il provider VPN non registra né l'IP di origine, né i siti visitati, né le marche temporali di connessione, né i volumi di dati. Una dichiarazione non verificata è solo un argomento di marketing. Solo un audit indipendente recente (PwC, Deloitte, Cure53) pubblicato dal provider costituisce una prova tecnica. NordVPN, ExpressVPN, Mullvad e ProtonVPN hanno tutti pubblicato audit.

Five/Nine/Fourteen Eyes (5/9/14 Eyes)

I Five Eyes (USA, Regno Unito, Canada, Australia, Nuova Zelanda) condividono attivamente dati di intelligence. I Nine Eyes aggiungono Francia, Danimarca, Paesi Bassi e Norvegia. I Fourteen Eyes si estendono ulteriormente. Una VPN con sede in uno di questi paesi può essere legalmente costretta a cooperare. Giurisdizioni esterne all'alleanza: Panama (NordVPN), Isole Vergini Britanniche (ExpressVPN), Svizzera (ProtonVPN).

Giurisdizione

La giurisdizione è il paese le cui leggi si applicano al provider VPN. Determina quali ordini legali può ricevere, quali obblighi di conservazione dei dati si applicano e con quali servizi di intelligence può essere costretto a cooperare. Panama, Romania, Svizzera e Isole Cayman sono le giurisdizioni più rispettose della privacy nel 2026.

Warrant canary

Un warrant canary è una dichiarazione pubblica aggiornata regolarmente da un provider VPN per segnalare di non aver ricevuto alcun ordine governativo segreto. Se la dichiarazione smette di essere aggiornata o scompare, è un segnale indiretto che l'azienda ha ricevuto una richiesta legalmente secretata. Mullvad e ProtonVPN pubblicano canary attivi.

Modello di minaccia (threat model)

Un modello di minaccia definisce da chi e da cosa cerchi di proteggerti. Una giornalista che protegge una fonte ha un modello molto diverso da un utente che vuole semplicemente evitare la sorveglianza pubblicitaria del proprio provider. Definire il proprio modello di minaccia permette di scegliere strumenti adeguati: VPN da sola, VPN + Tor, o OPSEC completa. Senza questo passaggio, gli strumenti di protezione sono spesso sovra- o sotto-dimensionati.

Audit indipendente

Un audit indipendente è un esame tecnico del codice, dell'infrastruttura e delle pratiche di un provider VPN eseguito da una società esterna riconosciuta (PwC, Deloitte, Cure53, Securitum). Verifica che la politica no-log sia rispettata nell'implementazione tecnica reale, non solo nei termini di servizio. La data dell'audit conta quanto l'auditor: un rapporto del 2019 è obsoleto nel 2026.

Funzioni principali

Kill switch

Un kill switch interrompe automaticamente la tua connessione a internet se il tunnel VPN cade. Senza di esso, il tuo IP reale viene esposto durante la riconnessione. Esistono due livelli: kill switch di sistema (interrompe tutto il traffico) o per app (interrompe solo le app elencate). Per un uso serio della privacy, attiva il livello di sistema. Guida dettagliata: kill switch VPN spiegato.

Double VPN (multi-hop)

La Double VPN (o multi-hop) instrada il tuo traffico attraverso due server VPN in sequenza anziché uno. Il primo server cifra e inoltra; il secondo decifra ed esce. Vantaggio: anche se un server è compromesso, l'attaccante non vede né l'IP di origine né la destinazione finale. Svantaggio: latenza raddoppiata, throughput ridotto. Consigliata per giornalisti e attivisti ad alto rischio.

Server RAM-only

Un server RAM-only funziona interamente in memoria volatile, senza scritture su disco. Ogni riavvio cancella in modo permanente tutti i dati. Se le autorità sequestrano fisicamente il server, nessun dato utente può essere recuperato — cosa che i server basati su disco consentirebbero. ExpressVPN (TrustedServer) e NordVPN hanno migrato la loro infrastruttura a questo modello.

Port forwarding

Il port forwarding permette alle connessioni in entrata di attraversare il tunnel VPN per raggiungere il tuo dispositivo. Utile per server domestici, condivisione di file P2P attiva e alcuni giochi online. Non tutte le VPN lo offrono — Mullvad e ProtonVPN lo supportano, NordVPN no (dal 2023). Può introdurre rischi di sicurezza se configurato male.

P2P (peer-to-peer)

Il P2P indica le reti decentralizzate di condivisione file (torrent, eMule). Alcune VPN bloccano il P2P o lo limitano a server dedicati per evitare complicazioni legali in certe giurisdizioni. Le VPN consigliate per il torrenting dispongono di server P2P specifici, ottimizzati per il volume e con una politica no-log verificata.

Strumenti e tecnologie correlati

Tor (The Onion Router)

Tor è una rete di anonimizzazione che instrada il traffico attraverso tre relè successivi gestiti da volontari. Ogni relè conosce solo i suoi vicini diretti — nessuno vede contemporaneamente l'origine e la destinazione. Tor offre un anonimato più solido di una VPN ma è da 10 a 20 volte più lento. Distinzione fondamentale: VPN = delega di fiducia, Tor = architettura decentralizzata senza fiducia centrale. Vedi Tor vs VPN.

Tor over VPN

Tor over VPN significa connettersi prima alla VPN e poi avviare Tor. Vantaggio: il nodo di ingresso di Tor vede l'IP del server VPN, non il tuo IP reale. Svantaggio: prestazioni gravemente degradate (latenza cumulativa), e il tuo provider VPN sa che usi Tor. Caso d'uso: giornalisti sotto sorveglianza attiva, whistleblower. Guida alla configurazione: Tor over VPN 2026.

Proxy

Un proxy è un intermediario di rete che reindirizza le richieste di una sola applicazione attraverso un server di terze parti. A differenza di una VPN, opera solo a livello applicativo, senza crittografia dei contenuti, e copre una sola applicazione alla volta. Usato per aggirare semplici blocchi geografici o filtrare il traffico aziendale. Non protegge dall'intercettazione del traffico.

DoH (DNS over HTTPS)

DNS over HTTPS cifra le query DNS all'interno del normale traffico HTTPS, rendendole illeggibili agli intermediari di rete (provider internet, Wi-Fi aziendale). Diverso da una VPN: DoH non nasconde il tuo IP né cifra il resto del tuo traffico — protegge solo le query DNS dalla sorveglianza. Può integrare una VPN o essere usato in autonomia per migliorare la privacy DNS.

Privacy digitale

La privacy digitale comprende tutte le pratiche e gli strumenti che permettono di controllare quali dati personali vengono raccolti, conservati e condivisi online. Include VPN, crittografia, gestione dei cookie, protezione dal fingerprinting, diritti legali (GDPR in Europa, CCPA in California) e scelte comportamentali. Una VPN è uno strumento tra tanti — non una soluzione completa. Vedi perché la privacy digitale conta nel 2026.

Cosa questo glossario non sostituisce

Conoscere i termini è un punto di partenza, non un traguardo. La protezione reale nasce dal verificare che la tua VPN faccia davvero ciò che promette. Per questo: il nostro audit VPN in 9 test copre i leak di IP, DNS, WebRTC e IPv6, il kill switch, la geolocalizzazione streaming, la politica di logging e il fingerprinting del browser — in circa 30 minuti. E se vuoi approfondire la protezione contro la sorveglianza sulle reti Wi-Fi pubbliche, la guida ai rischi del Wi-Fi pubblico 2026 descrive in dettaglio i vettori di attacco reali e le contromisure.

Articolo pubblicato l'11 giugno 2026. Definizioni tratte da specifiche tecniche ufficiali (WireGuard RFC, RFC 8826 WebRTC, NIST AES-256), audit dei provider VPN (PwC, Deloitte, Cure53) e raccomandazioni della Electronic Frontier Foundation (Surveillance Self-Defense) e di PrivacyGuides. Aggiornato continuamente man mano che protocolli o normative evolvono in modo significativo.