VPN sul Wi-Fi dell'hotel: perché è irrinunciabile in viaggio

Il Wi-Fi dell'hotel è diventato un'infrastruttura invisibile del viaggio moderno — ti connetti per riflesso all'arrivo, spunti le condizioni, controlli le tue email, a volte ci lavori per ore. Solo che ciò che circola su questa rete condivisa non ha cambiato natura da dieci anni: resta un mezzo osservabile dall'operatore dell'hotel, a volte manipolato attivamente e sistematicamente profilato dalle soluzioni Cisco Meraki o Aruba che le catene usano internamente. L'HTTPS aiuta ma non chiude tutte le fughe. Per un viaggiatore business con dati professionali sensibili, una VPN attiva con kill switch in modalità sistema non è un lusso — è un prerequisito operativo.

Questa guida sintetizza i rischi specifici del Wi-Fi dell'hotel, la procedura esatta per connettersi in sicurezza, le varianti per tipo di hotel (low-cost, business, congresso) e la combinazione hotspot mobile + VPN per le operazioni critiche. È il complemento pratico diretto del pillar VPN viaggio 2026 — focus esclusivo hotel.

Anatomia del Wi-Fi dell'hotel nel 2026

Per capire i rischi, bisogna capire cosa succede tecnicamente tra il momento in cui ti connetti al Wi-Fi della camera e il momento in cui carichi un sito. Quattro passaggi invisibili all'utente, osservabili o sfruttabili dall'operatore dell'hotel o da altri ospiti della rete.

Passaggio 1 — Associazione e DHCP. Quando ti unisci al Wi-Fi dell'hotel, il tuo dispositivo invia una richiesta DHCP in broadcast per ottenere un indirizzo IP locale. Il server DHCP dell'hotel risponde con un IP locale, una subnet mask, un gateway predefinito e — punto critico — uno o più server DNS. In quel preciso momento, l'hotel decide quale resolver DNS userà il tuo sistema operativo per tutte le query successive. Questo è il primo punto d'ingresso del tracking — l'operatore può imporre i propri resolver DNS e registrare ogni query.

Passaggio 2 — Captive portal e reindirizzamento. La maggior parte delle reti Wi-Fi degli hotel intercetta la tua prima richiesta HTTP e la reindirizza a una landing page — sia per la convalida delle condizioni (clic su «Accetto») sia per l'inserimento delle credenziali (numero di camera + cognome). Tecnicamente, si tratta di una manipolazione attiva del traffico. Su un captive portal legittimo, si limita alla prima sessione. Su uno compromesso, può continuare dopo l'autenticazione — iniezione JavaScript, browser fingerprinting, a volte reindirizzamento a false pagine di login (banca, Google) per rubare le credenziali.

Passaggio 3 — Risoluzione DNS e profilazione. Ogni volta che carichi un sito, il tuo sistema operativo chiede al server DNS configurato (quindi quello dell'hotel per impostazione predefinita): «qual è l'IP di gmail.com?». Per impostazione predefinita, questa query esce in chiaro su UDP porta 53. L'hotel vede quindi ogni dominio visitato, con timestamp al secondo, classificato per indirizzo MAC o IP locale. Le soluzioni moderne come Cisco Meraki e Aruba integrano moduli di analytics che incrociano questi dati con il profilo del cliente (numero di camera, durata del soggiorno, frequenza delle visite). Questi dati vengono rivenduti a fornitori di marketing nella maggior parte delle configurazioni standard.

Passaggio 4 — Connessione TCP/TLS. Per ogni dominio risolto, il tuo sistema operativo stabilisce una connessione TCP verso l'IP del server di destinazione. Se è HTTPS, l'handshake TLS inizia inviando un ClientHello contenente il nome del dominio di destinazione in chiaro nel campo SNI (Server Name Indication, RFC 6066). L'hotel vede quindi il dominio di destinazione ancora prima che la sessione HTTPS sia cifrata. ECH (Encrypted Client Hello) cifra l'SNI ma non è diffuso a maggio 2026. La VPN resta la contromisura strutturale.

Schema testuale. Senza VPN, l'hotel vede: domini visitati (DNS + SNI), volumi scambiati (timing e dimensione dei pacchetti), IP di destinazione, durate delle sessioni, l'indirizzo MAC del tuo dispositivo. Con una VPN attiva, l'hotel vede solo: un tunnel cifrato verso un singolo IP (il server VPN), un volume aggregato sull'intera sessione. La differenza è strutturale.

Captive portal e HTTPS: interazioni precise

Il captive portal merita un focus dedicato perché solleva una domanda tecnica sottile che ricorre spesso nella pratica.

Il problema. Prima della convalida del captive portal, l'uscita verso Internet è bloccata dall'hotel. Conseguenza: il tunnel VPN non può stabilirsi completamente perché il server VPN remoto è irraggiungibile. Se avvii prima la VPN poi ti unisci al Wi-Fi, il client VPN tenta di attivare il tunnel, fallisce e innesca un loop di riprova.

La soluzione moderna. I client VPN top 3 (NordVPN, ExpressVPN, Surfshark, ProtonVPN) rilevano automaticamente la presenza di un captive portal e offrono una finestra browser integrata per convalidare le condizioni senza rompere il tunnel principale. Procedura utente: avviare il client VPN, unirsi al Wi-Fi, attendere la notifica «captive portal rilevato», convalidare nella finestra integrata, il tunnel si attiva automaticamente dopo. Il tutto richiede meno di 30 secondi.

La soluzione manuale (per le VPN senza rilevamento automatico). (1) Disattivare temporaneamente la VPN, (2) unirsi al Wi-Fi e convalidare il captive portal nel browser standard, (3) riavviare subito la VPN. Rischio durante la finestra di 30-60 secondi: fughe DNS e SNI verso l'operatore alberghiero. Con un kill switch in modalità sistema configurato, il rischio è minimizzato perché nessuna sessione applicativa critica dovrebbe aprirsi durante il momento del passaggio.

Caso speciale dei captive portal che chiedono le credenziali. Alcuni hotel (in particolare le catene business) chiedono un numero di camera + cognome per identificarsi sul Wi-Fi. È legittimo dal punto di vista dell'hotel (collegare la sessione al cliente per fatturazione e profilazione), ma apre una zona grigia — queste credenziali possono essere riutilizzate da un altro ospite dello stesso hotel che avesse intercettato la sessione. La regola: non inserire mai credenziali sensibili (Google, Microsoft 365, banca) su un captive portal che chiede più del semplice clic «Accetto». Se il portale chiede email + password per «accedere», è quasi sempre una trappola per credenziali.

Configurazione VPN PRIMA della connessione al Wi-Fi dell'hotel: procedura completa

Procedura operativa in 4 passaggi, applicabile in 3 minuti una volta acquisita la routine.

Passaggio 1 — Preparare la VPN sulla rete cellulare. All'arrivo in hotel, ancora prima di cercare il Wi-Fi, avvia il client VPN sul 4G/5G del telefono (o sulla eSIM internazionale se hai seguito la preparazione nel pillar VPN viaggio 2026). Il tunnel si attiva sulla rete cellulare e resta attivo. Verifica visivamente che la connessione sia stabilita (icona VPN attiva, notifica tunnel attivo).

Passaggio 2 — Verificare il kill switch in modalità sistema. Non in modalità app (che blocca solo le app configurate). In modalità sistema, che blocca tutto il traffico in uscita se il tunnel cade. Configurazione: iOS Impostazioni → Generali → VPN → Su richiesta. Android Impostazioni → Rete → VPN → VPN sempre attiva + Blocca connessioni senza VPN. Windows: nel client NordVPN/ExpressVPN, Impostazioni → Kill switch → Sistema. macOS: lo stesso. Senza un kill switch sistema, una caduta del tunnel durante la transizione Wi-Fi è sufficiente a far trapelare SNI e DNS all'hotel.

Passaggio 3 — Unirsi al Wi-Fi dell'hotel. Seleziona la SSID legittima (verificata alla reception in caso di dubbio), inserisci la password condivisa (tipica delle catene asiatiche) o le credenziali di camera (tipiche delle catene business). Il captive portal appare — lascia che il client VPN moderno lo gestisca automaticamente, oppure convalida manualmente tramite la procedura descritta sopra. Il tunnel regge durante la transizione.

Passaggio 4 — Testare subito le fughe. Una volta connesso, apri il nostro strumento di test fuga DNS per verificare in 30 secondi che (a) l'IP visibile sia quello del server VPN (non quello dell'hotel), (b) le query DNS passino effettivamente dal resolver VPN (non da quello dell'hotel), (c) nessuna fuga WebRTC o IPv6 si verifichi. Se tutto è a posto, la sessione è sicura. Se viene rilevata una fuga, passa subito al 4G/5G mobile e indaga sulla configurazione VPN prima di riprendere una sessione sensibile.

Caso d'errore comune. La VPN si disconnette automaticamente dopo qualche minuto perché il sistema operativo rileva una «nuova connessione» e abbandona il tunnel. La contromisura: abilita l'opzione «always on» nel client VPN (NordVPN: Impostazioni → Auto-connessione → Sempre, ExpressVPN: Impostazioni → Avvia all'avvio e connetti) e configura il kill switch sistema che impedisce qualsiasi riconnessione senza tunnel.

Rischi specifici di ogni tipo di hotel

Non tutti gli hotel pongono gli stessi rischi. Ecco la mappatura a maggio 2026 per profilo.

Hotel low-cost e indipendenti (ostelli, B&B, piccoli hotel). Il Wi-Fi usa tipicamente una password condivisa per tutti gli ospiti, esposta alla reception. Rischio n. 1 = sniffing da parte di altri ospiti connessi alla stessa rete. Qualità tecnica generalmente bassa: nessun client isolation (ogni ospite può tentare di connettersi localmente ad altri ospiti), firmware del router raramente aggiornato. Rischio secondario: durata della connessione spesso prolungata (utenti che lavorano diverse ore), ampia finestra di esposizione. Contromisura: VPN attiva obbligatoria, kill switch sistema, disattivazione della condivisione file (Windows → profilo di rete «Pubblico», macOS → AirDrop solo per i contatti).

Hotel business e catene internazionali (Marriott, Hilton, IHG, Accor, Hyatt). Wi-Fi tipicamente dedicato per camera, client isolation attivato (ogni camera è una cella di rete separata). Alta qualità tecnica: firmware aggiornato, monitoraggio della sicurezza, certificazioni PCI-DSS per la rete di pagamento. Ma forte profilazione interna: soluzioni Cisco Meraki o Aruba che incrociano le sessioni con il profilo del cliente (numero di camera, durata del soggiorno, frequenza delle visite, programma fedeltà). Domini visitati registrati a livello DNS, dati rivenduti a reti di marketing nella maggior parte delle configurazioni standard. Contromisura: VPN attiva obbligatoria per chiudere la fuga lato hotel.

Hotel congressuali ed eventi professionali. Doppio rischio sovrapposto. Primo, Wi-Fi del congresso condiviso da centinaia di partecipanti — rischio di sniffing, Evil Twin, captive portal compromesso. A DEF CON e BlackHat da anni l'esercizio «Wall of Sheep» mostra pubblicamente le credenziali intercettate sul Wi-Fi del congresso stesso. Secondo, Wi-Fi personale dell'hotel — rischio standard di profilazione commerciale. La contromisura: VPN attiva su entrambe le reti, verifica della SSID con gli organizzatori (spesso indicata sul badge), rifiuto di qualsiasi SSID alternativa rilevata con lo stesso nome.

Hotel in zone censurate (Cina, Russia, Iran, alcuni paesi del Golfo). Doppio strato di filtraggio: Wi-Fi hotel + filtraggio nazionale. La maggior parte dei grandi hotel internazionali non filtra in aggiunta al filtraggio nazionale, ma l'uso della VPN richiede una configurazione specifica (server Obfuscated, protocolli di offuscamento come NordWhisper o Lightway mascherato). Vedi la nostra guida VPN Cina 2026 per la procedura dedicata e il pillar VPN viaggio 2026 per gli altri paesi.

Caso di studio: viaggio di lavoro con posta professionale e VPN aziendale

Scenario frequente che merita un focus dedicato: viaggiatore business con posta professionale sensibile, VPN aziendale (Cisco AnyConnect, OpenVPN enterprise, Cloudflare Zero Trust) in aggiunta alla VPN commerciale personale.

Stack consigliato. Primo livello: VPN commerciale attiva sul dispositivo (NordVPN, ExpressVPN, Surfshark) che cifra tutto il traffico all'uscita del dispositivo. Secondo livello (opzionale): VPN aziendale al di sopra per accedere alle risorse interne (intranet, file condivisi, database interno). Il doppio tunnel funziona sulla maggior parte delle combinazioni moderne — VPN commerciale sullo strato OS, VPN aziendale sullo strato applicativo. Verifica la compatibilità con la policy IT aziendale prima dell'arrivo.

Perché la VPN aziendale da sola non basta. Tre ragioni. Primo, la VPN aziendale è tipicamente «split tunnel» per impostazione predefinita — solo il traffico verso le risorse interne passa per il tunnel, il traffico verso i servizi pubblici (Gmail, Office 365 personale, navigazione web) esce direttamente. L'hotel vede quindi ancora questo traffico. Secondo, la VPN aziendale generalmente non è sempre attiva — si attiva su richiesta quando l'utente accede alle risorse interne, e l'uscita in chiaro tra due sessioni resta osservabile. Terzo, la VPN aziendale generalmente non ha un kill switch di livello consumer — nessuna protezione contro le fughe in caso di caduta inattesa.

Raccomandazione pragmatica. VPN commerciale attiva permanentemente sul dispositivo (livello 1), VPN aziendale attivata su richiesta per le risorse interne (livello 2). Entrambe possono coesistere senza rompere la connettività. 2FA hardware o TOTP obbligatorio sull'account email principale. Non inserire mai credenziali critiche su un captive portal d'hotel — passa sempre per l'app nativa del servizio (app Gmail, app Outlook, app della banca) che convalida il certificato TLS indipendentemente dal captive portal.

Combinare hotspot mobile + VPN in caso di posta in gioco elevata

Per le operazioni critiche (transazione bancaria, firma di contratto, posta di lavoro con dati molto sensibili), passare a un hotspot mobile personale è una pratica raccomandata dai team IT enterprise seri. Il dettaglio tecnico giustifica questa scelta.

Vantaggi tecnici dell'hotspot mobile. Primo, cifratura radio 4G/5G end-to-end tra il tuo telefono e l'antenna (NEA1/NEA2 su 4G, 5G-EA su 5G) — l'intercettazione passiva è impossibile per un attore senza accesso al core dell'operatore. Nessun equivalente dello sniffing Wi-Fi pubblico è possibile. Secondo, nessuno strato radio condiviso con altri client — ogni hotspot mobile è una cella d'antenna indipendente. Terzo, hotspot mobile + VPN somma le protezioni: cifratura radio + tunnel cifrato applicativo. Quarto, possibile bypass del filtraggio alberghiero — alcuni hotel (in particolare le catene asiatiche) rallentano o bloccano certi servizi (VoIP, streaming), l'hotspot mobile aggira questa discriminazione.

Limiti pratici. Costo del piano mobile, in particolare in roaming internazionale. Larghezza di banda potenzialmente inferiore al Wi-Fi dell'hotel (a seconda della copertura cellulare locale). Possibile saturazione del piano con usi pesanti (video, backup cloud). Raccomandazione: uso standard su Wi-Fi hotel + VPN commerciale, passaggio all'hotspot mobile solo per le operazioni critiche (tipicamente 15-30 minuti al giorno, basso costo in dati).

Setup consigliato. Telefono secondario o box 4G dedicato (utile per i viaggiatori molto regolari) con eSIM internazionale tipo Airalo Europe o GigSky Global. Abilita il tethering in WPA2-AES (non l'obsoleto WPA-TKIP) con una password forte specifica. Connetti il laptop all'hotspot, avvia la VPN commerciale. La combinazione è una delle più protettive accessibili a un viaggiatore senza infrastruttura aziendale dedicata. Dettagli aggiuntivi in il nostro confronto hotspot mobile vs Wi-Fi pubblico.

Per approfondire

Il Wi-Fi dell'hotel nel 2026 resta un mezzo osservabile e sistematicamente profilato dalle catene alberghiere tramite Cisco Meraki o Aruba. L'HTTPS ha ridotto la leggibilità dei contenuti ma lascia passare abbastanza metadati (SNI, DNS, IP di destinazione) per ricostruire la tua attività al secondo. Una VPN top 3 con kill switch in modalità sistema chiude la fuga lato hotel cifrando tutto il traffico all'uscita del dispositivo — è la contromisura strutturale più efficace, ed è irrinunciabile per i viaggiatori business con dati sensibili.

Per le operazioni critiche, aggiungi l'hotspot mobile personale come strato supplementare — la cifratura radio 4G/5G end-to-end neutralizza i vettori a livello radio che la VPN da sola non chiude. Per i viaggi in zone censurate (Cina, Russia, Iran), la configurazione VPN richiede protocolli di offuscamento specifici dettagliati nel nostro pillar VPN viaggio 2026. La EFF Surveillance Self-Defense e le risorse della Freedom of the Press Foundation completano utilmente questo per i viaggiatori con OPSEC più elevato (giornalisti, attivisti, fonti).

Articolo pubblicato il 29 maggio 2026. Metodologia: sintesi basata sulla documentazione pubblica delle piattaforme Wi-Fi gestite (Cisco Meraki Documentation, Aruba Networks docs, materiale marketing Ruckus), feedback operativi documentati da EFF Surveillance Self-Defense, raccomandazioni Wi-Fi del NCSC (UK National Cyber Security Centre) per ambienti professionali, e feedback della community di viaggiatori business su Reddit r/digitalnomad e r/solotravel 2024–2026. Verifiche operative effettuate su tre catene alberghiere internazionali in Europa e Asia tra marzo e maggio 2026 con setup controllato (cattura Wireshark, analisi SNI, test fuga DNS) — log e catture conservati in archivio interno.