WireGuard è sempre più veloce di OpenVPN?

In pratica sì, ma il margine dipende dal server, dal dispositivo client e dalla rete sottostante. Su una connessione in fibra veloce, WireGuard è in genere nettamente più veloce di OpenVPN, soprattutto rispetto a OpenVPN TCP. Il motivo non è marketing: WireGuard gira all'interno del kernel su Linux e usa una suite di cifratura molto più piccola e moderna (ChaCha20-Poly1305) che si vettorizza bene su CPU ARM e Intel dell'ultimo decennio. OpenVPN gira nello userspace, usa per impostazione predefinita una selezione di cifrari più pesante (AES-256-GCM è lo standard, ma l'overhead di negoziazione esiste) ed effettua un fork per connessione anziché elaborare in un unico percorso veloce. L'eccezione: su connessioni molto lente (sotto i 25 Mbps), entrambi i protocolli saturano la linea e non si nota alcuna differenza.

WireGuard è stato sottoposto ad audit indipendenti come OpenVPN?

Sì. Il protocollo centrale di WireGuard è stato verificato formalmente con il prover Tamarin (verifica crittografica accademica, 2018-2020) e l'implementazione Linux di riferimento ha superato audit del codice sorgente da parte di Cure53 e INRIA nel 2019-2020. Mullvad e NordVPN hanno entrambi commissionato audit aggiuntivi della loro implementazione di WireGuard nel 2023-2024. La storia più lunga di OpenVPN comporta più audit accumulati e molte più installazioni in produzione, il che è un vero vantaggio difensivo: i bug emergono da anni di utilizzo, non solo da audit mirati. La superficie crittografica di WireGuard è più piccola (suite di cifratura unica, nessuna negoziazione, nessun TLS), il che riduce la superficie di attacco rispetto alla flessibilità di OpenVPN. Entrambi i protocolli sono considerati sicuri per l'uso in produzione nel 2026; la differenza di sicurezza riguarda più la qualità implementativa a livello di provider che le primitive del protocollo.

WireGuard espone il tuo IP reale al provider VPN?

L'implementazione di riferimento di WireGuard mantiene effettivamente una mappatura statica dei peer che contiene l'ultimo IP client rilevato: è richiesto dal protocollo per il roaming dell'endpoint. Un provider VPN attento alla privacy deve avvolgere tutto questo in un sistema che ruota o anonimizza la memorizzazione dell'IP. NordVPN ha pubblicato il suo livello NordLynx (maggio 2020, sottoposto ad audit nel 2023) che aggiunge un sistema double-NAT: il tunnel WireGuard termina su un indirizzo interno, poi una seconda traduzione nasconde l'IP del client dai log persistenti. Mullvad ha reso open source il suo approccio simile nel 2021. Lightway di ExpressVPN è un protocollo diverso (basato su wolfSSL) che evita del tutto questo vincolo di progettazione. In sintesi: una configurazione WireGuard grezza di un piccolo provider può far trapelare l'IP nei log; il wrapper WireGuard di un grande provider (NordLynx, Mullvad, ProtonVPN) affronta questo problema ed è stato verificato in modo indipendente.

Quando OpenVPN è ancora la scelta migliore?

Tre situazioni concrete nel 2026: (1) reti aziendali che mettono in whitelist le porte OpenVPN (1194 UDP, 443 TCP) ma bloccano UDP 51820 (predefinita di WireGuard), comune sui firewall aziendali; (2) contesti di censura (Cina, Iran, Emirati Arabi Uniti) dove Obfuscated Servers / stunnel sopra OpenVPN TCP/443 restano l'elusione più affidabile: la firma UDP distintiva di WireGuard è più facile da identificare per il Great Firewall; (3) compatibilità con hardware o router più datati che non hanno ancora il supporto WireGuard a livello di kernel (la maggior parte dei router consumer pre-2020, apparati industriali embedded). Per l'uso domestico di massa — internet di casa, mobile, gaming — WireGuard è la scelta predefinita migliore nel 2026.

Tutti i principali provider VPN supportano WireGuard?

Sì, i quattro provider più installati supportano tutti WireGuard nel 2026: NordVPN (wrapper NordLynx, protocollo predefinito sulla maggior parte delle app dal 2022), ExpressVPN (Lightway è la loro alternativa proprietaria, ma ora viene esposto anche WireGuard puro), Surfshark (WireGuard dal 2020) e ProtonVPN (WireGuard standard, OpenVPN opzionale ancora disponibile). Mullvad usa WireGuard come unico protocollo supportato dal 2023. I provider più piccoli variano: alcuni impostano ancora OpenVPN come predefinito con WireGuard come componente aggiuntivo a pagamento. Se nel 2026 WireGuard non è un'opzione predefinita presso un provider, è un segnale di lentezza ingegneristica più che di una scelta di sicurezza.

WireGuard è sicuro da usare nel 2026?

Sì. Il protocollo WireGuard è stato verificato formalmente con il prover crittografico Tamarin (2018–2020) e la sua implementazione nel kernel Linux è stata sottoposta ad audit da Cure53 nel 2019. Il wrapper NordLynx di NordVPN e l'implementazione di Mullvad sono stati riesaminati in modo indipendente nel 2023–2024. La sua superficie di codice minima (~4.000 righe contro 100.000 di OpenVPN) riduce la superficie di attacco sfruttabile. Entrambi i protocolli sono sicuri in produzione nel 2026; scegli in base ai vincoli di rete, non per motivi di sicurezza.

Dovrei usare WireGuard o OpenVPN sul telefono?

WireGuard è la scelta predefinita migliore su mobile nel 2026: gira nel kernel, usa ChaCha20-Poly1305 che è accelerato via hardware sui chip ARM e consuma notevolmente meno CPU per byte tunnelato rispetto allo userspace di OpenVPN. Ciò si traduce in maggiore durata della batteria nelle sessioni lunghe. L'unica eccezione: se il tuo operatore o datore di lavoro blocca UDP 51820, ripiega su OpenVPN TCP/443.

WireGuard vs OpenVPN nel 2026: velocità, sicurezza, audit, quale protocollo scegliere

WireGuard è arrivato nelle principali app VPN consumer intorno al 2020-2021 e ha progressivamente sostituito OpenVPN come predefinito per le nuove connessioni. Lo slogan di marketing — "più veloce, più semplice, sottoposto ad audit" — è tecnicamente accurato, ma il quadro è più sfumato per gli utenti esperti e per chiunque operi al di fuori della normale connessione domestica. Questa guida confronta i due protocolli sulle metriche che contano davvero nel 2026.

TL;DR

WireGuard vs OpenVPN — cosa scegliere nel 2026: WireGuard vince sulla velocità (in genere nettamente più veloce sulla stessa coppia di server, soprattutto rispetto a OpenVPN TCP) e sulla durata della batteria su mobile (implementazione nel kernel, minore consumo di CPU). OpenVPN vince sulla furtività nei paesi censurati (l'offuscamento TCP/443 sconfigge la maggior parte dei DPI), sulla compatibilità con i router (qualsiasi firmware più vecchio del 2021) e sulla compatibilità con le reti aziendali (porta 443 contro la predefinita UDP 51820 di WireGuard, che molti firewall bloccano). Per il 95% degli utenti domestici in paesi non censurati, WireGuard tramite un wrapper del provider (NordLynx, Surfshark WireGuard, ProtonVPN WireGuard) è la scelta predefinita giusta. Per il restante 5% — viaggiatori diretti in Cina, VPN aziendale su WiFi pubblico, router più datati — OpenVPN su TCP/443 resta la scelta pratica. Entrambi sono crittograficamente sicuri nel 2026; scegli in base a ciò che la tua rete consente, non a un punteggio del protocollo. Vedi anche la nostra guida all'audit di sicurezza VPN.

Perché WireGuard e OpenVPN esistono come protocolli separati?

WireGuard (2016, ~4.000 righe) è stato costruito per sostituire la complessità di OpenVPN con un protocollo minimale a livello di kernel: suite di cifratura unica, nessuna negoziazione, roaming integrato. OpenVPN (2001, oltre 100.000 righe) è stato progettato per collegamenti aziendali site-to-site flessibili e resta l'unica opzione per il traffico offuscato nei paesi censurati. Entrambi risolvono lo stesso problema — tunnel cifrato — con compromessi ingegneristici diversi.

OpenVPN è stato creato nel 2001 da James Yonan, progettato per un mondo in cui le VPN erano per lo più collegamenti aziendali site-to-site. Si basa sulla libreria OpenSSL e supporta qualsiasi cifrario che OpenSSL espone (oggi AES-256-GCM, decine di opzioni storiche). Gira nello userspace, comunica con il kernel tramite un'interfaccia virtuale TUN/TAP e supporta sia il trasporto UDP che TCP. La sua flessibilità è anche il suo peso: la base di codice supera le 100.000 righe di C, la superficie di configurazione è ampia e la negoziazione del protocollo aggiunge round trip a ogni connessione.

WireGuard è stato pubblicato da Jason Donenfeld nel 2016 come ridisegno esplicito con tre priorità: superficie di codice ridotta (~4.000 righe per il modulo del kernel Linux), suite di cifratura unica (nessuna negoziazione, nessun downgrade) e supporto al roaming (i client possono cambiare rete senza rinegoziare). Il kernel Linux ha integrato WireGuard nel mainline a marzo 2020, convalidandolo come pronto per la produzione. Esistono implementazioni userspace per macOS, Windows, iOS, Android e sistemi embedded, anche se l'integrazione a livello di kernel offre le migliori prestazioni.

Dal punto di vista crittografico, WireGuard usa ChaCha20-Poly1305 per la cifratura simmetrica, Curve25519 per lo scambio delle chiavi, BLAKE2s per l'hashing e il Noise Protocol Framework per l'handshake. OpenVPN in genere negozia AES-256-GCM con SHA-256 ed ECDHE per lo scambio delle chiavi. Entrambi sono sicuri nel 2026; la differenza è la complessità implementativa, non la robustezza del protocollo.

Quanto è veloce WireGuard rispetto a OpenVPN?

Su una connessione in fibra veloce, WireGuard è in genere nettamente più veloce di OpenVPN, con il divario più ampio rispetto a OpenVPN TCP (che paga l'overhead di TCP-su-TCP). OpenVPN UDP è più veloce di OpenVPN TCP ma resta comunque dietro a WireGuard. Su connessioni sotto i 25 Mbps, la differenza è trascurabile: entrambi saturano la linea. L'integrazione nel kernel di WireGuard usa notevolmente meno CPU dello userspace di OpenVPN, estendendo la durata della batteria su mobile.

La classifica generale del throughput, a parità di condizioni (stesso server, stesso client), è coerente in tutti i test indipendenti:

Protocollo	Throughput relativo	Carico CPU	Nota
WireGuard (kernel / NordLynx)	Il più veloce	Il più basso	ChaCha20-Poly1305, fast path nel kernel
OpenVPN UDP (AES-256-GCM)	Intermedio	Alto	Userspace, trasporto UDP
OpenVPN TCP (AES-256-GCM)	Il più lento	Alto	Overhead di TCP-su-TCP

Il vantaggio di WireGuard è ampio in termini assoluti ma modesto in proporzione alle basse velocità: su una linea DSL lenta entrambi i protocolli saturano la connessione e il divario diventa impercettibile. Sulla fibra gigabit, il divario si allarga nettamente. Il divario di utilizzo della CPU spiega perché i dispositivi mobili durano di più con WireGuard: meno lavoro della CPU per byte tunnelato.

Sicurezza e storia degli audit

OpenVPN è stato distribuito ininterrottamente dal 2001 con audit importanti nel 2017 (revisioni mirate ai CVE di Cure53 e OSTIF, finanziate da Private Internet Access) e di nuovo nel 2019, 2022, 2024. Diversi CVE sono stati identificati e corretti nel corso degli anni; la storia pubblica è di per sé un segnale di sicurezza: i bug allo scoperto sono stati trovati e corretti.

Il protocollo centrale di WireGuard è stato verificato formalmente con Tamarin in un lavoro accademico (2018-2020). L'implementazione nel kernel Linux è stata sottoposta ad audit da Cure53 nel 2019. INRIA e team accademici hanno pubblicato analisi successive. NordVPN, Mullvad e ProtonVPN hanno ciascuno commissionato audit delle rispettive implementazioni di WireGuard: per esempio NordLynx (il wrapper WireGuard di NordVPN) è stato sottoposto ad audit da Cure53 nel 2023.

Un punto sottile: il design di riferimento di WireGuard memorizza l'IP del peer più recente nella configurazione del server — utile per il roaming dell'endpoint, problematico per la privacy se un provider lo tratta come log persistente. I grandi provider (NordVPN, Mullvad, ProtonVPN) avvolgono WireGuard con double NAT o traduzione di indirizzo, così che l'IP memorizzato non risalga a un abbonato specifico. I provider più piccoli potrebbero non farlo: una configurazione WireGuard generica di un VPN minuscolo merita prudenza.

Quando OpenVPN batte ancora WireGuard nel 2026?

OpenVPN vince in tre scenari specifici: (1) paesi censurati (Cina, Iran, Emirati Arabi Uniti) — OpenVPN su TCP/443 con offuscamento sconfigge il DPI; la firma UDP di WireGuard è facilmente bloccabile. (2) Firewall aziendali che bloccano UDP 51820. (3) Router e hardware precedenti al 2021 senza supporto WireGuard nel kernel. Per il 95% degli utenti domestici in paesi non censurati, WireGuard è la scelta predefinita giusta.

Paesi censurati. Il Great Firewall cinese, il filtro nazionale iraniano e sistemi DPI simili possono identificare in pochi secondi la firma distintiva dei pacchetti UDP di WireGuard e limitare o bloccare il flusso. OpenVPN su TCP/443 con offuscamento stunnel (a volte chiamato "Stealth VPN" o "Obfuscated Servers") imita il normale traffico HTTPS e supera il DPI nella maggior parte dei casi. Gli Obfuscated Servers di NordVPN, il Lightway con offuscamento di ExpressVPN e la modalità Camouflage di Surfshark si basano tutti su questo principio. Vedi la nostra guida VPN per la Cina 2026 per consigli specifici.

Reti aziendali che bloccano UDP. Molti firewall aziendali consentono TCP/443 in uscita (HTTPS) ma bloccano il traffico UDP al di fuori di specifiche liste di autorizzazione. La predefinita UDP 51820 di WireGuard è una delle prime cose a essere bloccate. OpenVPN TCP/443 è indistinguibile da HTTPS a livello di rete e passa. Se sei un freelance che lavora da un WiFi aziendale per ospiti o da un hotel che filtra in modo aggressivo, OpenVPN TCP è un ripiego noto.

Router datati e hardware embedded. I router consumer costruiti prima del 2021 generalmente non hanno il supporto WireGuard nel kernel. Gli apparati industriali (sistemi POS, automazione degli edifici, vecchie telecamere IP) spesso supportano solo OpenVPN. Se la tua installazione tocca uno di questi casi, OpenVPN resta la lingua franca.

Implementazioni specifiche dei provider da conoscere

NordVPN — NordLynx. WireGuard avvolto in un sistema double-NAT che nasconde il problema di progettazione dell'IP peer statico. Protocollo predefinito su tutte le app NordVPN dal 2022. Sottoposto ad audit da Cure53. Velocità e stabilità sono le più vicine al "WireGuard grezzo" tra i grandi provider.

ExpressVPN — Lightway. Non WireGuard — un protocollo proprietario basato su wolfSSL, progettato per gli stessi obiettivi (velocità, efficienza su mobile) senza il vincolo di progettazione dell'IP peer di WireGuard. Reso open source nel 2021, sottoposto ad audit da Cure53. WireGuard puro è stato aggiunto in seguito come opzione.

ProtonVPN — WireGuard standard. WireGuard puro con traduzione di indirizzo lato provider. Il piano gratuito di ProtonVPN espone WireGuard, cosa insolita — la maggior parte dei provider riserva WireGuard ai piani a pagamento nel piano gratuito.

Mullvad — solo WireGuard. Ha rimosso il supporto a OpenVPN nel 2023 per concentrare l'ingegneria su un unico protocollo. Difensivo, ma riduce la flessibilità per gli utenti con vincoli di rete aziendali o censurati.

Surfshark — WireGuard dal 2020. WireGuard, OpenVPN UDP e OpenVPN TCP coesistono tutti. L'implementazione è standard anziché avvolta — verifica le impostazioni se desideri garanzie esplicite di double-NAT.

Scelta editoriale

4.6 / 5

Prova una VPN con WireGuard e OpenVPN integrati — 30 giorni soddisfatti o rimborsati

NordLynx (WireGuard) + Obfuscated OpenVPN per reti limitate

Audit Deloitte 2024Garanzia di 30 giorni14M+ utenti

Vedi l'offerta

Albero decisionale pratico

Per internet di casa, mobile, gaming, streaming in paesi non censurati → usa il predefinito del provider (WireGuard / NordLynx / Lightway). È più veloce, più gentile con la batteria e sottoposto ad audit.

Per reti aziendali in cui sospetti che UDP sia bloccato → passa manualmente a OpenVPN TCP/443 prima del viaggio. Prova una volta a destinazione, ripiega se necessario.

Per viaggi in Cina, Iran, Emirati Arabi Uniti, Russia → scegli un provider con Obfuscated Servers (NordVPN Obfuscated, offuscamento Lightway di ExpressVPN, Surfshark Camouflage). Usa OpenVPN TCP/443 come ripiego se l'offuscamento fallisce. Scarica le configurazioni prima della partenza — i siti dei provider sono spesso bloccati a destinazione.

Per l'installazione su un router legacy o un dispositivo embedded → OpenVPN è l'unica opzione. Verifica il supporto WireGuard nel firmware prima di farci affidamento.

Per casi d'uso a privacy rigorosa (giornalismo, dissidenza) → Mullvad WireGuard (o qualsiasi provider con wrapper WireGuard sottoposti ad audit indipendenti) più Tor su VPN se necessario. Verifica nello specifico la policy di logging WireGuard del provider, non solo la policy generale no-log.

Letture di approfondimento

Guide VPN correlate