Come testiamo le VPN

Protocolli di test dettagliati

Per ogni VPN che testiamo, applichiamo cinque protocolli distinti. Ogni protocollo produce dati riproducibili: un altro operatore adeguatamente attrezzato dovrebbe essere in grado di ripetere l'esperimento e ottenere numeri comparabili entro ± 10%.

1. P1

   Test di perdita DNS

   Metodo: apri una sessione VPN, quindi esegui quattro test DNS concorrenti contro quattro resolver distinti (1.1.1.1 Cloudflare, 8.8.8.8 Google, 9.9.9.9 Quad9, il resolver pubblicizzato dalla VPN). Incrocia l'IP restituito su quattro servizi (ipleak.net, dnsleaktest.com, browserleaks.com/dns, mullvad.net/check). Soglia accettabile: nessuna perdita rilevata su controlli cumulativi ripetuti per fornitore. Qualsiasi fornitore con anche una perdita parziale è segnalato come fallito e declassato.

2. P2

   Test di perdita WebRTC + IPv6

   Metodo: apri Chrome su chrome://webrtc-internals + ipleak.net in parallelo, controlla il candidato ICE STUN e l'IP pubblico emerso. Test incrociato contro browserleaks.com/webrtc e browserleaks.com/ip per escludere falsi negativi. Soglia accettabile: nessun IP reale visibile su ICE/STUN o IPv6 su controlli ripetuti per fornitore.

3. P3

   Test di velocità iperf3

   Metodo: client/server iperf3 contro 12 server europei (Germania, Francia, Paesi Bassi, Regno Unito, Italia, Spagna, Svezia, Polonia, Svizzera, Belgio, Austria, Irlanda) + 4 server USA (Ashburn, Dallas, Los Angeles, New York) + 2 server Asia (Tokyo, Singapore). Tre sessioni per server, in tre fasce orarie (9am, 2pm, 9pm Europa/Parigi), misurazione mediana. Convalidato con fast.com e speedtest di Cloudflare per escludere anomalie del server iperf pubblico.

4. P4

   Test del kill switch

   Metodo: apri una sessione VPN attiva con traffico di streaming in corso, quindi forza la disconnessione del tunnel (termina il processo VPN, scollega Ethernet, disabilita l'interfaccia di rete virtuale). Monitora il traffico di rete tramite Wireshark sull'interfaccia fisica in parallelo. Soglia accettabile: zero pacchetti in chiaro tra la caduta del tunnel e il recupero. Test ripetuto più volte per fornitore.

5. P5

   Verifica della politica no-log

   Lettura completa della politica sulla privacy pubblicata dal fornitore, confronto con l'ultimo audit indipendente disponibile (PwC, Deloitte, KPMG, Cure53), controllo incrociato con casi giudiziari noti (richieste Tor, DMCA, sequestri di server). Punteggio qualitativo: 0 = nessun audit, 1 = audit interno, 2 = audit Big Four pubblicato, 3 = audit Big Four pubblicato + un caso giudiziario che ha convalidato l'assenza di log nella pratica.

Strumenti che utilizziamo

Strumenti open-source o commerciali che eseguiamo per ogni batteria di test. Nessun strumento proprietario, nessun script segreto: tutto è riproducibile.

• iperf3

  Misurazione del throughput e della latenza TCP/UDP in modalità client/server. Utilizzato contro server iperf pubblici per numeri di riferimento.

• Wireshark

  Ispezione dei pacchetti in tempo reale per verificare la tenuta del tunnel, convalidare il kill switch (zero pacchetti in chiaro tra la caduta del tunnel e il recupero) e rilevare perdite DNS al di fuori di UDP/53.

• Speedtest CLI (Ookla)

  Benchmark di velocità da riga di comando Ookla, contro server Speedtest geolocalizzati vicino al punto finale VPN. Utilizzato per confrontare la perdita di throughput relativa rispetto alla linea base senza VPN nello stesso slot temporale.

• dnsleaktest.com + ipleak.net + browserleaks.com

  Test incrociati per DNS, IP, WebRTC e IPv6. Tre servizi sono utilizzati per escludere falsi positivi legati alla cache o alla geolocalizzazione di un singolo servizio.

• Script Python personalizzati (github.com/ricco020)

  Controlli standard delle perdite basati su browser (dnsleaktest.com, ipleak.net, browserleaks.com), ripetuti per fornitore.

Configurazione dell'ambiente di test

Metodologia di valutazione

Il punteggio finale di AnonymFlow di una VPN combina sei assi ponderati. Nessun punteggio esce da questa formula — nessun aggiustamento soggettivo per favorire un partner.

• Velocità misurata (25%)

  Perdita di throughput mediana sui 18 server testati. Linea base: velocità nominale della linea senza VPN.

• Sicurezza — DNS + WebRTC + kill switch (30%)

  Punteggio composito: 10% perdita DNS, 10% perdita WebRTC/IPv6, 10% kill switch efficace. Una singola perdita abbassa questo asse a 0.

• Politica no-log (20%)

  Punteggio qualitativo da 0 a 3 (vedi Protocollo 5). Moltiplicato per 100/3 per ottenere una percentuale.

• Prezzo reale (10%)

  Tariffa effettiva di 24 mesi mediata con la tariffa di rinnovo dichiarata. Non solo la tariffa teaser iniziale.

• Supporto (10%)

  Tempo di risposta del supporto su cinque ticket di test, qualità della risposta (tecnica vs scriptata), disponibilità chat 24/7.

• Ergonomia / UX (5%)

  Attrito nell'installazione, leggibilità dell'app, facilità di accesso alle impostazioni avanzate. Peso più basso perché più soggettivo.

Ogni VPN valutata è testata ripetutamente su una finestra di almeno 30 giorni. Un aggiornamento annuale completo (ri-test completo) è garantito per le VPN raccomandate; la data di modifica del frontespizio riflette ogni aggiornamento.

Limiti & trasparenza

Dati di riferimento — cifre citabili

Riepilogo di come valutiamo le VPN: capacità documentate, audit indipendenti pubblicati e i test di perdita/velocità che qualsiasi lettore può riprodurre con gli strumenti elencati sopra.

Dataset completo : Capacità documentate + audit indipendenti pubblicati

Definizioni chiave

Termini tecnici utilizzati nei nostri test, definiti con precisione per evitare qualsiasi ambiguità nell'interpretazione dei risultati.

Kill switch

Un meccanismo che interrompe automaticamente la connessione internet se il tunnel VPN cade. Senza un kill switch, il traffico riprende in chiaro per alcuni secondi — l'IP reale è esposto senza avviso visibile. Testato disconnettendo forzatamente il tunnel (terminando il processo VPN) con Wireshark in esecuzione per rilevare eventuali pacchetti in chiaro.

Perdita DNS

Situazione in cui le query DNS escono al di fuori del tunnel VPN e passano attraverso il resolver dell'ISP, rivelando i nomi di dominio visitati nonostante una VPN attiva. Rilevabile tramite dnsleaktest.com o ipleak.net. Causa comune: client VPN che non cattura il resolver di sistema su Windows Smart Multi-Homed Named Resolution.

Perdita WebRTC

Esposizione dell'indirizzo IP reale (locale o pubblico) tramite l'API WebRTC del browser (STUN/ICE), anche con una VPN attiva. Colpisce ~30% delle configurazioni Chrome/Edge. Rilevabile tramite browserleaks.com/webrtc o il nostro strumento integrato.

Perdita IPv6

Traffico IPv6 che transita in chiaro al di fuori del tunnel VPN se il client VPN non blocca l'interfaccia IPv6. Presente su ~40% delle connessioni in fibra francesi. Rilevabile tramite la sezione IPv6 di ipleak.net.

No-log

Politica che dichiara che il fornitore VPN non memorizza né indirizzi IP degli utenti, né siti visitati, né timestamp di connessione. Valore verificato solo tramite audit indipendente pubblicato (PwC, Deloitte, Cure53) — una dichiarazione commerciale senza audit è una promessa non verificabile.

Giurisdizione Five Eyes

Alleanza di condivisione dell'intelligence tra Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda con condivisione reciproca dei dati di sorveglianza. Una VPN con sede in un paese membro può essere legalmente obbligata a cooperare. Le giurisdizioni non alleate (Panama, Svizzera, Romania) riducono questo rischio legale.

Perfect Forward Secrecy (PFS)

Meccanismo che ruota automaticamente le chiavi di crittografia ogni sessione: se una chiave è compromessa, le sessioni passate rimangono protette. Presente in WireGuard e OpenVPN moderni. Essenziale per la protezione a lungo termine.

Double VPN (multi-hop)

Traffico instradato attraverso due server VPN successivi: crittografia a strati, nessun server singolo vede sia l'IP di origine che la destinazione. Maggiore latenza (+40-80 ms tipico). Utile per giornalisti e attivisti sotto sorveglianza attiva.

I nostri principi editoriali

• Nessun punteggio inferiore a 3/5 accettato come "raccomandato"

  Se una VPN ottiene un punteggio inferiore a 3/5 sulla nostra griglia, non la raccomandiamo, indipendentemente dalla commissione offerta.

• Svantaggi elencati in bianco e nero

  Ogni recensione contiene una sezione "cosa ci piace meno" — nessun marketing mascherato.

• Aggiornamento minimo trimestrale

  Le VPN evolvono: prezzi, blocchi Netflix, audit. Riproviamo ogni fornitore raccomandato almeno ogni 3 mesi.

• Trasparenza sulla compensazione

  Guadagniamo una commissione se ti abboni tramite i nostri link — menzionato su ogni pagina (banner + link contrassegnati come sponsorizzati nofollow).