Un aumento del 100% nei volumi di ricerca su Google e di download da parte degli utenti, una crescita esponenziale di guide, manuali e tutorial per il loro utilizzo. A guardare i numeri, sembrerebbe che le piattaforme VPN stiano vivendo un periodo d’oro. In realtà, i servizi per la navigazione sicura (e anonima) sono da anni sotto il fuoco di fila di un numero impressionante di governi che dimostrano un’allergia diffusa all’utilizzo di sistemi di navigazione protetta. 

Insomma, sembra proprio che le VPN non piacciano alle autorità e il loro atteggiamento lo dimostra. Si va dal divieto assoluto del loro utilizzo in paesi come Bielorussia, Corea del Nord, Iraq e Turkmenistan, passando a forme di controllo più o meno stringenti come quelle previste in Bahrein, Cina, Kazakistan, India, Iran, Oman, Qatar, Russia e Tajikistan. Anche dove le VPN non sono proibite esplicitamente o il loro uso non è sottoposto a controlli rigorosi, le reti private virtuali vengono generalmente viste con un certo sospetto e il loro utilizzo viene osteggiato in vari modi. E non sono mancati problemi anche in Paesi democratici. Le ragioni affondano in un puzzle complesso in cui si intrecciano censura, sorveglianza di massa, interessi commerciali e gigantesche contraddizioni. E a peggiorare la situazione ci si mette anche la balcanizzazione di internet, un fenomeno analizzato da diversi anni che indica la creazione di blocchi geopolitici anche per quanto riguarda la rete e rischia di portare a una sua limitazione sempre più stringente.

Vantaggi e criticità delle VPN

A differenza di sistemi come Tor, che offrono un buon livello di anonimato “by design” (anche se va detto che l’anonimato online in generale resta un traguardo difficile da raggiungere e mantenere), il grado di privacy e sicurezza garantito dalle VPN dipende, tra le altre cose, anche dalle policy applicate dal provider. In sintesi, una VPN non è altro che un collegamento protetto da crittografia tra il dispositivo dell’utente e il server remoto del provider, che funziona come “ponte” nella navigazione. 

I vantaggi offerti dall’uso di una VPN sono principalmente tre: protezione dei dati, privacy della navigazione nei confronti del provider internet e dei siti visitati e possibilità di aggirare blocchi e restrizioni. La protezione è garantita dai sistemi crittografici, mentre la possibilità di superare eventuali blocchi a livello geografico è offerta dalla possibilità di “uscire” da un server remoto posizionato in un altro paese. 

L’aspetto più delicato, però, è quello della privacy. È vero che quando si utilizza una VPN il proprio indirizzo IP viene mascherato (con quello del server remoto) e, in questo modo, gli Internet Service Provider non possono tracciare la navigazione dell’utente. Potenzialmente, però, alcuni dati di navigazione possono essere ancora registrati dallo stesso VPN provider. 

Uno dei prerequisiti per considerare una VPN ragionevolmente affidabile, di conseguenza, è che il provider stesso garantisca una policy “no log” (eventualmente validata da auditor indipendenti), l’impegno cioè a non registrare in alcun modo l’attività online degli utilizzatori. Ed è proprio questo uno dei punti critici su cui spesso agiscono le autorità per minarne alle fondamenta l’efficacia. 

La censura dei contenuti

La più banale spiegazione del contrasto alla diffusione delle VPN è dettata dalla pratica della censura online. Una delle caratteristiche delle Virtual Private Network è infatti quello di consentire di aggirare le limitazioni nell’accesso ai contenuti imposti attraverso filtri e blocchi implementati dagli Internet Service Provider a livello locale. Qualcosa che infastidisce notevolmente i governi che applicano sistematicamente la censura di Internet.

Stando a quanto riportato dal report Freedom On The Net 2024, che ha analizzato lo stato dell’arte della libertà di espressione su Internet in 72 paesi, 41 di questi applicano blocchi su contenuti politici, religiosi o sociali. Secondo i ricercatori, il 70% dei cittadini del pianeta subiscono restrizioni a livello di libertà nell’accesso al Web. L’elemento preoccupante che emerge dal report, però, è quello relativo alle ingerenze dei governi nell’uso di Internet. I dati relativi a limitazioni di accesso a determinati contenuti e servizi o ad azioni (più o meno) legali giustificate dalle attività online sono impressionanti.

Secondo il report, sui 5 miliardi di individui che hanno accesso a Internet, il 79% vive in paesi in cui si sono verificati arresti determinati dalle attività di pubblicazione online su temi politici, sociali o religiosi. Il 65% subisce forme di censura e il 48% ha subito un blocco delle comunicazioni, spesso per motivi politici. 

I casi di censura sistematica sul Web non sono affatto rari. È il caso per esempio della Cina, in cui il celebre Great Firewall agisce come “tagliola” nell’accesso a siti e risorse online considerati non allineati con le politiche della Repubblica Popolare. In Cina, di conseguenza, l’uso delle VPN è limitato a quelle autorizzate dal governo. Il temuto giro di vite previsto in origine dalla nuova Network Data Security Management Regulations, entrata in vigore il primo gennaio 2025, non è invece stato confermato in sede di approvazione della legge. 

La possibilità di “uscire” da un server remoto che si trova fuori dai confini del Great Firewall è considerata sufficiente perché il governo di Pechino consideri le VPN come una minaccia per la stabilità della Repubblica Popolare e le sottoponga, di conseguenza, a una stretta forma di controllo.

Qualcosa di simile avviene in Pakistan, nazione in cui le autorità religiose hanno recentemente definito l’uso delle VPN “non islamico”, mettendole sostanzialmente al bando nel paese. 

Il cortocircuito di Mosca

Un atteggiamento simile viene tenuto dal governo russo, che sta portando avanti una strenua battaglia per limitare l’uso delle VPN ai suoi cittadini a suon di bandi e sanzioni che hanno interessato molti provider. Il paradosso, segnalato da Novaya Gazeta, è che parallelamente al contrasto delle VPN per uso privato, il Cremlino spende cifre stratosferiche per implementare VPN sui suoi network governativi.

Il lavoro sporco, in questo caso, è affidato al famigerato Roskomnadzor, l’autorità che gestisce le comunicazioni nella Federazione Russa. Il divieto delle VPN, formalmente, riguarda solo i servizi che permettono di aggirare i blocchi, ma il fatto che i servizi disponibili siano solo quelli “approvati dal governo” instilla il sospetto che l’approvazione sia sottoposta alla condizione che i provider accettino di fornire  log di connessione dei loro utenti. 

Mosca, però, sta andando oltre il bando delle VPN. Da tempo, infatti, il governo di Putin mira alla creazione di una sorta di “Internet sovrana”, che limiterebbe l’accesso a contenuti e servizi in maniera più drastica attraverso la realizzazione di una rete chiusa. Notizie di test in questo senso si sono registrati nel 2019 e, più recentemente, lo scorso dicembre. Gli episodi, per il momento, hanno interessato solo specifiche regioni e, stando a quanto riportato da alcuni utenti sul Web, il blocco non sarebbe aggirabile neanche attraverso i servizi VPN non autorizzati. 

La balcanizzazione di Internet e il caso TikTok

Senza arrivare agli estremi di Mosca, il fenomeno di una sempre più marcata frammentazione della Rete si colloca tra i fattori che contribuiscono ad alimentare il giro di vite globale sulle VPN. Un “caso studio”, in questo senso, è TikTok. Il social network di proprietà di ByteDance (azienda cinese) non è solo protagonista di una telenovela infinita negli Stati Uniti, ma è stato bandito anche in India.

Le ragioni del bando (che risale al 2020 ed è stato reso permanente nel 2021) riguardano le tensioni politiche tra i due “vicini” e si sono estese ad altre 58 app di proprietà di società cinesi. Ovvio che le VPN siano diventate un altro bersaglio di questa schermaglia.

Il governo di Mumbai nel 2022 ha già regolato l’uso delle VPN inserendo l’obbligo per i provider di conservare i log degli utenti per almeno 5 anni e fornirli alle autorità qualora lo chiedessero, rendendole praticamente inutili sotto il profilo della tutela della privacy. Non solo: le piattaforme VPN non possono (o per lo meno non dovrebbero) consentire l’accesso al social network di ByteDance.   

Qualcosa di simile accade in Brasile, dove la Corte Suprema è stata protagonista di un duro scontro con X. La vicenda, che ha portato al bando del social network nel settembre 2024 (provvedimento ora annullato) ha coinvolto anche le VPN. 

La decisione della Corte Suprema brasiliana di bloccare la piattaforma di Elon Musk era stata infatti accompagnata dal divieto assoluto di uso di VPN, con l’evidente scopo di impedire l’aggiramento del blocco. In seguito, il divieto è stato revocato, ma è rimasto in vigore un sistema di sanzioni amministrative per chi utilizzasse le VPN per collegarsi a X fino alla risoluzione della crisi. 

Gli USA e le VPN come rischio per la sicurezza

Negli USA ci sono state preoccupazioni legate al possibile ban di TikTok, quando vari VPN provider hanno temuto che un divieto di quel tipo avesse ricadute su di loro. Ma ultimamente il focus è semmai sulla sicurezza interna. “Non usate i servizi VPN.” E’ quello che ha detto la Cybersecurity and Infrastructure Security Agency (CISA), l’agenzia che si occupa della sicurezza di infrastrutture critiche, nel pieno della crisi legata all’attacco informatico del gruppo cinese Salt Typhoon ai sistemi di telecomunicazioni statunitensi. L’indicazione è contenuta nel Mobile Communications Best Practice Guidance, un documento pubblicato lo scorso 18 dicembre in cui vengono fornite le istruzioni per rafforzare la sicurezza delle comunicazioni digitali. Al suo interno si raccomanda l’uso di sistemi di messaggistica con crittografia end to end, l’implementazione di sistemi di autenticazione “forti”,  il costante aggiornamento del software e addirittura l’acquisto di nuovi dispositivi che garantiscano il “massimo livello di sicurezza”. Le VPN, però, no. Perché?

Le motivazioni addotte dalla CISA sono in realtà un buon reminder anche per i comuni utenti che spesso si affidano a provider commerciali e gratuiti senza pensare che stanno semplicemente trasferendo la fiducia e i loro dati a un altro soggetto. “Le VPN personali – si legge – spostano semplicemente i rischi residui dal tuo provider di servizi Internet (ISP) al provider della VPN, spesso aumentando la superficie di attacco. Molti provider di VPN gratuite e commerciali hanno politiche di sicurezza e privacy discutibili. Tuttavia, se la tua organizzazione richiede un client VPN per accedere ai propri dati, si tratta di un caso d’uso diverso”.

In passato le amministrazioni USA, soprattutto quelle democratiche, hanno sostenuto servizi di questo genere in funzione anti-censura in Paesi non democratici. Ancora a settembre la Casa Bianca ha incontrato i rappresentanti delle Big Tech, tra cui Amazon, Google, Microsoft e Cloudflare, esortandoli a mettere a disposizione una maggiore larghezza di banda dei server per alcuni servizi VPN parzialmente finanziati dal governo statunitense attraverso l’Open Technology Fund. L’OTF sostiene che gli utenti delle “sue” VPN, in particolare in Iran e in Russia, siano cresciuti di decine di milioni dal 2022 e sta lottando per tenere il passo con la domanda, scrive Coda Story.
In particolare, la guerra in Ucraina aveva fatto incrementare il sostegno economico del governo americano verso questi servizi.

“Per oltre un decennio Open Technology Fund ha sostenuto regolarmente 9 milioni di utenti VPN attivi mensilmente”, scriveva qualche mese fa l’organizzazione. “Poiché la censura e la frammentazione di Internet sono diventate più pervasive a livello globale, oggi sosteniamo regolarmente ben 46 milioni di utenti attivi mensili, con un aumento di oltre il 500% negli ultimi due anni. Questo perché le VPN sono ormai un requisito essenziale per miliardi di persone in tutto il mondo che vogliono accedere all’Internet globale come lo viviamo noi. Tuttavia, questa domanda sta rapidamente superando le risorse pubbliche disponibili. Ad esempio, vediamo già una domanda insoddisfatta in Russia in previsione del blocco di YouTube da parte del governo”.

La nuova amministrazione Trump, anche su questo fronte, potrebbe però capovolgere il precedente indirizzo.

Italia: quando la VPN è un “effetto collaterale”

In Italia l’uso delle VPN non ha particolari restrizioni, ma l’attività dei provider che forniscono servizi di Virtual Private Network si è decisamente complicata a partire dallo scorso autunno. Con una serie di emendamenti contenuti nel decreto omnibus, il governo italiano ha modificato la legge per la tutela del diritto d’autore introducendo una serie di obblighi che hanno provocato le proteste di associazioni di categoria come l’Associazione italiana internet provider e Assoprovider.

Gli obblighi introdotti riguardano il contrasto alla pirateria online e in particolare al fenomeno del cosiddetto “pezzotto”, quello che consente la trasmissione pirata in streaming delle partite di Serie A. In sintesi, la norma impone a tutti gli operatori su Internet (ma sono citati espressamente anche i provider di VPN) un ruolo di “sorveglianza” con il rischio, in caso di mancato adempimento, di condanne penali per i rappresentanti in Italia. 

In pratica, secondo la nuova versione della legge gli operatori dovrebbero controllare l’attività dei loro utenti e segnalare eventuali connessioni a siti pirata e (addirittura) qualsiasi attività potenzialmente legata ad attacchi informatici. Una previsione che si scontra frontalmente con le policy “no log” dei provider VPN e, in pratica, fa rischiare l’illegalità ai servizi di questo tipo