La giurisdizione VPN spiegata: 5 / 9 / 14 Eyes, la razzia di Mullvad e il caso dei log di PureVPN
Il marketing delle VPN fa molta leva sulla giurisdizione. I due eventi di cooperazione giudiziaria meglio documentati — la razzia di Mullvad del 2023 e la cooperazione di PureVPN con l'FBI del 2017 — mostrano che ciò che il provider conserva conta più della bandiera del paese.
Cosa significa davvero 5 / 9 / 14 Eyes
I 5 Eyes sono un accordo di condivisione di intelligence dei segnali tra USA, Regno Unito, Canada, Australia e Nuova Zelanda, con origini nell'accordo UKUSA del secondo dopoguerra. I 9 Eyes aggiungono Danimarca, Francia, Paesi Bassi e Norvegia. I 14 Eyes aggiungono Germania, Belgio, Italia, Svezia e Spagna. Il marketing delle VPN ha reso popolare l'idea che una VPN registrata in uno qualsiasi di questi 14 paesi sia a rischio perché il suo governo ospitante potrebbe costringerla a consegnare i dati e a condividerli con l'alleanza più ampia. La dichiarazione è parzialmente vera — quei governi dispongono effettivamente di quadri giuridici per le richieste di dati — ma non è tutta la storia.
Dove hanno sede le principali VPN sottoposte ad audit
Mullvad: Göteborg, Svezia (nei 14 Eyes). L'entità operativa di NordVPN, Nordvpn S.A.: Panama (fuori dagli Eyes). Proton VPN: Plan-les-Ouates, Ginevra, Svizzera (fuori dagli Eyes; la Svizzera è anche fuori dall'UE e dal quadro statunitense per le richieste giudiziarie). L'entità operativa di ExpressVPN, Express VPN International Ltd.: Isole Vergini Britanniche (fuori dagli Eyes). Surfshark B.V.: Paesi Bassi (nei 9 Eyes). Due delle cinque — Mullvad e Surfshark — si trovano in giurisdizioni Eyes; tre sono fuori. Tutte e cinque hanno pubblicato audit no-log.
La razzia di Mullvad del 2023: cosa è successo davvero
Il 18 aprile 2023, sei agenti del Dipartimento operazioni nazionali svedese (NOA) si sono presentati all'ufficio di Mullvad a Göteborg con un mandato di perquisizione, con l'intenzione di sequestrare computer contenenti dati dei clienti. Il mandato era stato emesso il 17 febbraio 2023 nell'ambito di una cooperazione giudiziaria internazionale con le autorità tedesche. Mullvad ha documentato pubblicamente l'evento lo stesso giorno su mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Secondo il resoconto di Mullvad e le successive segnalazioni, la polizia se n'è andata senza sequestrare nulla perché i dati cercati dal mandato non esistevano sui server. Lo storico degli audit di Mullvad di Cure53 (il più recente: 4° audit dell'infrastruttura, giugno 2024) documenta la configurazione no-log dei server che ha prodotto questo esito. L'implicazione: la giurisdizione ha contato — la razzia è avvenuta — ma il fattore decisivo è stata la postura operativa sulla privacy.
La cooperazione di PureVPN con l'FBI del 2017: l'inverso
Nell'ottobre 2017, l'FBI ha usato i log di connessione VPN di PureVPN per identificare Ryan Lin, un uomo di 24 anni del Massachusetts, in un esteso caso di cyberstalking. Il marketing di PureVPN prima del caso aveva enfatizzato una dichiarazione no-log. L'affidavit dell'FBI (citato negli atti del DoJ e nelle segnalazioni dei principali media su bleepingcomputer.com e altri) documentava che PureVPN aveva, di fatto, conservato log di connessione che includevano l'indirizzo IP di casa del cliente all'inizio della sessione, e che quei log erano sufficienti a identificare Lin tramite le sue sessioni VPN. Il caso è l'esempio inverso canonico: una dichiarazione di marketing contraddetta da ciò che il provider effettivamente conservava, e la giurisdizione del provider (Hong Kong — fuori dagli Eyes) non ha protetto i dati perché i dati esistevano ed erano pertinenti a una richiesta giudiziaria statunitense.
Cosa predice e cosa non predice la giurisdizione
La giurisdizione è un fattore di rischio reale quando viene formulata una richiesta governativa. Un provider in una giurisdizione dei 14 Eyes con un quadro di cooperazione giudiziaria con il paese richiedente può essere costretto a consegnare i dati che detiene. Ma la giurisdizione non predice ciò che il provider detiene. Un provider no-log nei 14 Eyes (Mullvad) non ha nulla da consegnare; un provider che conserva log in una giurisdizione fuori dagli Eyes (PureVPN intorno al 2017) sì. Gli eventi di Mullvad e PureVPN insieme stabiliscono che la variabile predittiva è la prassi operativa — verificata tramite audit — non la bandiera del paese.
Cosa valutare nel 2026
Tre fattori predicono gli esiti reali sulla privacy in modo più affidabile della sola giurisdizione. (1) Ambito e attualità dell'audit — l'audit pubblicato più recente copre la configurazione a livello di server, ed è degli ultimi 24 mesi? (2) Client open source — le app desktop e mobili sono pubblicate come open source? Sia Mullvad sia Proton VPN pubblicano i loro client su GitHub. (3) Risposta documentata a un vero evento di coercizione legale — Mullvad ne ha uno (la razzia del 2023), PureVPN ha quello inverso (il caso del 2017). La maggior parte dei provider non ha né l'uno né l'altro. Applica la giurisdizione come fattore di spareggio una volta soddisfatti i primi tre, non come fattore principale.
Fonti
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (con citazioni dell'accordo UKUSA originale). Razzia Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Storico degli audit Mullvad: mullvad.net/en/blog/tag/audits. Caso PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Giurisdizione NordVPN: nordvpn.com/blog/jurisdiction. Giurisdizione Proton VPN: protonvpn.com/features/swiss-based. ExpressVPN Trust: expressvpn.com/trust. Surfshark Trust: surfshark.com/trust-center. Tutti gli URL consultati il 2026-04-30.