Cos'è una VPN no-log? Provider sottoposti ad audit, report indipendenti e come distinguere una dichiarazione reale dal marketing
Una VPN no-log è una VPN che non registra traffico, DNS o metadati di connessione in grado di identificare un utente. La dichiarazione conta solo quando un revisore indipendente ha ispezionato l'infrastruttura reale. Ecco come capirlo.
Cosa significa davvero "no-log"
Una VPN no-log è un provider che si impegna a non registrare traffico, query DNS, indirizzi IP o timestamp di connessione che potrebbero essere ricondotti a un singolo utente. La parola 'no-log' di per sé non ha alcuna definizione giuridica. Ogni homepage di una VPN la utilizza. La dichiarazione diventa significativa solo quando un revisore indipendente ha ispezionato l'effettivo parco server e la sua configurazione — e il report è pubblicato. Al 2026, tutte e cinque le principali VPN a pagamento di cui ci occupiamo (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) hanno pubblicato audit indipendenti.
Cosa coprono effettivamente gli audit pubblicati
L'audit più recente di Mullvad è di Cure53, condotto dal 3 al 14 giugno 2024 (il suo quarto audit in assoluto, il secondo con Cure53). È un audit dell'infrastruttura che copre un server OpenVPN e un server WireGuard nel parco di produzione di Mullvad. Proton VPN ha superato quattro audit no-log consecutivi di Securitum (2022, 2023, 2024, 2025). NordVPN ha superato sei valutazioni indipendenti di garanzia no-log secondo lo standard ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Il Trust Center di ExpressVPN elenca 23 audit pubblicati, il più recente dei quali è un terzo audit no-log di KPMG (2025) e gli audit di Cure53/Praetorian della riscrittura in Rust del protocollo Lightway (set–ott 2024). Surfshark ha audit no-log di Deloitte nel 2023 e nel 2025 secondo lo standard ISAE 3000.
Come si presenta una dichiarazione no-log reale
Tre segnali distinguono una dichiarazione no-log reale dal marketing. Primo, un report di terze parti pubblicato — non un articolo di blog in stile comunicato stampa, ma un PDF scaricabile o una pagina del trust center con il nome del revisore e la data. Secondo, un ambito di audit che includa l'infrastruttura (configurazione a livello di server), non solo l'app client. Terzo, idealmente, una vera prova sotto ordine del tribunale. Gli uffici di Mullvad sono stati perquisiti dalla polizia svedese il 18 aprile 2023 in base a un mandato emesso a seguito di una richiesta di cooperazione giudiziaria tedesca; Mullvad ha documentato pubblicamente l'evento e la polizia se n'è andata senza sequestrare dati dei clienti perché i dati cercati dal mandato non esistevano sui server (secondo l'articolo del blog di Mullvad sul mandato di perquisizione). PureVPN, al contrario, ha fornito i log di connessione all'FBI nel 2017 nel caso di cyberstalking di Ryan Lin nonostante il suo precedente marketing 'no-log' — il caso è l'esempio canonico inverso di una dichiarazione di marketing contraddetta da una vera coercizione legale.
La giurisdizione conta meno di ciò che il provider conserva
Il marketing delle VPN fa molto leva sulla giurisdizione. Gli accordi di condivisione di intelligence 5 / 9 / 14 Eyes (USA, Regno Unito, Canada, Australia, Nuova Zelanda + Danimarca, Francia, Paesi Bassi, Norvegia + Germania, Belgio, Italia, Svezia, Spagna) sono reali e una VPN registrata in Svezia o nei Paesi Bassi rientra nel loro ambito. Ma un provider in una giurisdizione fuori dagli Eyes che conserva i log di connessione è peggio di un provider no-log situato ovunque. Mullvad (Svezia, nei 14 Eyes) e Proton VPN (Svizzera, fuori dagli Eyes) sono entrambi sottoposti ad audit; la perquisizione di Mullvad dimostra che una configurazione no-log conta più di una bandiera sulla mappa.
Come leggere un report di audit
Apri il report e cerca tre cose. (1) Ambito — il report descrive cosa ha esaminato il revisore, inclusi quali server, quali protocolli, quale intervallo di date? Un linguaggio generico del tipo 'abbiamo verificato la policy' senza dettagli è più debole di 'abbiamo esaminato i file di configurazione VPN e le configurazioni dei server'. (2) Metodo — i report di Securitum per Proton descrivono la revisione della configurazione in loco e i colloqui con il personale; i report di NordVPN di Deloitte citano l'ISAE 3000 (lo standard internazionale per gli incarichi di assurance); i report di Cure53 per Mullvad descrivono test di sicurezza white-box su server di produzione. (3) Rilievi — ogni audit trova qualcosa. L'audit di Mullvad di Cure53 del giugno 2024 ha rilevato due problemi (uno basso, uno medio); l'audit di Lightway di Praetorian del 2024 ha rilevato due problemi a basso rischio. La presenza di rilievi non è un male — l'assenza di qualsiasi rilievo sarebbe sospetta. Ciò che conta è la gravità e la risoluzione.
Cosa ignorare
Ignora le classifiche generiche di 'VPN più privata' che non rivelano la loro metodologia. Ignora i provider il cui 'audit' è una lettera di una piccola società di consulenza che non ha mai esaminato i server. Ignora i siti di confronto VPN che non collegano il report effettivo — il report ha una data e un soggetto editore; se un sito non lo collega, la dichiarazione non è verificabile. Ignora la giurisdizione come segnale primario. L'unico segnale affidabile è l'ambito dell'audit pubblicato più, dove esiste, lo storico dei casi di coercizione legale.
Fonti
Audit Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Razzia Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Audit Proton: protonvpn.com/blog/no-logs-audit. Audit NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trust Center ExpressVPN: expressvpn.com/trust. Audit Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. Caso PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Tutti gli URL consultati il 2026-04-30.