Perche una VPN non dovrebbe chiederti l'email

C'e una contraddizione silenziosa al cuore della maggior parte dei prodotti VPN. Ti registri per nascondere il tuo indirizzo IP ai siti web e alle reti che usi. Prima che tu possa farlo, il provider ti chiede l'email. Poi il tuo nome sulla carta. Poi un indirizzo di fatturazione. La tua registrazione avviene dal tuo IP di casa, quindi hanno anche quello. Quando l'app ha finito di installarsi, l'azienda che paghi per proteggere la tua privacy sa di te piu della maggior parte dei siti da cui cercavi di restare privato.

Una VPN anonima— una che davvero non sa chi sei — dovrebbe essere il modello predefinito, non la rara eccezione. Questo articolo parla del perche esiste quella contraddizione, di come si presentano le alternative realistiche e di come abbonarsi tramite l'App Store su un iPhone risolva silenziosamente un problema che il settore sta aggirando da quindici anni.

La contraddizione sulla porta d'ingresso

Una policy di traffico no-log e la caratteristica di punta della maggior parte delle VPN orientate alla privacy. Significa che il provider non conserva registrazioni di quali siti hai visitato, cosa hai scaricato o a quali IP ti sei connesso. Questa e la promessa.

Cio che quella promessa spesso tralascia e il secondo database — quello con dentro il tuo account. La tua email, il tuo nome dalla carta registrata, l'IP da cui ti sei registrato, l'IP da cui accedi, i tuoi ticket di assistenza, il tuo storico dei rinnovi. Niente di questo e “traffico.” Tutto questo e identita. E quasi ogni VPN che puoi nominare lo conserva.

Quindi la domanda non e davvero “questa VPN registra il mio traffico.” La domanda e “cosa sa questa VPN di me, punto e basta.” Il lato traffico e il lato account sono due problemi diversi, e quasi ogni conversazione sulla privacy delle VPN copre solo il primo.

I modelli di account che vedrai nel settore delle VPN

Fai un passo indietro e vedrai che ci sono davvero solo una manciata di schemi. Vale la pena nominare ciascuno cosi da poter individuare quale sta usando un provider.

Email e password

La classica registrazione SaaS. Fornisci un'email, imposti una password, confermi tramite un link. Il provider ha ora un identificatore permanente per te e una registrazione di quando ti sei registrato e da dove. E il modello dominante ed e, di gran lunga, il piu esposto.

Email piu processore di pagamento

Come sopra, con una carta aggiunta tramite Stripe o simili. Il processore gestisce i dati della carta, ma la VPN ha comunque la tua email, il tuo nome dalla carta e una registrazione di fatturazione. I rimborsi e i rinnovi richiedono che l'email esista.

Magic link o codice usa e getta

Pubblicizzato come “senza password” e a volte come “rispettoso della privacy.” Non lo e, in nessun senso rilevante per la privacy. Il provider ha comunque la tua email; semplicemente non ti chiede di ricordare una password per essa.

Abbonamento App Store tramite il tuo Apple ID

Questo e il modello che la maggior parte degli utenti iPhone non guarda mai da vicino. Tocchi abbonati, confermi con Face ID e la transazione passa per Apple. Lo sviluppatore non vede la tua email, la tua carta o il tuo nome. Riceve una ricevuta firmata da Apple che conferma che l'abbonamento e attivo. Ci torneremo su questo.

Criptovaluta senza account

L'opzione massimalista. Paghi in Monero o simili, ottieni un token o una credenziale, non dai mai nulla al provider. In linea di principio davvero anonima, ma operativamente scomoda — perdi il rinnovo facile, il rimborso facile, il trasferimento facile tra dispositivi, e ti accolli l'onere di gestire la credenziale da solo. Per la maggior parte degli utenti questa non e un'opzione reale, anche se tengono al risultato.

I rischi degli account VPN legati all'identita

E facile liquidare i dati sul lato account con un “beh, hanno la mia email, e allora.” L'“e allora” diventa concreto piuttosto in fretta.

Il raggio d'azione di subpoena e richieste legali

Una policy no-log sul lato traffico e davvero utile, ma non si estende ai dati dell'account. Se un tribunale ordina a un provider di consegnare cio che ha su una data email o identita di fatturazione, deve obbedire. Il provider non puo dire “non teniamo log di traffico, quindi non abbiamo nulla” — deve consegnare la registrazione dell'account, l'IP di registrazione, i ticket di assistenza e lo storico dei rinnovi.

Quella registrazione da sola e spesso sufficiente a confermare che una persona specifica e stata un cliente durante una finestra temporale specifica. A seconda della giurisdizione e della richiesta, e una divulgazione significativa anche senza alcun dato di traffico allegato.

Esposizione da violazione dei dati

I database degli account vengono violati. Sono stati violati presso grandi provider VPN, gestori di password e tutto cio che sta in mezzo. Quando un CRM o un database di autenticazione viene violato, la fuga di dati non espone solo la tua email — espone il fatto che tu, a quell'email, eri cliente di una VPN. Non e poco. Per alcuni utenti in alcuni luoghi, quel singolo fatto e la parte sensibile.

Correlazione incrociata tra le fughe di dati

Il problema piu profondo e che nessuna violazione avviene in isolamento. L'email del tuo account VPN e anche la tua email per gli acquisti, la tua email dei forum e probabilmente la tua email vicina al lavoro. Una volta che alcuni database vengono violati, la stessa email inizia a comparire in tutti, e un profilo si assembla da solo a partire dalle macerie. La cosa piu privata riguardo a un account e spesso non averne uno in primo luogo.

Per un contesto su cosa intendono davvero i provider quando dicono “no log,” vedi il nostro articolo su cosa significa davvero una VPN no-log, e per il quadro piu ampio di quali affermazioni VPN reggono sotto esame vedi la nostra guida ai miti comuni sulle VPN.

Come gli abbonamenti Apple ID separano l'identita dallo sviluppatore

Il modello di abbonamento dell'App Store e strutturalmente molto diverso dal modello di account SaaS, e vale la pena capire perche questo conta per una VPN anonima.

Quando ti abboni a un'app tramite l'App Store, stai concludendo una transazione con Apple, non con lo sviluppatore. Apple custodisce il tuo metodo di pagamento, il tuo Apple ID, il tuo indirizzo di fatturazione e il tuo storico degli abbonamenti. Lo sviluppatore — in questo caso il provider VPN — sta dall'altro lato di quel muro.

Cio che lo sviluppatore riceve davvero, quando ti abboni, e una ricevuta firmata. Il framework StoreKit di Apple consegna all'app un oggetto di transazione crittografico, e il server dello sviluppatore valida quella transazione contro i server di Apple. La validazione torna con un'informazione che conta: si, questo abbonamento e attivo, e si, appartiene a questo identificatore anonimo. Nessuna email. Nessun nome. Nessuna carta. Nessun indirizzo.

Se annulli, annulli tramite Apple. Se vuoi un rimborso, lo chiedi ad Apple. Se la tua carta scade, la aggiorni nelle impostazioni del tuo Apple ID — lo sviluppatore non vede mai quella nuova, quella vecchia, e nemmeno che qualcosa e cambiato. Lo stesso vale per i rinnovi.

Per l'utente, questo sembra un normale flusso di abbonamento. Strutturalmente, e una separazione netta: Apple gestisce identita e denaro, lo sviluppatore gestisce il prodotto. E poiche non c'e alcun modulo di registrazione sul lato dello sviluppatore, non c'e alcun database di account sul lato dello sviluppatore. La cosa che trapelerebbe in una violazione non esiste, quindi non puo trapelare.

Questo non e un trucco di privacy. E il modo in cui funzionano tutti gli abbonamenti dell'App Store. La maggior parte delle app che lo usa non ha una storia di privacy da raccontare perche ti chiede l'email separatamente, dentro l'app, per “creare il tuo account.” Una VPN non ha bisogno di farlo, e la maggior parte lo fa comunque per abitudine.

Come Snap VPN gestisce la cosa

Snap e costruita attorno al presupposto che il flusso dell'App Store sia sufficiente. Non c'e alcun modulo di registrazione al primo avvio. Non c'e alcun campo email da nessuna parte. Non c'e alcun passaggio di “crea un account” prima di poterti connettere.

Installi l'app, tocchi abbonati, confermi con Face ID. Dal lato di Snap, cio che arriva e una ricevuta verificata e un identificatore anonimo. La ricevuta dice che sei abbonato. L'identificatore permette all'app di ricordare che su questo dispositivo sei abbonato. Nessuno dei due contiene la tua email, il tuo nome o le tue informazioni di pagamento, perche i server di Snap non li ricevono — li riceve Apple.

Nessun identificatore utente legato a un'identita reale e memorizzato dalla nostra parte. La fiducia che riponi in Snap e operativa (la rete, i server, il protocollo), non quel tipo di fiducia “noi custodiamo la tua identita, ti preghiamo di affidarcela” che accompagna ogni account con email e password.

In termini pratici: se qualcuno chiedesse a Snap “tutti i dati che avete sulla persona a questo indirizzo email,” non ci sarebbe alcuna registrazione da produrre, perche non c'e alcun indirizzo email registrato. Non e un'affermazione di marketing, e una conseguenza del non aver costruito il modulo di registrazione.

Se vuoi spingerti oltre sul dispositivo stesso, la nostra checklist sulla privacy dell'iPhone copre le impostazioni che vale la pena attivare insieme a una VPN anonima.

Limiti onesti

Sarebbe fuorviante lasciare l'articolo qui senza nominare cosa questo modello non fa. Una VPN anonima costruita su Apple ID non e la stessa cosa di una VPN con zero dipendenze di fiducia.

Ti fidi comunque di Apple. Apple sa che ti sei abbonato. Se la cosa ti sta a cuore — se il tuo modello di minaccia include Apple stessa — allora il modello di abbonamento dell'App Store non fa al caso tuo, e la strada della criptovaluta senza account e l'unica risposta onesta. Per la maggior parte degli utenti il compromesso va bene: Apple e una quantita nota, la relazione c'e gia, e i dati sono contenuti dentro un ecosistema in cui sei gia.

Ti fidi comunque del provider VPN affinche gestisca la rete onestamente. Nessun modello di account risolve questo. Un provider che non ha la tua email puo comunque configurare male un server, registrare connessioni che aveva dichiarato di non registrare, o vendere dati aggregati che non dovrebbe. Il modello di account riguarda la riduzione di cio che una compromissione puo esporre, non la rimozione totale della necessita di fidarsi dell'operatore.

Cio che cambia e la dimensione del raggio d'azione. Se i server di Snap fossero compromessi domani, un aggressore non troverebbe alcuna lista di email, alcuna lista di nomi, alcun numero di carta, alcun indirizzo di fatturazione, alcun archivio di ticket di assistenza legato a identita reali. La cosa che di solito trapela in una violazione di una VPN — il database degli account — non esiste. C'e meno da compromettere perche c'e meno raccolto.

E questo il punto. Anonimo per progettazione significa progettare il sistema in modo che la cosa sensibile non sia li fin dall'inizio, non che sia “protetta” o “cifrata a riposo” o una qualsiasi delle altre espressioni che significano “ce l'abbiamo, ma con cura.”

In sintesi

La contraddizione di una VPN che ti chiede l'email e reale, e il settore l'ha per lo piu aggirata invece di risolverla. La soluzione non e una crittografia inedita o un nuovo audit no-log; e non costruire il database degli account in primo luogo. Il modello di abbonamento dell'App Store lo rende possibile su iPhone in un modo invisibile all'utente e strutturalmente pulito per lo sviluppatore. Ecco come si presenta una VPN anonima quando il lato account viene preso sul serio quanto il lato traffico.

Se stai scegliendo una VPN e la prima cosa che ti chiede e l'email, quello e un segnale onesto di come il resto del prodotto pensera ai tuoi dati. Esistono impostazioni predefinite migliori.

Chiusura

Se una VPN che non conosce la tua email ti sembra l'impostazione predefinita giusta — perche lo e — Snap e costruita cosi dal primo tocco. Nessuna registrazione. Nessun modulo. Nessuna identita registrata. Solo un'app, un abbonamento ancorato al tuo Apple ID e una rete che puoi usare.