Scarica
Torna al blog
Privacy··9 min di lettura

Come una VPN aggira la censura (e quando non può)

Lingua: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa Indonesia日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

La censura su internet è diventata molto più precisa negli ultimi anni, e la domanda se una VPN riesca ancora ad aggirarla non ha una risposta di una sola parola. Dipende da come viene fatto il blocco e da cosa fa la VPN per nascondersi.

Risposta breve: una VPN supera la maggior parte della censura avvolgendo il tuo traffico nella crittografia e instradandolo attraverso un server fuori dalla rete censurata, così il filtro non può vedere cosa stai leggendo o dove sta andando. Funziona contro i blocchi ordinari. Contro la moderna deep packet inspection, la VPN stessa può diventare ciò che viene bloccato.

Punti chiave

  • Una VPN nasconde la destinazione e il contenuto del tuo traffico alla rete, il che vanifica i blocchi IP, la manomissione del DNS e il filtraggio per parole chiave.
  • La deep packet inspection (DPI) non legge il tuo contenuto cifrato: rileva l'impronta della forma del tuo traffico per intuire che stai usando una VPN.
  • Dove la DPI è aggressiva, i protocolli VPN standard possono essere rilevati e limitati o bloccati, ed è per questo che esistono le modalità di offuscamento e "stealth".
  • Nessuna VPN è un modo garantito di aggirare i blocchi. Nelle reti più pesantemente filtrate è un bersaglio in movimento, e avere più di uno strumento conta più di qualsiasi singola app.

La risposta breve

Immagina il tuo traffico internet grezzo come una cartolina: chiunque la maneggi può leggere l'indirizzo e il messaggio. Una rete che censura sta nel mezzo e si rifiuta di consegnare cartoline indirizzate a certi luoghi o contenenti certe parole. Una VPN mette la cartolina dentro una busta sigillata e opaca e la invia a un unico indirizzo fidato — il server VPN — che poi la inoltra per tuo conto. La rete può ancora vedere che hai inviato una busta, ma non dove sta andando alla fine né cosa c'è dentro.

Quell'unico cambiamento vanifica le forme più comuni di censura tutte insieme. La complicazione, e il motivo per cui questo articolo è più lungo di una frase, è che la busta stessa ha una forma riconoscibile, ed è proprio quella che la censura moderna ha imparato a cercare.

Come funziona davvero la censura su internet

La censura a livello nazionale e di rete non è una sola tecnica. È una pila di tecniche, di solito sovrapposte tra loro:

  • Blocco dell'indirizzo IP. Il metodo più semplice: scartare tutto il traffico da e verso un elenco di indirizzi di server. Economico, grossolano e facile da eludere raggiungendo lo stesso contenuto attraverso un indirizzo diverso.
  • Manomissione del DNS. Quando il tuo dispositivo chiede "qual è l'indirizzo di questo sito?", la rete mente, restituendo una risposta sbagliata o nessuna. Buona parte del blocco quotidiano è solo questo, ed è per questo che è anche il livello più facile da scavalcare.
  • Filtraggio SNI. Anche su una connessione HTTPS cifrata, il primo handshake di solito nomina in chiaro il sito che stai visitando (il Server Name Indication). I filtri leggono quel nome e interrompono le connessioni verso domini proibiti lasciando in pace il resto.
  • Filtraggio di parole chiave e contenuti. Sul traffico non cifrato, la rete può cercare parole o frasi vietate e bloccare o registrare di conseguenza.
  • Throttling. Invece di bloccare del tutto, la rete rallenta un servizio fino a renderlo inutilizzabile. È negabile — niente è "bloccato" — ed è stato usato contro intere piattaforme.
  • Deep packet inspection. Il livello più sofisticato, e quello con cui una VPN deve davvero confrontarsi. Maggiori dettagli sotto.

Il tunnel cifrato di una VPN gestisce in silenzio i primi quattro. La rete non può fare filtraggio SNI o di parole chiave su traffico che non può leggere, e non può manomettere una richiesta DNS che avviene dentro il tunnel. Se vuoi i meccanismi di quel tunnel in sé, li trattiamo in cos'è un tunnel VPN e come funziona.

Cos'è la deep packet inspection

La deep packet inspection è la tecnica che rende possibile censurare una VPN. Il nome è leggermente fuorviante: contro il traffico cifrato, la DPI non legge il contenuto dei tuoi pacchetti, perché non può. Ciò che ispeziona è tutto ciò che sta attorno al contenuto: i metadati e il modello statistico della connessione.

Ogni protocollo ha una sorta di accento. Un handshake VPN standard ha dimensioni dei pacchetti, tempistiche e modelli di byte caratteristici che appaiono diversi dalla normale navigazione web. I sistemi DPI sono addestrati a riconoscere quegli accenti. Chiedono, in sostanza: questa connessione sembra una VPN, anche se non posso leggerla? Quando la risposta è sì, il sistema può limitare la connessione, resettarla o aggiungere il server di destinazione a una lista di blocco, tutto senza mai decifrare nulla.

I sistemi più recenti si spingono oltre con l'active probing. Dopo aver visto una connessione sospetta, inviano il proprio traffico di test al server di destinazione per vedere come risponde. Se il server risponde nel modo in cui lo farebbe una VPN nota, viene bloccato. È così che alcuni firewall nazionali scoprono e disattivano i server VPN entro pochi minuti dalla loro comparsa online.

Come una VPN riesce a superarla

Allora, come fa una VPN a funzionare ancora nelle reti censurate, nonostante tutto questo? In due modi, e si sommano.

Il primo è quello fondamentale già descritto: la crittografia. Poiché il tunnel nasconde sia la destinazione sia il contenuto del tuo traffico, l'intera famiglia di blocchi basati su indirizzo, DNS e contenuto semplicemente non si applica. Per la grande maggioranza delle reti del mondo — filtri aziendali, reti scolastiche, Wi-Fi di hotel, molti blocchi nazionali che si affidano a DNS e SNI — è tutta qui la storia. La VPN funziona perché chi censura non ha mai costruito nulla di più sofisticato di una lista di blocco.

Il secondo è l'offuscamento, che conta solo dove è in gioco la DPI. L'offuscamento è la pratica di mascherare il traffico VPN in modo che non abbia quell'accento riconoscibile. Alcuni strumenti rimescolano il traffico così che sembri rumore casuale; altri lo avvolgono per farlo somigliare a normale HTTPS, lo stesso protocollo che trasporta la normale navigazione web, così che bloccarlo significherebbe rompere internet di tutti i giorni. I dettagli a livello di protocollo variano e cambiano spesso, perché è una corsa agli armamenti: chi censura aggiorna le proprie impronte, gli strumenti di aggiramento aggiornano i propri travestimenti, e il ciclo si ripete. L'inquadramento onesto è che l'offuscamento compra tempo e portata, non una vittoria permanente.

Dove una VPN viene bloccata

Vale la pena essere chiari sui limiti, perché molto marketing non lo è. Una VPN può non riuscire a farti passare per diversi motivi:

  • Il protocollo viene riconosciuto tramite impronta. Gli handshake standard di WireGuard e OpenVPN sono ben studiati. Un sistema DPI tarato per individuarli può limitare o scartare la connessione anche senza poterla leggere. È il singolo modo più comune in cui le VPN vengono bloccate su scala nazionale.
  • Il server è in una lista di blocco. I server VPN commerciali usano intervalli di indirizzi noti. Chi censura compra gli stessi servizi, enumera gli indirizzi e li blocca in blocco. Un fornitore deve continuare a ruotare gli indirizzi per restare raggiungibile.
  • L'active probing trova il server. Come descritto sopra, la rete testa i server sospetti e blocca quelli che rispondono come una VPN.
  • Tutto è bloccato per impostazione predefinita. Alcune reti ribaltano completamente il modello: niente si connette a meno che non sia in una lista di consentiti. Lì la domanda non è se la tua VPN venga rilevata, ma se possa imitare qualcosa di permesso.

Niente di tutto questo significa che una VPN sia inutile sotto censura, tutt'altro. Significa che il protocollo e l'ingegneria del fornitore contano, e che l'esperienza è meno "funziona sempre" e più "funziona, con un po' di sforzo, e a volte cambi server o modalità". Gruppi di misurazione indipendenti come OONI monitorano quali strumenti e protocolli vengono bloccati e dove, e il quadro cambia davvero di mese in mese.

Iran, Russia e Cina nel 2026

I tre casi più discussi mostrano la stessa corsa agli armamenti a stadi diversi.

Il sistema della Cina è il più vecchio e il più raffinato. Combina manomissione del DNS, filtraggio SNI, DPI su larga scala e active probing, e tratta l'aggiramento come un problema di ingegneria permanente da gestire piuttosto che come una cosa da vincere una volta per tutte. I protocolli VPN semplici vengono regolarmente rilevati; ciò che sopravvive tende ad affidarsi all'offuscamento.

La Russia ha passato il 2025 e il 2026 a spostarsi dal blocco grossolano verso il modello cinese, installando apparecchiature di ispezione nelle reti ed espandendo costantemente quali protocolli e servizi può limitare. La copertura nel corso del 2026 ha documentato ondate di blocco delle VPN, servizi che ruotavano i propri metodi in risposta e i danni collaterali che derivano dal filtraggio a questa scala, comprese le interruzioni di servizi ordinari di banca e messaggistica quando il blocco fa cilecca.

L'Iran combina un filtraggio pesante con blackout periodici e quasi totali, e una quota molto ampia della sua popolazione raggiunge internet aperto attraverso strumenti di aggiramento come prassi quotidiana. È l'esempio più chiaro di una domanda che supera chi censura: il blocco è severo e le persone si adattano di continuo, cambiando strumento man mano che ciascuno viene preso di mira.

Il filo conduttore è che in tutti e tre una VPN è necessaria ma non sufficiente da sola. Chi resta connesso tende a tenere più di uno strumento, si aspetta di doverli cambiare e tratta l'affidabilità come qualcosa che mantiene piuttosto che comprare una volta sola.

Cosa significa per te

Se stai scegliendo o ti affidi a una VPN in un luogo che filtra in modo aggressivo, alcuni punti onesti e pratici:

  • Il protocollo conta più del marchio. Che una connessione sopravviva alla DPI dipende dal protocollo e dal fatto che l'app offra una modalità di offuscamento o "stealth", non da un logo.
  • Tieni un'alternativa di riserva. La strategia più affidabile nelle reti censurate è la ridondanza — più di uno strumento, così che quando uno viene preso di mira non resti tagliato fuori.
  • Configura tutto prima di averne bisogno. Scarica e configura gli strumenti finché hai ancora accesso libero; gli strumenti di aggiramento sono spesso la prima cosa a essere bloccata durante un giro di vite.
  • Attenzione al quadro legale. In alcuni paesi l'uso delle VPN è limitato o comporta rischi. È una questione separata dal fatto che funzioni tecnicamente, e la trattiamo in è legale usare una VPN.
  • Sii scettico verso le garanzie. Qualsiasi fornitore che promette che "funzionerà sempre" contro un firewall nazionale sta promettendo troppo. La versione veritiera è "spesso, con il protocollo giusto, e continuiamo ad adattarci".

E un punto sulla privacy facile da trascurare: quando instradi tutto attraverso una VPN per aggirare la censura, stai affidando a quel fornitore proprio il traffico che chi censura voleva vedere. Cosa il fornitore conserva su di te diventa di colpo molto importante. È tutto l'argomento per sceglierne uno che non può consegnare ciò che non ha mai raccolto: vedi cosa significa davvero "no log".

Domande frequenti

Come si usa una VPN per aggirare la censura? Installa e connettiti a un server fuori dalla rete censurata; il tuo traffico viene cifrato e instradato attraverso di esso, così i blocchi di dominio, DNS e contenuto non si applicano più. Sulle reti con deep packet inspection, attiva la modalità di offuscamento o stealth dell'app se ne ha una, e preparati a cambiare server.

La rete può capire che sto usando una VPN? A volte. Non può leggere il tuo traffico, ma la deep packet inspection può spesso rilevare che una connessione sembra una VPN dal solo modello. L'offuscamento è progettato apposta per rendere tutto questo più difficile.

È illegale usare una VPN per aggirare le restrizioni? Dipende interamente dal paese. Nella maggior parte del mondo l'uso delle VPN è legale; una manciata di stati lo limita o lo vieta. La legalità dello strumento e la legalità di ciò che ci fai sono questioni separate — le trattiamo entrambe in la nostra guida sulla legalità delle VPN.

Perché la mia VPN si connette ma sotto censura non carica niente? Di solito l'handshake è passato ma la rete sta limitando o resettando il traffico VPN riconosciuto, oppure l'indirizzo del server è in una lista di blocco. La soluzione abituale è passare a un server diverso o a un protocollo offuscato.

In sintesi

Una VPN aggira la censura nascondendo dove va il tuo traffico e cosa contiene, il che neutralizza il blocco ordinario su cui si affida la maggior parte delle reti. Contro la deep packet inspection, la contesa si sposta sul fatto che la VPN riesca a evitare di sembrare una VPN — una corsa agli armamenti reale e continua in cui il protocollo, l'ingegneria del fornitore e avere un'alternativa di riserva contano più di qualsiasi promessa di invincibilità. Capisci con che tipo di blocco hai a che fare e avrai aspettative realistiche invece che di marketing.

Snap VPN gira su WireGuard, non chiede alcun account o email e non tiene log del traffico, quindi i dati che chi censura vorrebbe imporre di consegnare sono dati che non possediamo. È pensata per la privacy di tutti i giorni piuttosto che come risposta garantita ai firewall più aggressivi del mondo, e preferiamo dirlo chiaramente. È sull'App Store.

Sofia Lindqvist
Privacy & policy writer