Cosa significa davvero "no-log" in una VPN
Apri la homepage di una qualsiasi VPN e vedrai le stesse due parole in alto: “no log.” Compaiono cosi spesso che hanno smesso di significare qualcosa di preciso. Lo dice ogni provider. Quelli premium, quelli economici, quelli con i cartelloni negli aeroporti, quelli di cui non hai mai sentito parlare. Lo dicono tutti. Eppure chi lo afferma gestisce server reali, su dischi e memoria reali, che elaborano ogni pacchetto che gli fai passare attraverso.
Quindi cosa significa davvero la promessa di una VPN senza log, e come faresti a sapere se e vera? E la domanda a cui i testi pubblicitari non rispondono mai onestamente. Questo articolo lo fa.
In breve: “no log” e un punto di partenza utile, non un traguardo. Copre una vasta gamma di pratiche, alcune delle quali ti proteggono davvero e altre che sono in sostanza linguaggio di marketing avvolto attorno a una conservazione dei dati del tutto normale. Per valutarla, devi sapere cosa un provider VPN puo vedere in primo luogo, quali categorie di log esistono e la differenza tra una policy di non registrare e un'architettura che non puo registrare.
Cosa puo vedere un provider VPN
Prima di parlare di logging, dobbiamo parlare di visibilita. Il logging e una questione di cosa viene scritto. La visibilita e una questione di cosa si trova davanti al server in primo luogo. Sono problemi diversi, e confonderli e uno dei modi principali in cui il marketing delle VPN inganna le persone.
Quando ti connetti a una VPN, il tuo dispositivo crea un tunnel cifrato verso uno dei server del provider. Da li, il server decifra il tuo traffico e lo inoltra a internet pubblica. Quel passaggio di decifratura e tutto il senso della cosa — e cosi che la VPN sostituisce il suo IP al tuo quando il tuo traffico raggiunge il sito che stai visitando. La nostra introduzione a cos'e una VPN e come funziona copre i meccanismi sottostanti in maggior dettaglio.
Quella configurazione, di per se, significa che il server VPN puo tecnicamente osservare:
- Il tuo indirizzo IP reale al momento della connessione. Il tuo dispositivo deve dire al server dove inviare i pacchetti di risposta cifrati. Quella destinazione e il tuo IP reale.
- A quale server VPN ti sei connesso, e quando. Il server che hai scelto, l'orario in cui ti sei connesso, l'orario in cui ti sei disconnesso. Sono metadati sulla sessione.
- Le query DNS che hai fatto, se la VPN gestisce un proprio resolver DNS. Quando digiti un dominio nel browser, qualcosa deve risolvere l'indirizzo IP. Se la tua VPN lo fa per te, vede le risoluzioni.
- La banda usata per sessione. Quanti byte si sono spostati in ciascuna direzione.
- I pattern temporali del traffico. Anche se i contenuti sono cifrati verso il sito di destinazione, la dimensione e i tempi dei pacchetti possono rivelare informazioni a un osservatore determinato.
I contenuti cifrati delle tue connessioni HTTPS non sono in questa lista. Una volta che il tuo browser parla, per esempio, con la tua banca tramite TLS, la VPN vede byte cifrati diretti all'IP della tua banca, non il contenuto effettivo. Quella parte della protezione e reale e importante.
Ma i metadati qui sopra sono reali. Esistono in memoria mentre la tua sessione e attiva, perche il server ne ha bisogno per fare il suo lavoro. La questione dei “log” e cosa succede a quei dati in seguito — se vengono scritti su disco, conservati, indicizzati, mantenuti e potenzialmente prodotti piu tardi sotto pressione legale.
Le categorie di log
Non tutti i log sono uguali. Una valutazione utile di una VPN senza log parte distinguendo tra tre categorie, perche i provider le confondono di proposito.
Log di connessione
Sono metadati minimi sulla sessione: la registrazione che un utente si e connesso in un certo momento a un certo server, eventualmente con la durata della sessione e la banda usata. Molti provider conservano una qualche versione di questo a breve termine per diagnostica, anti-abuso o pianificazione della capacita. Un numero ridotto non conserva nulla.
I log di connessione da soli non sono catastrofici. Non rivelano cosa hai fatto. Ma rivelano che hai usato il servizio, il che puo contare in alcuni contesti, e diventano molto piu rivelatori quando combinati con dati di account identificativi.
Log di traffico
Questa e la categoria che non dovrebbe esistere. I log di traffico registrano quali siti o IP hai visitato, quali erano le tue query DNS e, nei casi estremi, gli URL che hai richiesto. Una VPN che tiene log di traffico e, dal punto di vista della privacy, peggio di nessuna VPN — hai concentrato la visibilita della tua navigazione nel database di un solo provider invece di frammentarla tra il tuo provider e i siti che visiti.
Nessuna VPN affidabile dovrebbe tenere log di traffico. Se la policy di un provider e ambigua su questo punto, considera l'ambiguita come un no.
Metadati identificativi
Questa e la categoria che la maggior parte delle persone dimentica, e spesso e qui che vive la vera storia della privacy. Comprende:
- L'indirizzo email con cui ti sei registrato
- Il tuo metodo di pagamento e i dati di fatturazione
- L'indirizzo IP da cui ti sei registrato
- I ticket di assistenza e gli IP da cui sono stati inviati
- Qualsiasi informazione per il recupero dell'account
- Gli orari di accesso e i fingerprint del dispositivo usati per la sicurezza dell'account
I metadati identificativi sono la tua identita presso la VPN. Anche se il provider non tiene davvero alcun log di traffico e alcun log di connessione, un'email piu una carta di credito significa che possono rispondere alla domanda “questa specifica persona aveva un account da noi?” — e spesso e l'unica domanda a cui qualcuno ha bisogno di rispondere.
Ecco perche la promessa di una VPN senza log, da sola, e incompleta. Un provider che non tiene log ma richiede la registrazione con email e carta ha costruito la sua storia di privacy sulla policy, non sull'architettura. I dati esistono comunque; vivono solo in una tabella diversa. Lo stesso punto emerge nel nostro articolo sui servizi VPN anonimi senza email.
Policy contro architettura
Ci sono due cose fondamentalmente diverse che un provider puo intendere quando dice di non registrare.
“Non registriamo”e un'affermazione di policy. I sistemi sono in grado di registrare. Potrebbero registrare temporaneamente, in memoria, o in qualche strumento di assistenza da qualche parte. La promessa e che l'azienda sceglie di non conservare quei dati, o sceglie di scartarli. E una promessa reale e ha un suo valore — ma si basa sul fidarsi dell'azienda. Le policy possono cambiare. I dipendenti possono commettere errori. Gli ordini del tribunale possono imporre cambiamenti che non vengono pubblicizzati.
“Non possiamo registrare”e un'affermazione di architettura. Il sistema e stato costruito perche i dati non persistano. I server funzionano solo in memoria e dimenticano tutto al riavvio. Non esiste alcuna tabella di database dove le informazioni rilevanti potrebbero essere conservate anche se qualcuno lo volesse. La creazione dell'account non richiede di raccogliere informazioni identificative in primo luogo. E un'affermazione molto piu forte perche non dipende dalla buona volonta continuata — i dati non ci sono perche non c'e un posto dove possano stare.
L'architettura e verificabile, almeno in linea di principio. La policy richiede fiducia.
La maggior parte dei provider offre un mix. Il marketing tende a descrivere le promesse di policy con un linguaggio che suona architetturale (“server senza log,” “infrastruttura solo in RAM”). Leggi con attenzione. La domanda da porsi e: se domani qualcuno presentasse a questo provider una richiesta legale legittima che esige tutto cio che hanno su uno specifico account, cosa potrebbero davvero produrre? Se la risposta onesta e “un'email, una registrazione di pagamento, l'IP di registrazione, lo storico dell'assistenza ed eventualmente gli orari di connessione,” quello e il tuo livello minimo di privacy a prescindere da cosa dice la homepage.
Come valutare una promessa
Ecco una checklist pratica per valutare quali dati raccoglie una VPN e se le sue affermazioni sono credibili.
Audit indipendente di terze parti
Cerca un report pubblicato da una societa di sicurezza affidabile che abbia esaminato i sistemi, la metodologia e l'infrastruttura del provider. Due cose da controllare:
- Attualita. Un audit di quattro anni fa descrive un'azienda che potrebbe non esistere piu nella stessa forma. Due anni o piu recente e un'asticella ragionevole.
- Ambito. Gli audit variano enormemente in cosa hanno effettivamente esaminato. Un audit della policy no-log e piu significativo di un audit di sicurezza generico. Leggi la sezione sull'ambito del report stesso, non il riassunto sul blog della VPN.
Report di trasparenza e warrant canary
Alcuni provider pubblicano quante richieste legali di dati degli utenti ricevono ogni anno, suddivise per giurisdizione e tipo, e cosa sono stati in grado di consegnare in risposta. Un provider che pubblica “abbiamo ricevuto N richieste e non abbiamo prodotto dati in nessuna, perche non avevamo nulla da produrre” fa un'affermazione piu forte di uno che non pubblica nulla.
Un warrant canary e una dichiarazione periodica con cui il provider afferma di non aver ricevuto certi tipi di richieste legali. Se la dichiarazione sparisce o smette di essere aggiornata, l'assenza stessa e un segnale. I canary hanno note debolezze legali, ma la loro presenza dimostra almeno che il provider ha riflettuto su questa dimensione.
Giurisdizione legale
Il paese in cui una VPN e costituita determina di chi sono le leggi che le si applicano e sotto quali accordi di cooperazione internazionale opera. Alcune giurisdizioni hanno leggi di conservazione obbligatoria dei dati per i fornitori di telecomunicazioni. Altre appartengono ad alleanze formali di condivisione di intelligence che obbligano alla cooperazione oltre confine.
Non e un asse binario buono-o-cattivo — modelli di minaccia diversi tengono a cose diverse. Ma vale la pena sapere dove e costituita la tua VPN e cosa cio implica, invece di scegliere in base a quale homepage sembra piu pulita.
Modello di account
Questo e quello che la maggior parte delle persone salta. Guarda come ti registri. Se creare un account richiede un indirizzo email funzionante, allora la VPN ha un tuo indirizzo email funzionante. Se il pagamento avviene con carta di credito, la VPN ha una registrazione di fatturazione legata al tuo nome. Questi dati fanno parte del quadro della privacy che il provider “registri” qualcos'altro oppure no.
Le opzioni di pagamento anonime (carte regalo, alcune criptovalute) cambiano in parte la cosa. I modelli di abbonamento che si basano su un'identita di piattaforma che hai gia, come l'Apple ID tramite l'App Store, la cambiano in modo diverso: il provider VPN non ottiene la tua identita, ma la piattaforma si.
Codice client open source
Se l'app sul tuo dispositivo e open source, i ricercatori di sicurezza possono verificare cosa invia davvero e verso dove. Questo non copre il lato server, ma elimina una categoria di incertezza: puoi sapere se il client invia di nascosto telemetria che non hai autorizzato.
I client a codice chiuso non sono automaticamente sospetti, ma sono meno verificabili. Insieme al quadro degli audit, i client open source alzano il livello minimo di cio che puoi controllare in modo indipendente.
Casi legali passati
Se una VPN e stata coinvolta in procedimenti legali in cui sono stati richiesti i log, i documenti pubblici mostreranno cosa e successo. Hanno prodotto dati? Avevano dati da produrre? La risposta corrispondeva alle loro affermazioni di policy?
Questi casi non sono comuni, ma quando esistono sono estremamente istruttivi. Cerca il nome del provider piu “subpoena” o “ordine del tribunale” e leggi la copertura giornalistica invece dell'inquadramento dato dal provider stesso.
Uno schema di confronto semplice
Ecco un modo compatto di guardare alle domande qui sopra:
| Domanda | Risposta di policy | Risposta di architettura |
|---|---|---|
| Registrate il traffico? | “Scegliamo di non farlo” | “Il sistema non ha un posto dove conservarlo” |
| Avete la mia email? | “Si, ma non la condividiamo” | “Non l'abbiamo mai raccolta” |
| Avete il mio IP alla registrazione? | “Si, ma lo eliminiamo dopo N giorni” | “Non l'abbiamo mai chiesto” |
| Potete dire se sono stato un utente? | “Potremmo, ma non lo faremo” | “Non abbiamo alcuna registrazione” |
| E se un tribunale vi obbliga? | “Faremo resistenza, poi obbediremo se costretti” | “Non abbiamo nulla da produrre” |
Nessuna delle due colonne e uniformemente corretta per ogni provider, e la maggior parte opera da qualche parte nel mezzo. Ma collocare una data VPN su questa tabella e piu utile che annuire davanti a “no log” sulla homepage.
L'approccio di Snap VPN
Snap VPN si colloca piu vicina alla colonna dell'architettura che a quella della policy. Nello specifico:
- Nessuna email o registrazione di account. L'abbonamento e gestito tramite l'App Store attraverso il tuo Apple ID. Non raccogliamo mai un indirizzo email, un nome utente, un numero di telefono o credenziali di account. Non esiste un database di account nel senso convenzionale.
- Nessun log di traffico. Non registriamo i siti che visiti, gli IP con cui parli o le query DNS che fai.
- Nessun log di connessione persistente. Non teniamo una registrazione conservata di quale Apple ID si e connesso a quale server in quale momento. Lo stato operativo necessario a instradare una sessione attiva non e la stessa cosa di uno storico di connessioni memorizzato.
- Nessun identificatore utente legato a una persona reale. Internamente, il tuo abbonamento e identificato da un valore opaco fornito dall'App Store. Non abbiamo un nome, un'email o un numero di telefono associati a quel valore, e non possiamo ricavarne uno.
Per essere onesti su cio che invece esiste: gestire una VPN richiede un certo stato operativo. Un server deve sapere che esiste una sessione attiva per poterti instradare i pacchetti. Ci sono contatori di breve durata e metadati necessari perche la rete funzioni del tutto, allo stesso modo in cui qualsiasi router deve tracciare le connessioni attive per fare il suo lavoro. E questo che la categoria dei log di connessione nella tassonomia qui sopra sembra in pratica: di breve durata, circoscritta alla sessione attiva, non conservata come registrazione della tua attivita e non legata a nulla che ti identifichi.
Il principio dietro queste scelte e banale: meno dati raccolti sono meno dati che possono essere persi, violati o richiesti. Se un'informazione non e mai stata raccolta, non puo essere esfiltrata in una violazione, non puo essere oggetto di subpoena e non puo essere riutilizzata in seguito quando le esigenze aziendali cambiano o qualcuno acquisisce l'azienda. L'architettura batte la policy non perche le policy siano insincere, ma perche l'architettura rimuove l'opzione.
Se vuoi approfondire nello specifico il modello di account, vedi il nostro articolo sulla registrazione VPN anonima senza indirizzo email.
Cosa nessuna VPN puo fare
Vale la pena essere espliciti sui limiti, perche parte della fiducia che viene attribuita alle VPN e mal riposta e finisce per deludere chi si aspettava piu di quanto la tecnologia possa offrire.
- Una VPN non puo nasconderti dai siti a cui accedi. Se apri Gmail tramite una VPN, Google sa comunque che sei tu. Hai effettuato l'accesso. La VPN cambia il percorso, non l'identita.
- Una VPN non puo fermare il fingerprinting del browser. I siti costruiscono identificatori a partire dalla versione del tuo browser, dalla dimensione dello schermo, dai font, dal fuso orario e da un centinaio di altri piccoli dettagli. Una VPN non affronta affatto questo livello.
- Una VPN non previene il malware. Cifra il tuo traffico; non lo ispeziona alla ricerca di minacce. L'antivirus e una questione separata.
- Una VPN non puo garantire magicamente l'anonimato su servizi in cui ti sei gia autenticato. L'anonimato deve essere progettato fin dall'inizio. Se il tuo punto di partenza e un account autenticato, una VPN instrada il traffico di quell'account in modo diverso — e questo e l'intero effetto.
Una VPN e un livello di uno stack di privacy, non l'intero stack. Letture correlate: i miti comuni sulle VPN smentiti, cos'e davvero una VPN, e una piu ampia checklist sulla privacy dell'iPhone per stratificare il resto.
In sintesi
“No log” e l'abbreviazione di una conversazione molto piu ampia. Quando lo vedi sulla homepage di una VPN, trattalo come il titolo, non come la risposta. Le domande che contano davvero sono:
- Quali dati il sistema raccoglie del tutto, inclusi i metadati identificativi alla registrazione?
- Dei dati che raccoglie, cosa conserva, in quale forma e per quanto tempo?
- La promessa no-log e una policy (promettiamo) o un'architettura (non possiamo)?
- Qualcuno di indipendente ha verificato la promessa di recente, e cosa ha effettivamente esaminato?
- Qual e il precedente del provider quando e stata applicata pressione legale?
Un provider che risponde a queste domande in un linguaggio chiaro, con una netta distinzione tra cio che ha promesso e cio che la sua architettura rende impossibile, e un provider su cui puoi ragionare. Uno che accenna vagamente a “no log” e cambia argomento non lo e.
Il motivo per cui questa distinzione conta e semplice: una privacy che dipende interamente dal continuo buon comportamento di un'azienda e una privacy che non controlli del tutto. Una privacy strutturalmente vincolata, perche i dati non sono mai stati raccolti in primo luogo, e la versione che sopravvive ai cambiamenti di proprieta, giurisdizione, leadership e clima legale.
Snap VPN e stata progettata attorno a questa seconda idea. Nessuna registrazione con email, nessuna credenziale di account, nessun identificatore utente legato a una persona reale. L'abbonamento si appoggia al tuo Apple ID tramite l'App Store, il traffico non viene registrato e lo stato operativo necessario a far funzionare la rete non e legato a chi sei. Non e l'unico modo di costruire una VPN, e non risolve ogni preoccupazione sulla privacy. Ma rimuove una classe di rischio che nessuna promessa di policy da sola puo eliminare. Se e questo il tipo di design che vuoi dietro al tuo traffico, e cio che trovi qui. Solo una descrizione onesta delle scelte che abbiamo fatto e del perche.