Il succo della questione: esistono tre categorie oneste di VPN "gratuita". (1) Piano gratuito limitato di un provider a pagamento (Proton, Windscribe, TunnelBear) — sovvenzionato dai clienti paganti, deliberatamente limitato affinché gli utenti più esigenti passino al piano a pagamento, modello di business trasparente. (2) VPN gratuita per uno scopo specifico (aziendale, universitaria, integrata in un altro prodotto) — pagata da un'entità che vuole che tu sia sulla sua rete, il modello di business è quello del prodotto principale. (3) VPN gratuita come monetizzazione — il provider VPN è il business stesso, e sei tu la fonte di guadagno. È questa terza categoria che storicamente ha causato i danni documentati: modelli botnet con il tuo dispositivo come nodo di uscita, rivendita a data broker, iniezione di pubblicità, bundling di malware. Le prime due possono andare bene. La terza è alla base della maggior parte dei titoli "usare una VPN è pericoloso?" Questa è la guida per distinguerle.
Premessa doverosa: Casper's Cloak è un servizio VPN a pagamento. Abbiamo un interesse commerciale in questo argomento. Per questo motivo l'articolo si concentra su incidenti storici verificabili e documentati — fatti che puoi controllare sulle fonti originali — piuttosto che su vaghi avvertimenti del tipo "il gratis fa male". L'obiettivo non è spaventarti dalle VPN gratuite; è aiutarti a sceglierne una il cui modello di business capisci davvero.
Cosa costa davvero al provider offrire il "gratis"
Numeri concreti, perché è su questo che si basa tutta l'analisi successiva. Un provider VPN di medie dimensioni con 1.000 server in 30 paesi paga:
- Hosting dei server: da 40 a 150 $/server/mese a seconda della regione (Europa occidentale e US-East economici; APAC, America Latina e Africa costosi) → almeno 40.000–150.000 $/mese.
- Larghezza di banda: costo dominante. Un exit VPN genera più traffico di quasi qualsiasi altro servizio — un utente medio consuma 50–200 GB/mese, i provider lavorano all'80%+ di utilizzo. Le bollette della banda superano di gran lunga quelle dei server su larga scala.
- Gestione degli abusi: qualcuno lavora a tempo pieno per rispondere ai reclami DMCA, alle segnalazioni degli hosting provider, alle domande dei payment processor e all'occasionale comunicazione delle forze dell'ordine. Non è facoltativo e diventa costoso su larga scala.
- Ingegneria: manutenzione dello stack protocollare (WireGuard, OpenVPN), app client per iOS/macOS/Windows/Linux/Android, audit, risposta agli incidenti di sicurezza.
Per un provider con 1.000+ server, un vero team operativo, audit annuali e un costo per l'utente pari a 0 $, i soldi devono venire da qualche parte. La domanda onesta è: da dove? I tre schemi seguenti coprono grosso modo tutto ciò che abbiamo documentato sul campo.
Schema 1 — Piano gratuito limitato di un provider a pagamento (di solito va bene)
La versione più limpida. Il provider vende un prodotto a pagamento alla maggior parte dei suoi utenti e offre un piano gratuito deliberatamente limitato come funnel di marketing. I limiti assumono solitamente una di tre forme:
- Limite di traffico (Windscribe: 10 GB/mese gratuiti; TunnelBear: 2 GB/mese gratuiti). Gli utenti più esigenti raggiungono il limite e passano al piano a pagamento, o smettono di usare il servizio. Gli utenti gratuiti costano al provider meno di quanto valgano come funnel.
- Limite di posizioni server (Proton Free: 3 paesi; ProtonVPN Plus: 110+). Il piano gratuito è sufficiente per «voglio cifrare il traffico al bar»; il piano a pagamento è necessario per lo streaming da altri paesi.
- Limite di funzionalità (niente streaming, niente torrenting, meno connessioni simultanee). Stessa logica dei limiti sui server.
Come verificare che il provider rientri in questa categoria: (a) ha un piano a pagamento ovvio e trasparente con clienti reali (guarda il numero di recensioni sull'app store, non solo il voto); (b) la sua informativa sulla privacy è chiara sul fatto di non registrare né vendere i dati di traffico, e idealmente ha pubblicato un audit esterno che lo conferma; (c) è un'azienda reale con dirigenti nominati e una giurisdizione nota; (d) guadagna principalmente dagli abbonamenti, cosa che in genere dichiara nei materiali di marketing.
Schema 2 — VPN gratuita per uno scopo specifico (dipende dallo scopo)
Gratuita perché qualcun altro vuole che tu la usi. Tre sotto-casi:
VPN integrate nel browser (Opera VPN, Brave Firewall + VPN, Cloudflare WARP). L'azienda madre ha un modello di business diverso — vendita di pubblicità, servizi enterprise, DNS — e la VPN esiste per differenziare il browser sul piano delle funzionalità. Di solito sono oneste sul loro ambito: Opera VPN è un proxy cifrato gratuito, non una vera VPN (protegge solo il traffico in-browser), e lo dichiara esplicitamente. Cloudflare WARP è finanziata dal business CDN enterprise di Cloudflare ed è probabilmente il servizio di rete gratuito più sottoposto ad audit esistente.
iCloud Private Relay di Apple rientra in questa categoria — è inclusa in iCloud+, quindi tecnicamente non è "gratuita" in senso stretto, ma è gratuita a margine se paghi già per lo spazio iCloud. È anche limitata a Safari, usa un doppio hop ed è esplicitamente non una VPN per uso generale. Ne abbiamo analizzato l'ambito in dettaglio in Cosa copre davvero iCloud Private Relay — e cosa non copre.
VPN aziendali / universitarie. Gratuite per te perché l'istituzione paga. Oneste al riguardo. Usale per il loro scopo (accedere alle risorse dell'istituzione), non usarle per la privacy personale (l'istituzione può vedere tutto il tuo traffico, per design).
Come verificare: leggi l'informativa sulla privacy, guarda il modello di business principale dell'azienda madre. Se il business principale è la pubblicità nel browser (Opera) o la CDN enterprise (Cloudflare), gli incentivi della VPN sono allineati con il non fare danni — uno scandalo VPN danneggerebbe il business più redditizio.
Schema 3 — VPN gratuita come monetizzazione (dove si sono concentrati i danni documentati)
È questa la categoria di cui parlano davvero tutti gli articoli del tipo «usare una VPN è rischioso?». Il provider VPN non ha nessun altro business; la VPN È il business; l'utente È la fonte di guadagno. Tre meccanismi storici documentati:
3a. Il dispositivo come nodo di uscita (il modello Hola / Luminati)
Hola, commercializzata come VPN gratuita per il geo-unblocking nel browser, ha conquistato milioni di utenti nei primi anni 2010. Il modello di business — dichiarato nei termini di servizio, ma nel modo in cui «dichiarato nei termini di servizio» di solito significa — era che il tuo dispositivo fungeva da nodo di uscita per Luminati (ora Bright Data), la rete proxy commerciale di Hola. I clienti enterprise paganti instradavano il traffico attraverso gli IP residenziali degli utenti gratuiti di Hola.
Le conseguenze, ben documentate: nel 2015 i ricercatori di sicurezza dimostrarono che gli utenti di Hola erano stati utilizzati come nodi di uscita per una botnet DDoS su 8chan — ovvero gli IP degli utenti di Hola originarono traffico d'attacco di cui non sapevano nulla. La rete Luminati ha da allora cambiato nome, aggiunto flussi di consenso e continua a operare; il modello è rimasto sostanzialmente lo stesso.
Come riconoscerlo: il provider parla vagamente di architettura «peer-to-peer» o rete «community-powered». I termini di servizio descrivono un «diritto di utilizzare la larghezza di banda dei dispositivi inattivi». Vende un prodotto proxy commerciale a pagamento accanto al prodotto consumer gratuito, e sono la stessa rete.
3b. Rivendita a data broker (il modello Onavo / Facebook)
Onavo Protect era un'app VPN gratuita — Facebook acquistò la società madre nel 2013 e la gestì come «Onavo Protect» su iOS e Android. L'informativa sulla privacy dichiarava che Facebook usava la visibilità sul traffico di rete per scoprire quali app gli utenti usavano, con quale frequenza e per quanto tempo. Questa intelligence informò la strategia di prodotto di Facebook: notoriamente, i dati di Onavo avvertirono Facebook della crescita di WhatsApp prima dell'acquisizione, e della crescita di TikTok prima di Reels.
Apple rimosse Onavo dall'App Store nel 2018 citando violazioni nella raccolta dati, e Facebook la chiuse nel 2019 dopo che lo scandalo Cambridge Analytica aveva reso la situazione insostenibile. Il meccanismo — VPN gratuita come funnel di intelligence competitiva per un'azienda madre — si ripresenta periodicamente; i nomi cambiano ma la struttura si ripete.
Come riconoscerlo: il vero business dell'azienda madre è la pubblicità, i social network o l'analisi competitiva. L'informativa sulla privacy contiene frasi su «dati di utilizzo aggregati anonimi» o «miglioramento dei nostri servizi» con ambito molto ampio. La VPN gratuita non ha un evidente piano a pagamento — non c'è motivo per cui esista come prodotto standalone.
3c. Iniezione di pubblicità e bundling di malware (la lunga coda)
Il meno sofisticato e il più comune: l'app VPN gratuita inietta pubblicità nelle pagine web, reindirizza il traffico attraverso link di affiliazione, o viene fornita con adware/spyware in bundle. Studi sulle app VPN Android gratuite rilevano regolarmente una percentuale significativa che incorpora SDK di tracciamento, richiede permessi non necessari, o in casi estremi contiene malware vero e proprio. Il CSIRO ha pubblicato nel 2017 uno studio spesso citato che riscontrava che il 38% di 283 app VPN Android gratuite analizzate conteneva qualche forma di malware; i lavori successivi negli anni seguenti mostrano un miglioramento della situazione, ma non una trasformazione.
Come riconoscerlo: l'app ha pubblicità aggressiva nella propria interfaccia, richiede permessi non necessari per una VPN (contatti, SMS, posizione sempre attiva), ha pochissime recensioni sull'app store e il nome dello sviluppatore è sconosciuto. Le app generiche «Best Free VPN» sul Play Store che sembrano leggermente diverse l'una dall'altra sono di solito lo stesso SDK ribrandizzato.
La checklist delle bandiere rosse nell'informativa sulla privacy
Prima di installare qualsiasi VPN — gratuita o a pagamento — leggi l'informativa sulla privacy e cerca questi segnali specifici:
- Linguaggio vago su «dati di utilizzo aggregati» con usi consentiti ampi («per migliorare i nostri servizi, per i nostri partner, per finalità di marketing»). I provider a pagamento onesti di solito elencano specificamente cosa registrano: dati dell'account, dati di pagamento, a volte l'utilizzo della banda a livello aggregato, nient'altro.
- Nessun audit di terze parti, o un riferimento vago senza link. I provider a pagamento onesti linkano al report di audit completo (Proton, Mullvad, ExpressVPN, NordVPN li pubblicano tutti).
- Giurisdizione ostile alla privacy degli utenti — USA (soggetto agli ordini di bavaglio NSL), UK (Investigatory Powers Act), o giurisdizioni nell'accordo di condivisione di intelligence Fourteen Eyes. Non è automaticamente escludente, ma vale la pena considerarlo.
- Proprietà anonima. Se non riesci a scoprire quale azienda possiede il prodotto e dove ha sede con pochi minuti di ricerca, è un segnale.
- Linguaggio sull'architettura «P2P / peer-to-peer / rete community» — vedi il caso Hola sopra.
- Permessi sull'app store ben oltre quelli necessari per una VPN. Una VPN ha bisogno del permesso per il servizio VPN e, su Android, del servizio in foreground. Non ha bisogno di contatti, SMS, calendario o posizione precisa.
Quando il gratuito è davvero la risposta giusta
Tre casi d'uso onesti in cui una VPN gratuita (specificamente Schema 1 o Schema 2) è genuinamente lo strumento giusto:
- Cifratura occasionale al bar. Vuoi cifrare il traffico da occhi indiscreti su WiFi ostili, il tuo volume mensile è inferiore a qualche GB, e non fai nulla che richieda alta velocità. ProtonVPN Free, Windscribe Free, TunnelBear Free e Cloudflare WARP vanno tutti benissimo per questo.
- Provare prima di comprare. Usa il piano gratuito di un provider a pagamento per valutare la qualità dell'app, la velocità e l'elenco dei paesi prima di impegnarti con un abbonamento annuale. I piani gratuiti esistono esattamente per questo.
- Sei già in un bundle. Se paghi iCloud+ e il tuo traffico è principalmente Safari, iCloud Private Relay è gratuito a margine. Se usi Brave, Brave Firewall + VPN è incluso. Se il tuo datore di lavoro ti fornisce una VPN aziendale, usala per il lavoro e abbinala a qualcos'altro per uso personale.
Cosa compra davvero una VPN a pagamento (versione onesta)
Saltando le promesse di marketing, ecco cosa il ricavo degli abbonamenti consente a un provider di offrire, cosa che un provider finanziato dalla pubblicità o dalla rivendita dei dati strutturalmente non può fare:
- Un incentivo allineato con la tua privacy, non contro di essa. L'abbonamento È il ricavo; vendere i tuoi dati di traffico distruggerebbe il brand e la base clienti. L'argomento economico a favore di un comportamento onesto è il più forte.
- Capacità di gestire gli abusi senza penalizzarti. I provider a pagamento possono permettersi personale dedicato alla gestione degli abusi; i provider gratuiti la sotto-finanziano e o lasciano che gli abusi danneggino la reputazione, o eliminano funzionalità (P2P/torrenting spesso sparisce dai piani gratuiti per ragioni di costo, non di policy).
- Audit di terze parti. Gli audit di sicurezza esterni costano denaro reale; i provider gratuiti raramente li commissionano. I principali provider a pagamento pubblicano i report di audit con cadenza regolare.
- Velocità e densità dei server. La larghezza di banda è il costo dominante. I provider a pagamento possono sovrapprovisionare; quelli gratuiti razionano. Questo si traduce in velocità più basse nelle ore di punta, meno paesi disponibili, pool di IP più ridotto.
- Assistenza clienti reale. Gli utenti del piano gratuito ottengono un forum della community; i clienti paganti ricevono una risposta via email entro poche ore.
- Un modello di business chiaro. Quando puoi nominare come l'azienda guadagna, puoi prevedere come si comporterà sotto pressione (acquisizione, difficoltà finanziarie, pressione normativa).
Perché anche le VPN non sono tutta la storia (la posizione onesta del provider a pagamento)
Anche una VPN a pagamento perfetta — correttamente sottoposta ad audit, senza log, ben progettata — risolve solo un sottoinsieme specifico di problemi di privacy. La parte della cifratura del traffico: sì. La parte «il tuo ISP non può vedere quali siti visiti»: sì. La parte «la rete del bar non può leggere le tue sessioni»: sì. Ma:
- I siti e le app con cui comunichi ti vedono comunque — e sui telefoni, gli SDK di tracciamento in-app inviano dati indipendentemente dal percorso di rete. iOS App Tracking Transparency blocca l'IDFA ma non il fingerprinting; vedi Cosa non ferma iOS App Tracking Transparency.
- Pubblicità, tracker e domini malevoli vengono comunque caricati a livello DNS. Una VPN cifra il traffico verso la destinazione; non filtra quali destinazioni vengono raggiunte. Per questo il filtraggio DNS è l'abbinamento naturale — vedi Come funziona davvero il filtraggio DNS.
- Gli attacchi di analisi del traffico a livello di metadati — schemi di byte al secondo, timing, con chi ti connetti e quando — funzionano anche attraverso i tunnel cifrati. Alla maggior parte degli utenti non interessa; ad alcuni sì.
Casper's Cloak combina il tunnel VPN con il blocco di pubblicità e tracker a livello DNS (gestiamo un'istanza Pi-hole per utente come resolver) e il rilevamento delle minacce basato su AI — esattamente perché la sola VPN lascia aperta la superficie d'attacco al livello DNS. Per essere onesti: la VPN a pagamento è necessaria per un insieme significativo di problemi di privacy e insufficiente da sola per altri.
Conclusione
Le VPN gratuite non sono una categoria, sono tre categorie diverse con strutture di incentivi molto diverse. Piano gratuito limitato di un provider a pagamento: di solito va bene, deliberatamente limitato, sei sovvenzionato dagli utenti paganti. VPN gratuita per uno scopo specifico: dipende da chi paga e perché, ma di solito è onesta al riguardo. VPN gratuita come monetizzazione: è qui che si sono concentrati i danni documentati — reti peer-as-exit-node, rivendita a data broker, iniezione di pubblicità, bundling di malware. Il modo per distinguere la terza categoria dalle prime due è la checklist delle bandiere rosse nell'informativa sulla privacy sopra e, più affidabilmente, chiedersi: da dove vengono i soldi? Se riesci a dirlo, probabilmente sei al sicuro. Se non riesci, probabilmente sei il prodotto.
E qualunque cosa tu scelga — gratuita, a pagamento o nessuna — abbinala almeno al filtraggio DNS e non aspettarti che una di queste soluzioni da sola sia la risposta completa. Lo stack onesto è VPN + filtraggio DNS + impostazioni OS sensate — è l'architettura che Casper's Cloak distribuisce; è anche l'architettura che puoi assemblare da solo con parti gratuite se lo desideri.
Correlati: Attacchi alle reti WiFi pubbliche nel 2026 tratta il modello di minaccia che le VPN dovrebbero affrontare; Come funziona davvero il filtraggio DNS tratta il livello che le VPN lasciano aperto; Cosa copre davvero iCloud Private Relay tratta la funzione di privacy di Apple che non è proprio una VPN. Il confronto tra Casper's Cloak e le VPN tradizionali approfondisce le differenze tecniche.