Al sicuro sul Wi-Fi d'hotel — e collegato a casa

Se resti nel tuo paese con la tua tariffa mobile e non tocchi Wi-Fi condivisi né account sensibili, la VPN è meno critica. Per praticamente qualsiasi viaggio internazionale con Wi-Fi o accesso da remoto ai propri account, sta nello stesso cassetto di essenziali dell'assicurazione di viaggio e dell'adattatore per le prese.

• Farai login a qualcosa dal Wi-Fi di hotel, aeroporto o bar: Le reti aperte e condivise sono il motivo numero uno per cui chi viaggia ha bisogno di una VPN. Tutto ciò che digiti — password, sessioni bancarie, e-mail — può essere intercettato da altri sulla stessa rete senza le giuste precauzioni. Una VPN cifra ogni byte prima che lasci il dispositivo, rendendo quelle intercettazioni illeggibili.
• Vuoi che banca, pagamenti e app di casa continuino a funzionare: Molte banche e fornitori di pagamento rilevano un IP estero e bloccano la sessione per sospetta frode. Una VPN instrada la tua connessione su un server nel tuo paese così la banca vede un indirizzo familiare e ti fa entrare. Senza di essa puoi trovarti con un saldo bloccato, un pagamento con carta rifiutato o una richiesta di doppio fattore che non avanza.
• Ti interessa la solita libreria di streaming, news o sport: Le piattaforme di streaming ruotano il catalogo per regione per motivi di licenza. I siti di news e le trasmissioni sportive fanno lo stesso. Una connessione VPN attraverso il tuo paese ripristina la libreria per cui paghi, comprese le dirette che altrimenti perderesti.
• La tua destinazione ha una rete con filtri pesanti: Alcune reti bloccano app di messaggistica popolari, piattaforme social o servizi cloud. Una VPN attraversa quel blocco perché la rete locale vede solo traffico cifrato verso il server VPN, non quali servizi stai effettivamente usando.

Una VPN — Virtual Private Network — costruisce un tunnel cifrato tra il tuo dispositivo e un server gestito dal provider. Tutto quello che invii passa per quel tunnel prima di raggiungere il resto di internet. Visto da fuori — per il sistema Wi-Fi dell'hotel, per gli altri ospiti sulla stessa rete, per il provider locale — il tuo traffico è solo rumore cifrato che scorre verso un server da qualche parte. Nessuno può leggere i contenuti, vedere quali siti visiti o catturare le password.

Il server VPN fa da intermediario. Riceve la tua richiesta cifrata, la decifra, la inoltra al sito o servizio che volevi davvero raggiungere, prende la risposta, la cifra di nuovo e la rispedisce nel tunnel fino al tuo dispositivo. Dal punto di vista del sito, la richiesta arriva dalla posizione del server VPN, non dalla tua. Per questo una VPN ti consente di continuare a usare la banca e la tua libreria di streaming: per quei servizi sei ancora a casa.

Tutto avviene in continuo e in modo invisibile. Una volta che la VPN è connessa, usi telefono o laptop esattamente come al solito. Le pagine caricano, le app funzionano, le e-mail partono e arrivano. L'unica differenza è che tutto viaggia cifrato e la tua posizione reale resta nascosta.

Il Wi-Fi pubblico è il motivo numero uno per cui chi viaggia tira fuori una VPN, e il rischio non è teorico. Hall d'albergo, terminal d'aeroporto, atri delle stazioni e bar fanno girare reti aperte o condivise. Su queste reti, qualcuno con strumenti basilari può inserirsi tra te e il router in quello che si chiama attacco man-in-the-middle — leggendo in silenzio i tuoi dati al passaggio. La variante più comune è l'« evil twin »: un Wi-Fi falso con un nome tipo Hotel_Guest_WiFi che sembra legittimo ma è in realtà gestito da chi attacca. Il tuo dispositivo si aggancia al segnale più forte e da quel momento tutto ciò che invii passa per hardware che non controlli.

I siti moderni usano per lo più HTTPS, che cifra il contenuto di una singola sessione di browser. Ma HTTPS non copre tutto. Non copre l'app di posta che controlla i messaggi in background. Non copre i metadati della maggior parte delle app di messaggistica. Non copre le query DNS che in silenzio rivelano ogni dominio che visiti. Una VPN cifra tutto questo a livello di dispositivo, prima che la rete lo veda. Anche su un Wi-Fi compromesso, chi lo gestisce non ottiene nulla di leggibile.

L'altra categoria sono i servizi attenti alla posizione. Il sito della banca rileva un IP estero e fa scattare la prevenzione frodi, blocca il conto finché non chiami il servizio clienti — già scomodo a sei fusi di distanza. Le piattaforme di streaming mostrano una libreria diversa o ti tagliano fuori del tutto. I siti di compagnie aeree e hotel a volte ritoccano i prezzi sulla posizione che rilevano. Una connessione VPN tramite un server in un paese a tua scelta toglie tutto questo dal tavolo. La banca ti vede a casa. Lo streaming serve la libreria di sempre. I siti di prenotazione non possono più applicarti la loro tariffazione per area.

E su reti che filtrano in modo aggressivo — alcune Wi-Fi aziendali, alcune reti di hotel, certi sistemi di filtraggio su scala più larga — una buona VPN passa pulita, perché il filtro vede solo traffico cifrato verso un server VPN. Quali servizi stai usando davvero resta invisibile per il filtro.

• Una VPN non ti rende anonimo: Il tuo provider VPN vede il tuo IP reale e a quali siti ti colleghi. I provider seri si impegnano su politiche no-log verificate da revisori indipendenti, ma è comunque la loro parola — ti fidi di loro. Se l'anonimato vero è il tuo obiettivo (cosa rara per chi viaggia), una VPN da sola non basta.
• Una VPN rallenta un po' la connessione: La cifratura costa un po' di potenza e instradare per un server remoto aggiunge distanza. Un buon provider ti toglie tipicamente il 10–30% di velocità grezza — appena percepibile nel browsing e nella posta, più evidente nelle videochiamate e nei download grandi. Scegli un server geograficamente vicino a dove sei davvero per minimizzare la perdita.
• Alcune reti cercano attivamente di bloccare le VPN: Alcune Wi-Fi aziendali, alcuni portali captivi di hotel e alcuni sistemi di filtraggio usano deep packet inspection per identificare e scartare il traffico VPN. I provider premium contro­bilanciano con funzioni di offuscamento che mascherano il traffico VPN come normale navigazione HTTPS. Quando una connessione fallisce, cambiare protocollo o attivare l'offuscamento di solito risolve.
• Alcuni servizi rilevano l'uso della VPN: Banche e piattaforme di streaming mantengono liste di range IP di provider VPN noti. Alcune bloccano del tutto quei range, altre ti fanno entrare ma segnano la sessione per una verifica extra — un codice in più, una sospensione temporanea, una notifica di follow-up. È la sicurezza che funziona come deve, non un difetto. Avvertire la banca delle date di viaggio prima di partire riduce molto la frizione.

• Installala su ogni dispositivo del viaggio: Telefono, laptop, tablet. I provider premium consentono cinque-dieci connessioni simultanee per account, così non devi fare giochi di prestigio. Installa l'app nativa, non un'estensione del browser — le estensioni cifrano solo le schede, le app native cifrano tutto ciò che il dispositivo invia.
• Provala su carichi reali: Connettiti a un server nel tuo paese e controlla le cose che ti servono davvero: la banca entra, il doppio fattore arriva, la libreria di streaming parte, gli strumenti di lavoro caricano. Poi prova un server vicino alla destinazione e ricontrolla. Quello che fallisce a casa fallirà anche all'estero — sistemalo ora.
• Attiva il kill switch: Il kill switch è la funzione più importante per viaggiare. Blocca tutto il traffico internet se la connessione VPN cade all'improvviso — succede quando un laptop si risveglia dal sonno, quando cambi Wi-Fi, quando il collegamento dell'hotel diventa instabile. Senza, il dispositivo torna in silenzio sulla rete non protetta e l'app della banca può spedire una richiesta con il tuo IP reale prima che tu te ne accorga.
• Verifica la protezione contro le fughe DNS: Le query DNS traducono i nomi dei siti in indirizzi. Se queste query escono dal tunnel VPN, chi osserva la rete vede ogni dominio che visiti anche se i contenuti viaggiano cifrati. Le buone app VPN instradano automaticamente il DNS nel tunnel, ma vale la pena verificarlo con un sito di test fughe DNS mentre sei connesso.
• Tieni pronto un protocollo di riserva: Se il protocollo predefinito non si connette a destinazione, sapere come cambiarlo conta. La maggior parte dei provider offre più opzioni — WireGuard, OpenVPN, a volte una modalità di offuscamento proprietaria. La mossa di soccorso standard è passare da WireGuard a OpenVPN su TCP 443, che per la maggior parte dei filtri assomiglia al normale traffico web.

• Usare una VPN gratuita: I provider di VPN gratuite hanno bisogno di entrate e se non paghi con i soldi, paghi con i dati. Monetizzano in genere vendendo i dati di navigazione agli inserzionisti, iniettando pubblicità nelle pagine o facendo girare processi pesanti sul dispositivo. Diverse app gratuite famose sono state colte a fare tutte e tre. Lo strumento di sicurezza installato per proteggere i dati li sta sfruttando. Una VPN da viaggio a pagamento costa al mese meno di un caffè in aeroporto.
• Non provarla prima di partire: Scoprire in viaggio che l'app non installa, l'abbonamento è scaduto o il servizio è bloccato a destinazione è il momento peggiore. Scaricare nuove app e risolvere problemi di connessione su una rete straniera con possibili barriere di lingua e di banda è ben più difficile che farlo dal divano di casa.
• Lasciare la VPN spenta sul Wi-Fi pubblico: La VPN protegge solo quando è davvero connessa. Molti viaggiatori la accendono per la banca e navigano normalmente senza, esponendo query DNS, cronologia e traffico in background di app non cifrate individualmente. Sul Wi-Fi pubblico la mossa più sicura è lasciare la VPN accesa in continuo.
• Dimenticare di attivare il kill switch: La VPN è attiva, stai navigando sereno, e il Wi-Fi dell'hotel cade per tre secondi. Senza kill switch, il dispositivo si riconnette in silenzio sulla rete non protetta, l'app della banca manda una richiesta con il tuo IP reale, e quel breve varco basta a esporti. I kill switch esistono esattamente per questo — attivali.
• Aspettarsi anonimato totale: Una VPN ti protegge dalle minacce della rete locale e sblocca i servizi geo-limitati. Non ti rende invisibile online. Il tuo provider VPN, i siti dove fai login (tramite cookie e account) e il tuo stesso dispositivo possono ancora identificarti. Per gli scopi di viaggio il livello di protezione è più che sufficiente — ma è importante sapere dove sta la linea.

Quando tocchi « Connetti », il tuo dispositivo e il server VPN eseguono una stretta di mano crittografica. Entrambi si scambiano chiavi tramite crittografia asimmetrica — un procedimento che stabilisce un segreto condiviso senza mai trasmetterlo sulla rete. Conclusa la stretta di mano, tutto il traffico successivo viene cifrato con algoritmi simmetrici veloci come AES-256 o ChaCha20.

I due protocolli che incontrerai più spesso gestiscono il tutto in modo diverso. WireGuard è lo standard moderno: una base di codice minima e ispezionabile (circa 4 000 righe, contro centinaia di migliaia dei protocolli più vecchi), solo UDP e particolarmente efficiente su mobile, dove la batteria conta. Il suo limite principale è proprio l'essere solo UDP — un amministratore di rete può bloccarlo scartando il traffico non-TCP su porte insolite.

OpenVPN è l'alternativa più vecchia e più flessibile. Può girare su UDP o TCP, e configurato su TCP 443 — la stessa porta di ogni sito HTTPS — diventa molto difficile da distinguere dal normale browsing per un firewall basilare. Per questo OpenVPN è la scelta migliore sulle reti restrittive, anche se costa qualcosa in velocità rispetto a WireGuard.

La deep packet inspection è la tecnica che i sistemi di filtraggio avanzati usano per identificare il traffico VPN anche su porte standard. Ogni protocollo ha schemi di byte distintivi nelle intestazioni — la DPI esamina quegli schemi per identificare e bloccare le connessioni VPN. L'offuscamento contro­bilancia randomizzando le intestazioni e imbottendo il traffico in modo che combaci con il profilo statistico di un HTTPS ordinario. È una continua corsa agli armamenti tecnica tra provider VPN e sistemi di filtraggio.

Una fuga DNS succede quando il dispositivo invia richieste di nome fuori dal tunnel. Di norma, visitando un sito, il dispositivo chiede a un server DNS di tradurre il nome di dominio in un indirizzo IP. Se questa richiesta va al DNS del provider di internet invece che al DNS della VPN, quel provider — e chiunque osservi la rete — vede ogni sito visitato, anche se i contenuti sono cifrati. Le buone app VPN instradano automaticamente tutto il DNS nel tunnel, ma una pagina di test fuga è il modo facile per verificarlo.

• Il mio iPhone non lo fa già con iCloud Private Relay?: Non proprio. Private Relay è una funzione di Safari e Mail, non una VPN di sistema — non cifra il traffico dell'app bancaria, del client di posta diverso da Apple Mail, delle app di messaggistica o di altro fuori da Safari. Non cambia neppure la tua posizione apparente in modo che soddisfi la banca o sblocchi la tua libreria di streaming. Private Relay è un extra utile; non è un sostituto della VPN da viaggio.
• Netflix e gli altri servizi di streaming continueranno a funzionare?: Quasi sempre sì, a volte con qualche intoppo. Le piattaforme mantengono liste di IP di provider VPN noti, quindi un dato server può essere bloccato mentre un altro nello stesso paese passa benissimo. La mossa standard è cambiare server nel tuo paese finché uno non passa. I provider premium ruotano regolarmente gli IP, ed è anche per questo che li paghi.
• Mi serve una VPN se uso solo i dati mobili del telefono?: Il mobile è sensibilmente più sicuro del Wi-Fi aperto — la tratta tra telefono e antenna è già cifrata, quindi gli attacchi man-in-the-middle ed « evil twin » non si applicano. Ma il mobile non risolve il geoblocco (la banca vede ancora un IP estero, la libreria di streaming continua a ruotare) e non cambia il fatto che il tuo operatore in roaming o l'operatore locale vedano comunque a quali siti ti colleghi. Il caso per una VPN sul mobile è più debole che sul Wi-Fi d'hotel, ma non è zero.
• Devo lasciare la VPN accesa per tutto il viaggio?: Su Wi-Fi pubblico o condiviso, sì — falla girare in continuo. Sulla tua connessione mobile è meno critico ma aggiunge comunque privacy ed evita che banche e streaming ti tirino fuori dal flusso abituale. Il compromesso è una piccola riduzione di velocità e un po' di batteria. Molti viaggiatori esperti la lasciano accesa di default e la staccano solo per attività specifiche che richiedono un IP locale, come app di navigazione che non funzionano via VPN.
• Una VPN consuma molta batteria del telefono?: Un po'. La cifratura richiede potenza, la potenza consuma batteria. Su un telefono moderno con un protocollo efficiente come WireGuard l'impatto è attorno al 5–15% di consumo aggiuntivo nell'arco di una giornata — percettibile ma non paralizzante. Se la batteria stringe un giorno, accendi la VPN su Wi-Fi o per servizi sensibili e staccala sul mobile se sei a tuo agio con la rete.