Aggiornamento 19 settembre 2025: Questo articolo è stato aggiornato per presentare l’ultimo audit della nostra politica di non conservazione dei log da parte di Securitum. Sono inclusi i link a tutti i nostri audit sulla politica di non conservazione dei log.

Siamo lieti di annunciare che Proton VPN ha superato un quarto audit annuale consecutivo di terze parti della nostra infrastruttura che conferma la nostra rigorosa politica di non conservazione dei log. Quando diciamo che siamo una VPN no-logs, non è solo un’affermazione: è stata verificata da esperti indipendenti.

Come organizzazione fondata da scienziati che si sono incontrati al CERN, crediamo nella revisione paritaria e nella trasparenza. Questo è anche il motivo per cui rendiamo tutte le nostre app open source in modo che chiunque possa esaminare il nostro codice.

Naturalmente, capiamo che non tutti hanno il tempo o le competenze per ispezionare il codice da soli. Ecco perché, oltre ai nostri audit interni, sottoponiamo regolarmente le nostre app a audit di sicurezza di terze parti(nuova finestra) e rendiamo pubblici i risultati. In questo modo, tutti possono ottenere l’opinione di un esperto indipendente sulla sicurezza delle nostre app.

Nel più recente audit di sicurezza di tutte le app Proton(nuova finestra), gli esperti di sicurezza di Securitum(nuova finestra), una delle principali società europee di audit di sicurezza che supervisiona più di 300 progetti di test di sicurezza ogni anno per grandi aziende e banche, non hanno rilevato problemi di sicurezza significativi. Questo mostra che gli audit interni di Proton e la cultura dello sviluppo software sicuro sono efficaci. E poiché il codice delle nostre app è interamente open source, la nostra sicurezza è rafforzata dal nostro programma bug bounty(nuova finestra), che riunisce esperti di sicurezza da tutto il mondo per controllare le nostre applicazioni.

Tuttavia, con un servizio VPN, è anche importante verificare cosa sta succedendo lato server, e non solo lato applicazione.

Perché è importante verificare la politica di non conservazione dei log di una VPN

Quando ti connetti a una VPN, questa diventa effettivamente il tuo provider internet, il che significa che qualsiasi provider VPN è tecnicamente in grado di tracciare e registrare ciò che fai online. Mentre molte VPN affermano di avere politiche di non conservazione dei log, queste Policy non sempre reggono quando messe alla prova.

La rigorosa politica di non conservazione dei log di Proton VPN è stata testata in un caso legale nel 2019. Ci è stato ordinato di consegnare i log per aiutare a identificare un utente, ma non siamo stati in grado di conformarci perché questi log non esistevano. La giurisdizione svizzera di Proton VPN conferisce anche ulteriori vantaggi per i servizi VPN. Ad esempio, all’interno dell’attuale quadro giuridico svizzero, Proton VPN non ha requisiti di logging. Tuttavia, rimane la possibilità che una configurazione del server errata o un’architettura di sistema difettosa possano causare l’archiviazione accidentale dei log.

Per affrontare questo, abbiamo chiesto a Securitum di eseguire regolari esami approfonditi della nostra infrastruttura e delle operazioni lato server. Ogni anno, gli esperti di sicurezza di Securitum hanno trascorso diversi giorni in loco esaminando i nostri File di configurazione VPN e le configurazioni del server, valutando le nostre procedure operative e intervistando il nostro staff. I loro audit annuali sono estesi e hanno controllato quanto segue:

  • L’attività dell’utente viene tracciata o registrata sui server VPN di produzione che gestiscono il traffico dell’utente?
  • I metadati di connessione, come le query DNS o i timestamp di sessione, vengono registrati sui server VPN?
  • Il traffico di rete dell’utente viene ispezionato attivamente o i suoi contenuti vengono registrati sui server VPN?
  • Vengono monitorate o registrate informazioni riguardanti i servizi specifici (es. siti web, server esterni) a cui un utente si connette?
  • Vengono mantenuti log aggregati che correlano i servizi a cui si è acceduto (es. siti web, server) con lo specifico server VPN utilizzato?
  • La politica di non conservazione dei log è applicata uniformemente su tutti i server, in tutte le regioni geografiche e a tutti i livelli di abbonamento utente?
  • È in atto un processo automatizzato per rilevare e generare avvisi per modifiche di configurazione non autorizzate che potrebbero attivare il logging (es. cambiare un parametro “log” da false a true)?
  • Viene applicato un processo formale di gestione delle modifiche, che incorpora un principio di doppio controllo (quattro occhi), per tutte le modifiche autorizzate alle configurazioni relative al logging?
  • I File di configurazione attivi per i servizi VPN principali contengono direttive di logging attivate?
  • Vengono registrate informazioni che associano un utente specifico a un server VPN specifico a cui è connesso?

I rapporti risultanti confermano che non conserviamo alcun log di metadati, non registriamo la tua attività VPN e non ci impegniamo in alcuna pratica che potrebbe compromettere la tua privacy.

I rapporti confermano anche che man mano che Proton VPN aggiunge più funzionalità e funzioni al nostro servizio, questo non influisce in alcun modo sulla nostra rigorosa politica di non conservazione dei log. Come conclude l’ultimo rapporto (2025):

“L’evidenza tecnica esaminata non ha mostrato casi di registrazione dell’attività dell’utente, archiviazione di metadati di connessione o ispezione del traffico di rete che contraddicessero la politica di non conservazione dei log. Inoltre, l’audit ha verificato l’implementazione di robusti controlli amministrativi e tecnici, inclusa la gestione automatizzata della configurazione e un processo formale di modifica a doppio controllo, progettati per garantire la continua integrità dell’ambiente no-logging.

Sulla base di questi risultati, Securitum attesta che il servizio Proton VPN, come configurato al momento dell’audit, è pienamente conforme agli impegni sulla privacy delineati nella sua politica di non conservazione dei log”.

Puoi leggere l’ultimo rapporto completo di Securitum qui sotto:

In linea con le raccomandazioni di Securitum, questo è ora il terzo audit annuale consecutivo della nostra politica di non conservazione dei log. Puoi anche leggere i nostri audit passati sui no-log di Securitum:

Più affidabilità grazie alla trasparenza

In Proton, crediamo che tutte le affermazioni debbano essere indagate e verificate, incluse le nostre. In futuro, continueremo a eseguire regolari audit di sicurezza e a pubblicare i risultati in modo che tu possa leggere il rapporto di un professionista della sicurezza indipendente prima di affidarci i tuoi dati.

Se sei un ricercatore di sicurezza, ti invitiamo anche a supportare la sicurezza in Proton attraverso il nostro programma bug bounty(nuova finestra) che offre generose ricompense a chiunque riesca a identificare vulnerabilità nei nostri servizi open-source.

Registrati a Proton VPN(nuova finestra) per ottenere una VPN no-log trasparente, open-source e completamente verificata che rispetta la tua privacy