Aggiornamento del 19 settembre 2025: questo articolo è stato aggiornato per includere l’ultimo audit di Securitum sulla nostra politica di non conservazione dei log. Sono inclusi i link a tutti gli audit sulla nostra politica di non conservazione dei log.

Siamo lieti di annunciare che Proton VPN ha superato il quarto audit annuale consecutivo di terze parti sulla nostra infrastruttura, confermando la nostra rigorosa politica di non conservazione dei log. Quando diciamo di essere una VPN no-log, non è solo un’affermazione: è stato verificato da esperti indipendenti.

Come organizzazione fondata da scienziati incontratisi al CERN, crediamo nella revisione paritaria e nella trasparenza. Questo è anche il motivo per cui rendiamo tutte le nostre app open source, affinché chiunque possa esaminare il nostro codice.

Naturalmente, capiamo che non tutti hanno il tempo o le competenze per ispezionare il codice da soli. Ecco perché, oltre ai nostri audit interni, sottoponiamo regolarmente le nostre app a audit di sicurezza di terze parti(nuova finestra) e rendiamo pubblici i risultati. In questo modo, tutti possono avere l’opinione di un esperto indipendente sulla sicurezza delle nostre app.

Nel più recente audit di sicurezza di tutte le app Proton(nuova finestra), gli esperti di sicurezza di Securitum(nuova finestra), un’azienda europea leader negli audit di sicurezza che supervisiona oltre 300 progetti di test di sicurezza ogni anno per grandi aziende e banche, non hanno rilevato problemi di sicurezza significativi. Ciò dimostra l’efficacia degli audit interni di Proton e della cultura di sviluppo software sicuro. E poiché il codice delle nostre app è interamente open source, la nostra sicurezza è rafforzata dal nostro programma bug bounty(nuova finestra), che riunisce esperti di sicurezza da tutto il mondo per controllare le nostre applicazioni.

Tuttavia, con un servizio VPN, è importante verificare anche cosa accade lato server, e non solo lato applicazione.

Perché è importante verificare la politica di non conservazione dei log di una VPN

Quando ti connetti a una VPN, questa diventa a tutti gli effetti il tuo provider internet, il che significa che qualsiasi provider VPN è tecnicamente in grado di tracciare e registrare ciò che fai online. Sebbene molte VPN affermino di avere politiche no-log, queste policy non sempre reggono alla prova dei fatti.

La rigorosa politica di non conservazione dei log di Proton VPN è stata messa alla prova in un caso legale nel 2019. Ci è stato ordinato di consegnare i log per aiutare a identificare un utente, ma non abbiamo potuto conformarci perché tali log non esistevano. La giurisdizione svizzera di Proton VPN conferisce inoltre ulteriori vantaggi ai servizi VPN. Ad esempio, all’interno dell’attuale quadro giuridico svizzero, Proton VPN non ha alcun obbligo di registrazione. Tuttavia, rimane la possibilità che un’errata configurazione del server o un’architettura di sistema difettosa possano causare l’archiviazione accidentale dei log.

Per risolvere questo problema, abbiamo chiesto a Securitum di eseguire regolari esami approfonditi della nostra infrastruttura e delle operazioni lato server. Ogni anno, gli esperti di sicurezza di Securitum trascorrono diversi giorni in loco esaminando i file di configurazione della nostra VPN e le configurazioni dei server, valutando le nostre procedure operative e intervistando il nostro personale. I loro audit annuali sono estesi e hanno verificato quanto segue:

  • L’attività dell’utente viene tracciata o registrata sui server VPN di produzione che gestiscono il traffico utente?
  • I metadati di connessione, come le query DNS o i timestamp delle sessioni, vengono registrati sui server VPN?
  • Il traffico di rete dell’utente viene ispezionato attivamente o i suoi contenuti vengono registrati sui server VPN?
  • Vengono monitorate o registrate informazioni riguardanti i servizi specifici (es. siti web, server esterni) a cui un utente si connette?
  • Vengono mantenuti log aggregati che correlano i servizi a cui si è acceduto (es. siti web, server) con lo specifico server VPN utilizzato?
  • La politica di non conservazione dei log viene applicata uniformemente su tutti i server, in tutte le regioni geografiche e a tutti i livelli di abbonamento utente?
  • Esiste un processo automatizzato per rilevare e generare avvisi per modifiche di configurazione non autorizzate che potrebbero abilitare la registrazione (es. cambiare un parametro “log” da false a true)?
  • Viene applicato un processo formale di gestione delle modifiche, che incorpora un principio di doppio controllo (quattro occhi), per tutte le modifiche autorizzate alle configurazioni relative alla registrazione?
  • I file di configurazione attivi per i servizi VPN principali contengono direttive di registrazione abilitate?
  • Vengono registrate informazioni che associano uno specifico utente a uno specifico server VPN a cui è connesso?

I report risultanti confermano che non conserviamo alcun log dei metadati, non registriamo la tua attività VPN e non intraprendiamo alcuna pratica che possa compromettere la tua privacy.

I report confermano inoltre che, man mano che Proton VPN aggiunge altre funzionalità e funzioni al nostro servizio, ciò non influisce in alcun modo sulla nostra rigorosa politica di non conservazione dei log. Come conclude l’ultimo report (2025):

“Le prove tecniche esaminate non hanno mostrato casi di registrazione dell’attività dell’utente, archiviazione dei metadati di connessione o ispezione del traffico di rete che contraddirebbero la politica di non conservazione dei log. Inoltre, l’audit ha verificato l’implementazione di robusti controlli amministrativi e tecnici, inclusa la gestione automatizzata della configurazione e un processo formale di modifica a doppio controllo, progettati per garantire la continua integrità dell’ambiente senza log.

Sulla base di questi risultati, Securitum attesta che il servizio Proton VPN, così come configurato al momento dell’audit, è pienamente conforme agli impegni sulla privacy delineati nella sua politica di non conservazione dei log”.

Puoi leggere il report completo più recente di Securitum qui sotto:

In linea con le raccomandazioni di Securitum, questo è ora il terzo audit annuale consecutivo della nostra politica di non conservazione dei log. Puoi leggere anche i nostri passati audit no-log di Securitum:

Fiducia attraverso la trasparenza

In Proton, crediamo che tutte le affermazioni debbano essere investigate e verificate, comprese le nostre. In futuro, continueremo a eseguire regolari audit di sicurezza e a pubblicare i risultati in modo che tu possa leggere il report di un professionista della sicurezza indipendente prima di affidarci i tuoi dati.

Se sei un ricercatore di sicurezza, ti invitiamo anche a sostenere la sicurezza in Proton attraverso il nostro programma bug bounty(nuova finestra) che offre generose ricompense a chiunque riesca a identificare vulnerabilità nei nostri servizi open source.

Registrati a Proton VPN(nuova finestra) per ottenere una VPN no-log trasparente, open source e completamente verificata che rispetta la tua privacy