Nota dell’editore: questo articolo è stato aggiornato per presentare l’ultimo audit di Securitum sulla nostra politica di non conservazione dei log. Sono inclusi i link a tutti gli audit sulla nostra politica di non conservazione dei log.
Siamo lieti di annunciare che Proton VPN ha superato per il quinto anno consecutivo l’audit annuale di terze parti sulla nostra infrastruttura, che conferma la nostra rigorosa politica di non conservazione dei log. Quando diciamo che siamo una VPN no-logs, non è solo un’affermazione: è stato verificato da esperti indipendenti.
Molti dei nostri concorrenti non sono mai stati sottoposti a un audit indipendente o hanno fatto un gioco di prestigio, facendo sottoporre ad audit la loro Policy sulla privacy invece della loro reale infrastruttura no-logs. E anche laddove le loro affermazioni di non conservare i log siano state verificate in modo indipendente con un audit, molti non pubblicano i risultati, ti richiedono di firmare un accordo di non divulgazione per accedervi, li mettono a disposizione solo dei clienti paganti o ne rendono comunque difficile la lettura.
Al contrario, Proton VPN pubblica apertamente il rapporto no-logs completo, affinché chiunque possa leggerlo. Come organizzazione fondata da scienziati che si sono incontrati al CERN, crediamo nella revisione paritaria e nella trasparenza. Questo è anche il motivo per cui rendiamo tutte le nostre app open source, in modo che chiunque possa esaminare il nostro codice.
Naturalmente, capiamo che non tutti hanno il tempo o le competenze per ispezionare il codice da soli. Ecco perché, oltre ai nostri audit interni, sottoponiamo regolarmente le nostre app a audit di sicurezza di terze parti(nuova finestra) e rendiamo pubblici i risultati. In questo modo, tutti possono ottenere l’opinione di un esperto indipendente sulla sicurezza delle nostre app.
Nel più recente audit di sicurezza di tutte le app Proton(nuova finestra), gli esperti di sicurezza di Securitum(nuova finestra), un’azienda leader in Europa nel settore degli audit di sicurezza che supervisiona ogni anno oltre 300 progetti di test di sicurezza per grandi aziende e banche, non hanno riscontrato problemi di sicurezza significativi. Ciò dimostra che gli audit interni di Proton e la cultura dello sviluppo di software sicuro sono efficaci. E poiché il codice delle nostre app è interamente open source, la nostra sicurezza è rafforzata dal nostro programma bug bounty(nuova finestra), che riunisce esperti di sicurezza da tutto il mondo per controllare le nostre applicazioni.
Tuttavia, con un servizio VPN, è anche importante verificare cosa sta succedendo lato server, e non solo lato applicazione.
Perché è importante verificare la politica di non conservazione dei log di una VPN
Quando ti connetti a una VPN, questa diventa effettivamente il tuo provider internet, il che significa che qualsiasi provider VPN è tecnicamente in grado di tracciare e registrare ciò che fai online. Mentre molte VPN affermano di avere politiche di non conservazione dei log, queste Policy non sempre reggono quando messe alla prova.
Fino ad ora, la rigorosa politica di non conservazione dei log di Proton VPN è stata testata in oltre 400 casi legali. Ci è stato ordinato di consegnare i log per aiutare a identificare i nostri utenti, ma non abbiamo potuto ottemperare perché questi log non esistevano.
La giurisdizione svizzera di Proton VPN offre anche ulteriori vantaggi per i servizi VPN. Ad esempio, all’interno dell’attuale quadro giuridico svizzero, Proton VPN non ha alcun obbligo di registrazione dei log. Tuttavia, esiste la possibilità che una configurazione errata del server o un’architettura di sistema difettosa possano causare l’archiviazione accidentale dei log.
Per affrontare questo problema, abbiamo chiesto a Securitum di eseguire controlli regolari e approfonditi della nostra infrastruttura e delle operazioni lato server. Ogni anno, gli esperti di sicurezza di Securitum trascorrono diversi giorni sul posto per esaminare i file di configurazione della nostra VPN e le configurazioni dei server, valutare le nostre procedure operative e intervistare il nostro personale. I loro audit annuali sono estesi e hanno verificato quanto segue:
- L’attività dell’utente viene tracciata o registrata sui server VPN di produzione che gestiscono il traffico dell’utente?
- I metadati di connessione, come le query DNS o i timestamp di sessione, vengono registrati sui server VPN?
- Il traffico di rete dell’utente viene ispezionato attivamente o i suoi contenuti vengono registrati sui server VPN?
- Vengono monitorate o registrate informazioni riguardanti i servizi specifici (es. siti web, server esterni) a cui un utente si connette?
- Vengono mantenuti log aggregati che correlano i servizi a cui si è acceduto (es. siti web, server) con lo specifico server VPN utilizzato?
- La politica di non conservazione dei log viene applicata in modo uniforme su tutti i server, in tutte le aree geografiche e a tutti i livelli di abbonamento degli utenti?
- È attivo un processo automatizzato per rilevare e generare avvisi in caso di modifiche non autorizzate alla configurazione che potrebbero attivare la registrazione dei log (ad esempio, modificando un parametro “log” da false a true)?
- Viene applicato un processo formale di gestione dei cambiamenti, che incorpori un principio di doppio controllo (a quattro occhi), per tutte le modifiche autorizzate alle configurazioni relative alla registrazione dei log?
- I File di configurazione attivi per i servizi VPN principali contengono direttive di logging attivate?
- Vengono registrate informazioni che associano un utente specifico a un server VPN specifico a cui è connesso?
I rapporti risultanti confermano che non conserviamo alcun log di metadati, non registriamo la tua attività VPN e non adottiamo alcuna pratica che possa compromettere la tua privacy. I rapporti confermano inoltre che l’aggiunta di nuove caratteristiche e funzionalità al servizio da parte di Proton VPN non influisce in alcun modo sulla nostra rigorosa politica di non conservazione dei log. Come conclude l’ultimo rapporto (2026):
“Le prove tecniche esaminate durante l’attività non hanno indicato che l’infrastruttura server di Proton VPN esaminata registri l’attività di navigazione degli utenti, le query DNS, i servizi di destinazione, il contenuto del traffico di rete o i metadati di connessione identificabili dell’utente. Inoltre, Securitum non ha identificato record persistenti che consentano a Proton di associare un utente specifico all’attività svolta attraverso un server VPN esaminato.”
Puoi leggere l’ultimo rapporto completo di Securitum qui sotto:
In linea con le raccomandazioni di Securitum, questo è il quinto audit annuale consecutivo sulla nostra politica di non conservazione dei log. Puoi anche leggere i nostri precedenti audit no-logs di Securitum:
- Audit no-logs di Proton VPN 2025(nuova finestra)
- Audit no-logs di Proton VPN 2024(nuova finestra)
- Audit no-logs di Proton VPN 2023(nuova finestra)
- Audit no-logs di Proton VPN 2022(nuova finestra)
Più affidabilità grazie alla trasparenza
In Proton, crediamo che tutte le affermazioni debbano essere indagate e verificate, incluse le nostre. In futuro, continueremo a eseguire regolari audit di sicurezza e a pubblicare i risultati in modo che tu possa leggere il rapporto di un professionista della sicurezza indipendente prima di affidarci i tuoi dati.
Se sei un ricercatore di sicurezza, ti invitiamo anche a supportare la sicurezza in Proton attraverso il nostro programma bug bounty(nuova finestra) che offre generose ricompense a chiunque riesca a identificare vulnerabilità nei nostri servizi open-source.
Registrati a Proton VPN(nuova finestra) per ottenere una VPN no-log trasparente, open-source e completamente verificata che rispetta la tua privacy






