vpn

ExpressVPN è Sicuro? Analisi di Sicurezza, Privacy e Audit

ExpressVPN è sicuro? Risultati di audit indipendenti, protocolli di crittografia, analisi della giurisdizione, test del kill switch e verifica della politica no-logs.

VPN.com Editorial Team · ·9 min di lettura

ExpressVPN è Sicuro? Un’Analisi Approfondita della Sicurezza

ExpressVPN ottiene un punteggio di fiducia di 85/100 basato su audit no-logs verificati, crittografia AES-256 e server solo RAM in 105 paesi. Opera sotto la giurisdizione delle Isole Vergini Britanniche, al di fuori delle alleanze di sorveglianza dei 14 Eyes. Diversi audit indipendenti condotti da KPMG e Cure53 confermano che le sue affermazioni no-logs reggono sotto esame.

Giurisdizione: Perché le Isole Vergini Britanniche Contano

ExpressVPN è costituita nelle Isole Vergini Britanniche, un territorio britannico d’oltremare autogovernato. Le IVB non prevedono leggi obbligatorie sulla conservazione dei dati per i provider VPN. Questo singolo fatto determina come ExpressVPN risponde alle richieste di dati governative.

Le IVB si trovano al di fuori delle alleanze di condivisione dell’intelligence dei 5 Eyes, 9 Eyes e 14 Eyes. Le richieste dei governi stranieri devono passare attraverso l’Alta Corte delle IVB prima di raggiungere ExpressVPN. Le IVB non hanno alcun obbligo legale di rispettare direttamente mandati o ordini di sorveglianza stranieri.

Questo vantaggio giurisdizionale si è dimostrato reale nel 2017. Le autorità turche hanno sequestrato un server ExpressVPN durante un’indagine politica. Il server non conteneva alcun dato degli utenti, confermando che la politica no-logs ha funzionato sotto la reale pressione governativa.

Storico degli Audit Indipendenti

ExpressVPN ha completato più audit di sicurezza di terze parti rispetto alla maggior parte dei concorrenti. Ogni audit ha esaminato diversi aspetti delle affermazioni sulla privacy e sicurezza del servizio.

Audit No-Logs di KPMG

KPMG ha sottoposto a audit la politica no-logs di ExpressVPN nel 2022 e di nuovo nel 2024. Entrambi gli audit hanno confermato che la tecnologia TrustedServer di ExpressVPN non memorizza registri di attività, registri di connessione o indirizzi IP. KPMG ha testato i server di produzione e i sistemi interni per verificare queste affermazioni in modo indipendente.

Audit di Sicurezza di Cure53

Cure53, una rispettata azienda tedesca di cybersicurezza, ha sottoposto a audit ExpressVPN più volte. Nel 2019, Cure53 ha esaminato le estensioni del browser e non ha trovato vulnerabilità critiche. Ha sottoposto a audit il protocollo Lightway nel 2021 e ha confermato che la sua implementazione crittografica era solida. Un audit del 2022 ha esaminato l’infrastruttura TrustedServer e l’ha giudicata robusta.

Audit di PwC

PricewaterhouseCoopers ha condotto un precedente audit no-logs nel 2019. PwC ha verificato che la configurazione dei server di ExpressVPN corrispondesse alla sua politica sulla privacy pubblica. Questo ha rappresentato uno dei primi importanti audit commissionati da ExpressVPN.

ExpressVPN pubblica i riepiloghi di tutti i risultati degli audit sul suo sito web. I report completi di Cure53 sono disponibili pubblicamente, il che dimostra una trasparenza superiore alla media nel settore VPN.

Politica di Registrazione: Cosa Viene Conservato e Cosa No

La politica sulla privacy di ExpressVPN indica chiaramente quali dati raccoglie. Comprendere i dettagli è più importante delle affermazioni di marketing.

Dati che ExpressVPN NON Conserva

ExpressVPN non registra la cronologia di navigazione, la destinazione del traffico, le query DNS o l’indirizzo IP. Non registra timestamp di connessione, durata della sessione o indirizzi IP VPN assegnati. Nessun contenuto delle comunicazioni passa attraverso alcun sistema di registrazione.

Dati che ExpressVPN RACCOGLIE

ExpressVPN raccoglie dati di connessione aggregati: quale versione dell’app si utilizza, quale posizione del server si è scelta (non il server specifico) e la larghezza di banda totale consumata al giorno. Questi dati non possono identificare i singoli utenti o collegare l’attività ad account specifici. ExpressVPN utilizza queste informazioni per mantenere la capacità dei server nella sua rete di oltre 3.000 server.

L’email del tuo account, le informazioni di pagamento e la cronologia dei ticket di supporto vengono conservate per scopi di fatturazione. Gli utenti che desiderano il massimo anonimato possono pagare con Bitcoin o utilizzare un indirizzo email usa e getta.

Standard di Crittografia e Protocolli

ExpressVPN utilizza la crittografia AES-256-GCM come standard predefinito. Questo è lo stesso livello di crittografia utilizzato dal governo degli Stati Uniti per le informazioni classificate. Violare AES-256 richiederebbe una potenza computazionale che attualmente non esiste.

Protocolli Disponibili

ExpressVPN offre 4 protocolli VPN nelle sue app. Lightway è il suo protocollo proprietario, basato su wolfSSL e che utilizza la crittografia ChaCha20 o AES-256. OpenVPN funziona sia su UDP che su TCP con AES-256-GCM. IKEv2/IPSec è disponibile su piattaforme selezionate per connessioni mobili veloci.

Lightway merita un’attenzione particolare. Il suo codice sorgente contiene circa 2.000 righe di codice, rispetto alle 70.000+ di OpenVPN. Meno righe significano meno potenziali vulnerabilità e tempi di connessione più rapidi, inferiori a 1 secondo. Cure53 ha sottoposto a audit il codice sorgente di Lightway, che ExpressVPN ha pubblicato come open source su GitHub.

Perfect Forward Secrecy

ExpressVPN negozia una nuova chiave di crittografia per ogni sessione di connessione. Se un attaccante compromettesse in qualche modo una chiave di sessione, le sessioni passate e future rimarrebbero protette. Questa funzionalità impedisce la decrittazione retroattiva massiva del traffico catturato.

Kill Switch e Protezione dalle Fughe DNS

ExpressVPN chiama il suo kill switch “Network Lock”. Si attiva per impostazione predefinita su Windows, Mac, Linux e router. Network Lock blocca tutto il traffico internet se la connessione VPN cade inaspettatamente.

Network Lock funziona a livello di firewall, non a livello di applicazione. Questo approccio previene le fughe durante le brevi finestre di riconnessione che i kill switch a livello applicativo spesso non riescono a gestire. Consente il traffico solo attraverso il tunnel VPN e verso i server DNS di ExpressVPN.

ExpressVPN gestisce il proprio DNS privato e crittografato su ogni server. Le query DNS non raggiungono mai provider DNS di terze parti come Google o Cloudflare. Questo elimina il rischio di fughe DNS a livello infrastrutturale piuttosto che fare affidamento su patch software.

I tool di test indipendenti mostrano costantemente zero fughe DNS, zero fughe WebRTC e zero fughe IPv6 nelle principali app di ExpressVPN. Il firmware del router estende questa protezione a ogni dispositivo sulla rete.

Incidenti di Sicurezza Passati

Nessun prodotto di sicurezza esiste senza essere soggetto a scrutinio. ExpressVPN ha affrontato due incidenti degni di nota.

Il Sequestro del Server in Turchia (2017)

Le autorità turche hanno indagato sull’assassinio dell’ambasciatore russo Andrei Karlov. Hanno sequestrato un server ExpressVPN alla ricerca di comunicazioni dei sospettati. Il server non conteneva dati utilizzabili, validando l’infrastruttura no-logs sotto la reale pressione delle forze dell’ordine.

L’Acquisizione da Parte di Kape Technologies (2021)

Kape Technologies ha acquisito ExpressVPN per circa 936 milioni di dollari nel settembre 2021. Kape operava in precedenza come Crossrider, un’azienda associata alla distribuzione di adware prima del rebranding. Questa acquisizione ha sollevato legittime preoccupazioni tra i sostenitori della privacy.

ExpressVPN ha risposto mantenendo le proprie operazioni indipendenti e la giurisdizione delle IVB. Gli audit KPMG post-acquisizione del 2022 e del 2024 hanno confermato che la politica no-logs è rimasta intatta. L’azienda ha mantenuto il proprio team dirigenziale e ha continuato a pubblicare i risultati degli audit in modo trasparente. Gli utenti dovrebbero monitorare i futuri audit per verificare la continua indipendenza.

Funzionalità di Sicurezza Uniche

ExpressVPN offre diverse funzionalità di sicurezza che la distinguono dai concorrenti con standard di crittografia simili.

Tecnologia TrustedServer

Ogni server ExpressVPN funziona interamente su RAM volatile, non su dischi rigidi. I server caricano un’immagine di sola lettura ad ogni avvio. Tutti i dati vengono cancellati completamente ad ogni riavvio del server. Questa architettura rende fisicamente impossibile la memorizzazione persistente dei dati sui server VPN.

Threat Manager

Threat Manager impedisce alle app e ai siti web di comunicare con tracker noti e server dannosi. Opera a livello DNS su tutti i dispositivi connessi. ExpressVPN aggiorna regolarmente le sue liste di blocco basandosi su dati di threat intelligence.

Express Keys (Gestore di Password)

ExpressVPN include un gestore di password integrato chiamato Keys con tutti gli abbonamenti. Keys utilizza la crittografia zero-knowledge, il che significa che ExpressVPN non può accedere alle password memorizzate. Questa integrazione aggiunge un valore pratico in termini di sicurezza al di là del tunnel VPN stesso.

Protezione Post-Quantum

ExpressVPN ha implementato il supporto alla crittografia post-quantum nel suo protocollo Lightway. Questa funzionalità protegge dagli attacchi futuri del quantum computing che potrebbero violare gli attuali standard di crittografia. Pochi provider VPN hanno implementato questa protezione alla data dei test attuali.

FAQ

ExpressVPN Conserva i Log?

ExpressVPN non conserva log di attività, log di connessione, indirizzi IP o cronologia di navigazione. Raccoglie dati aggregati minimi come la versione dell’app e la scelta della posizione del server per la manutenzione della rete. Gli audit di KPMG e PwC hanno verificato indipendentemente queste affermazioni no-logs nel corso di più anni.

ExpressVPN È Stato Hackerato?

ExpressVPN non ha subito una violazione dei dati confermata che abbia interessato le informazioni degli utenti. Il sequestro del server in Turchia del 2017 ha dimostrato che il sistema no-logs funziona perché le autorità non hanno recuperato alcun dato degli utenti. La sua architettura TrustedServer solo RAM limita l’impatto di qualsiasi potenziale compromissione fisica del server.

ExpressVPN È Affidabile?

ExpressVPN dimostra affidabilità attraverso 5+ audit indipendenti, codice del protocollo open source e un incidente no-logs verificato. La proprietà di Kape Technologies solleva domande valide che gli utenti dovrebbero valutare individualmente. La garanzia di rimborso di 30 giorni consente agli utenti di testare il servizio con un rischio finanziario minimo.

ExpressVPN Può Vedere i Miei Dati?

ExpressVPN non può vedere i dati di navigazione grazie alla crittografia end-to-end AES-256 all’interno del tunnel VPN. L’infrastruttura TrustedServer impedisce che i dati vengano scritti su disco su qualsiasi server. Anche se costretta da un ordine del tribunale, ExpressVPN non ha dati di attività degli utenti memorizzati da consegnare.