Blocco VPN per legge: un disastro globale

C’è un crescente interesse, da parte del legislatore, sui servizi VPN. Un interesse che non nasce da una reale comprensione della tecnologia, ma dalla percezione — spesso distorta — che le VPN siano strumenti di elusione, sottrazione al controllo e facilitatori di attività online indesiderate. La discussione pubblica e politica sta spostando l’attenzione dalle finalità legittime delle VPN al loro possibile abuso, e questo sta trasformando un componente essenziale dell’infrastruttura digitale in un bersaglio da mettere al tappeto.

I legislatori osservano che le VPN consentono agli utenti di aggirare blocchi geografici, sistemi di verifica dell’età, restrizioni territoriali sui contenuti, misure di tracciamento. Negli anni, ogni volta che una legge ha tentato di imporre una forma di limitazione alla navigazione Web, milioni di persone hanno semplicemente attivato una VPN per ripristinare il normale funzionamento della rete.

Il giro di vite contro le VPN inizia dagli USA

Negli Stati Uniti si sta aprendo un fronte normativo che, fino a pochi anni fa, sarebbe stato considerato impensabile: vietare l’uso delle VPN. Non limitarle, non regolamentarle, ma bandirle, come se fossero strumenti di elusione criminale e non un pilastro fondamentale della sicurezza informatica moderna.

È ciò che sta accadendo in Wisconsin, dove il disegno di legge (A.B. 105 / S.B. 130) promette di trasformare un problema politico in un disastro tecnico, sociale e costituzionale. E il Wisconsin non è un caso isolato: proposte simili sono emerse in Michigan, mentre nel Regno Unito si parla apertamente di “chiudere la falla” rappresentata dai servizi VPN.

EFF (Electronic Frontier Foundation) sostiene come dietro la narrativa della “protezione dei minori”, si stia consumando una delle più pericolose distorsioni legislative dell’era digitale: la convinzione che per tutelare i più giovani sia necessario ridurre la privacy di tutti, criminalizzando strumenti indispensabili per la sicurezza online, per il lavoro e per la libertà di informazione.

La logica distorta del divieto

Al centro della proposta del Wisconsin c’è un paradosso tecnico evidente: imporre ai siti Web la verifica dell’età tramite documenti governativi e, contemporaneamente, obbligarli a bloccare gli utenti che utilizzano VPN.

Tecnicamente non esiste alcun modo per distinguere in modo certo un utente residente nello Stato del Wisconsin che usa una VPN da un utente di qualsiasi altro luogo sulla faccia della Terra che usa lo stesso servizio. Gli indirizzi IP delle VPN non contengono informazioni geografiche relative ai singoli utenti, e qualunque tentativo di filtraggio regionale è destinato a fallire.

Quando un utente usa una VPN, il sito di destinazione vede solo l’indirizzo IP del server VPN di uscita (che può essere ovunque nel mondo); non può vedere l’IP reale né la posizione geografica dell’utente, né esiste un modo per “risalire” al Paese di origine della richiesta. Accade comunemente che due utenti da continenti diversi, collegati allo stesso server VPN di uscita, risultano identici al sito visitato.

Per rispettare la legge, quindi, il sito sarebbe costretto a bloccare tutti gli IP appartenenti a VPN commerciali. Ma ciò crea un problema gigantesco: la maggior parte degli utenti VPN non proviene dal Wisconsin. Eppure TUTTI, indiscriminatamente, verrebbero bloccati lo stesso.

L’unica altra possibilità per un sito esposto a responsabilità legale sarebbe quella di abbandonare il suo business nello Stato che ha approvato la normativa. Però nulla vieterebbe a un residente nel Wisconsin, ad esempio, di continuare a usare una VPN per visitare il sito.

Un danno per tutti: quando il legislatore colpisce la sicurezza delle persone comuni

È essenziale ricordarlo: le VPN non sono un giocattolo per aggirare i blocchi geografici. Sono uno strumento vitale e quotidiano per milioni di persone.

Gli utenti comuni che non vogliono essere tracciati online si affidano alle VPN per evitare la profilazione commerciale aggressiva, la vendita dei dati di navigazione da parte degli ISP, la geo-localizzazione sistematica. E hanno tutto il diritto per farlo.

Ogni realtà con dipendenti che lavorano da remoto si affida a connessioni cifrate per raggiungere server, applicazioni interne e dati sensibili. Bloccare le VPN significa interrompere servizi aziendali essenziali, esporre dati sensibili a rischi enormi, creare vulnerabilità nelle comunicazioni interne. Biblioteche digitali, banche dati accademiche, portali amministrativi: tutto passa attraverso tunnel VPN istituzionali.

Anche se la legge specificasse “solo VPN commerciali per utenti privati”, il confine è labile: molti dipendenti o studenti usano VPN aziendali o universitarie da casa o da reti pubbliche; alcune università o aziende potrebbero appoggiarsi a servizi commerciali per infrastrutture cloud; una VPN aziendale configurata con server condivisi potrebbe rientrare nel blocco.

È vero: esistono servizi, accessibili anche sotto forma di API (Application Programming Interface) che permettono di stabilire se un indirizzo IP dipenda da un servizio VPN commerciale. Ma vogliamo obbligare ogni sito a stipulare abbonamenti di questo tipo, peraltro con garanzie tutt’altro che certe sull’affidabilità del responso (IP pubblici indicati come appartenenti a VPN commerciali quando non è vero, o viceversa)?

Cosa succede in Italia?

Come raccontavamo nell’articolo sulle VPN vietate in Italia, al momento (per fortuna) non esistono limitazioni rispetto all’uso di questi strumenti.

Semmai, nella legge 14 luglio 2023, n. 93 (“Disposizioni per la prevenzione e la repressione della diffusione illecita di contenuti tutelati dal diritto d’autore mediante le reti di comunicazione elettronica“) è previsto che AGCOM (Autorità per le Garanzie nelle Comunicazioni) eserciti un’azione di monitoraggio e repressione dei reati consumati online e relativi alla violazione dei contenuti protetti dalla normativa a tutela del diritto d’autore.

Nel testo della normativa si legge che AGCOM ordina “ordina ai prestatori di servizi, compresi i prestatori di servizi di accesso alla rete nonché i fornitori di servizi di VPN e quelli di DNS pubblicamente disponibili ovunque residenti e ovunque localizzati di disabilitare l’accesso ai contenuti diffusi abusivamente mediante blocco dei nomi di dominio e degli indirizzi IP“.

Questo significa che sulla carta l’Autorità italiana può ordinare al gestore di un servizio VPN di bloccare l’accesso a un sito anche attraverso la sua rete. Quanto quest’operazione possa essere efficace per un soggetto che ha sede legale in un Paese extra-UE con una giurisdizione completamente differente è facilmente immaginabile. In caso di mancato intervento è possibile il blocco del traffico dalla VPN verso gli operatori di telecomunicazioni italiani: ma anche qui, vista la dinamicità delle reti VPN, ogni eventuale azione può essere inefficace.

Tutto da verificare cosa accadrà con le nuove norme per la verifica dell’età online rispetto all’uso dei servizi VPN.

La via giusta: educazione, strumenti per le famiglie, responsabilità, non censura

Proteggere i giovani significa investire in alfabetizzazione digitale, educare all’uso consapevole della rete, fornire ai genitori strumenti tecnici efficaci, rafforzare programmi di supporto psicologico e familiare, monitorare e contrastare abusi, attività di adescamento e disinformazione.

Ciò che non serve è schedare gli utenti, criminalizzare la privacy, censurare contenuti educativi, punire strumenti che proteggono milioni di persone.

Come si evince da alcune sconsiderate proposte di legge, le VPN sono spesso associate a criminalità informatica, traffico illegale, pirateria e accesso a contenuti proibiti. In realtà, qualunque tecnologia che protegge l’anonimato può essere utilizzata impropriamente.

Ancora una volta non va fatta confusione tra strumenti e comportamenti illegali. Il risultato sarebbe una narrativa tossica: “le VPN servono a nascondere qualcosa”. Mentre nella realtà servono a proteggere quasi tutto ciò che oggi è digitale.