La Russia ammette che bloccare le VPN è impossibile

La leadership russa ha ammesso apertamente un limite tecnico che gli specialisti di rete conoscono da anni: bloccare completamente le VPN senza compromettere servizi essenziali è quasi impossibile. A dirlo è stato Valery Fadeev, presidente del Consiglio per i diritti umani collegato al Cremlino. Le sue dichiarazioni hanno attirato attenzione non tanto per la critica politica rivolta agli strumenti di aggiramento della censura, quanto per il riconoscimento pubblico di un problema infrastrutturale molto concreto.

La Russia porta avanti restrizioni online progressive almeno dal 2012, anno in cui Mosca iniziò a espandere i meccanismi di filtraggio e blocco dei contenuti internet tramite Roskomnadzor, agenzia governativa russa responsabile del monitoraggio, controllo e censura dei media e di Internet. Dopo l’invasione dell’Ucraina del 2022, il livello di controllo è cresciuto rapidamente: social network occidentali, media indipendenti, servizi di messaggistica e piattaforme informative hanno subìto limitazioni, rallentamenti od oscuramenti. In parallelo, milioni di utenti hanno iniziato a utilizzare servizi VPN, proxy e sistemi di tunneling cifrato per continuare ad accedere a contenuti bloccati.

Ma le VPN non servono solo a eludere la censura: aziende finanziarie, software house, infrastrutture cloud, piattaforme industriali e reti aziendali dipendono quotidianamente da connessioni cifrate basate su protocolli come IPsec, OpenVPN e WireGuard. Bloccare indiscriminatamente queste tecnologie significherebbe interrompere collegamenti remoti, autenticazioni interne, sincronizzazioni tra datacenter e accessi amministrativi. Fadeev lo ha detto senza troppi giri di parole: se si prova a spegnere tutto, “l’intero sistema Internet potrebbe rompersi“.

Perché le VPN sono difficili da eliminare

La difficoltà nasce dalla struttura stessa delle reti. Una VPN crea un tunnel cifrato tra due punti: in alcuni casi, dall’esterno, il traffico appare spesso indistinguibile da altre comunicazioni HTTPS legittime. I sistemi di censura possono tentare il riconoscimento tramite firme di protocollo, analisi statistica del traffico o Deep Packet Inspection (DPI), ma l’uso della cifratura end-to-end taglia fuori qualunque azione più aggressiva.

Molti servizi utilizzano tecniche di offuscamento capaci di mascherare il traffico VPN come normale traffico web TLS: citiamo ad esempio il protocollo TrustTunnel recentemente aperto da AdGuard che si basa proprio su questo concetto.

Alcuni client integrano protocolli stealth che alterano handshake, pattern di cifratura e comportamenti di connessione. Un “firewall nazionale” può riconoscere parte del traffico sospetto, ma distinguere con precisione ogni singola connessione VPN senza colpire servizi legittimi diventa estremamente complesso.

E se lo dice la Russia, che dispone già di una delle infrastrutture di filtraggio più aggressive al mondo, si capisce quanto siano fuori strada quei governi occidentali che promuovono il blocco dei servizi VPN.

Roskomnadzor utilizza sistemi DPI installati presso gli operatori di telecomunicazioni nazionali per rallentare piattaforme specifiche, bloccare domini e identificare protocolli ritenuti indesiderati. Il sistema ricorda, per alcuni aspetti, il Great Firewall cinese, pur con differenze operative importanti: Pechino ha costruito il suo modello in oltre 20 anni, integrandolo profondamente nell’architettura Internet nazionale; Mosca invece ha accelerato soprattutto dopo il 2022.

L’impatto sulle banche e sulle imprese

Le parole di Fadeev riflettono un problema economico reale. Molte banche russe utilizzano connessioni cifrate permanenti per collegare sedi, ATM, infrastrutture SWIFT alternative e servizi interni. Interrompere o limitare pesantemente questi canali potrebbe causare malfunzionamenti operativi immediati.

Anche il settore IT dipende dalle connessioni VPN: gli sviluppatori software scaricano codice da repository esteri, accedono a sistemi Git remoti e sincronizzano ambienti cloud distribuiti. Fadeev ha citato esplicitamente i “programmatori che scaricano codice“, una frase che fotografa bene il problema. Molte piattaforme DevOps funzionano su collegamenti cifrati persistenti; bloccarli indiscriminatamente rischierebbe di rallentare intere filiere tecnologiche.

Esiste poi una questione meno visibile ma altrettanto delicata: gran parte delle infrastrutture industriali usa reti VPN per telemetria, manutenzione remota e gestione di apparati distribuiti. Petrolio, gas, logistica e telecomunicazioni dipendono da collegamenti sicuri machine-to-machine. Un filtro troppo aggressivo potrebbe generare interruzioni operative difficili da prevedere.

La guerra tecnologica tra censura e aggiramento

La Russia continua comunque a esercitare pressione sui servizi VPN. Negli ultimi anni Mosca ha imposto ai provider l’obbligo di aderire ai sistemi di filtraggio statali: molte aziende occidentali hanno così abbandonato il mercato russo rifiutando la collaborazione con le autorità.

Parallelamente, diversi servizi hanno iniziato a modificare rapidamente le proprie infrastrutture per sopravvivere ai blocchi. Alcuni ruotano continuamente gli indirizzi IP; altri distribuiscono nodi dinamici tramite CDN o reti decentralizzate. Soluzioni come AmneziaVPN hanno introdotto modalità anti-DPI progettate specificamente per ambienti censurati. Altri strumenti sfruttano tecniche simili a quelle di Tor, con bridge nascosti e instradamenti variabili.

Le parole del presidente del Consiglio per i diritti umani non rappresentano un’apertura verso la libertà digitale. Anzi. Fadeev continua a sostenere che molti cittadini utilizzino le VPN per accedere a quella che definisce “propaganda nemica” e la censura online è presentata come una misura di sicurezza nazionale, non come una limitazione della libertà di espressione.