In che modo la giurisdizione della VPN influisce sugli utenti?

La “giurisdizione” di una VPN è il paese in cui la VPN ha sede legale. Il sistema legale del paese influisce sulle leggi e sulle normative sulla privacy a cui è soggetta la VPN.

Il livello di sorveglianza e controllo che i governi applicano all’uso di Internet varia da paese a paese. Una giurisdizione intrusiva o pericolosa può obbligare una VPN a monitorare, raccogliere o condividere dati relativi ai propri utenti.

I server VPN sono soggetti alla giurisdizione del paese in cui si trovano fisicamente.

Le autorità possono legalmente sequestrare singoli server ed esaminarli per i dati. Tuttavia, non sono in grado di obbligare la VPN a condividere informazioni perché la società ha sede in un paese diverso, al di fuori della portata dei loro poteri legali. Ecco perché la politica sui log di una VPN è importante quanto una giurisdizione favorevole.

A seconda della regolamentazione di Internet del tuo paese, potresti voler scegliere una VPN situata in un posto diverso da quello in cui vivi, con forti leggi sulla privacy e non coinvolto in alcun accordo internazionale di condivisione dei dati.

Se stai cercando di nascondere la tua attività su Internet, dovresti assolutamente evitare di usare una VPN con sede in una giurisdizione invasiva, poiché potrebbe essere costretta a consegnare i dati dei suoi utenti, che possono quindi essere condivisi a livello internazionale tra gli alleati dell’intelligence.

Tuttavia questa non è l’unica giurisdizione di cui dovresti preoccuparti.

Se uno di questi luoghi è soggetto a leggi invasive, i dati degli utenti potrebbero essere soggetti a sequestri senza necessità di mandato e a compromessi sulla privacy in nome della “sicurezza”.

Anche se importante, la giurisdizione è solo uno dei molti fattori da considerare quando si sceglie una VPN. L’importanza reale dipende dal livello di protezione di cui necessiti.

Se desideri protezione da una sorveglianza mirata, è improbabile che la scelta di una VPN in una giurisdizione sicura sia sufficiente a garantirti la protezione necessaria. Le agenzie di intelligence nazionali hanno accesso a vaste risorse: se sei oggetto di una indagine specifica, devi preoccuparti di più elementi rispetto alla sola giurisdizione della VPN.

Anche la fiducia è un fattore importante. Una VPN può comunque mentire ai suoi clienti e collaborare con le autorità anche se opera in una giurisdizione “sicura”.

In definitiva, la posizione dei server a cui ti stai connettendo e le pratiche dell’azienda che li controlla sono probabilmente più importanti del luogo in cui l’azienda è costituita.

Detto questo, le giurisdizioni VPN sono comunque importanti se tieni davvero alla tua privacy. Potresti essere vulnerabile ai seguenti problemi:

Sorveglianza e conservazione dei dati

Le agenzie di intelligence nazionali, come NSA e GCHQ, hanno il potere di costringere le organizzazioni nazionali a registrare, condividere e decrittografare le informazioni private.

Negli Stati Uniti, leggi come il Patriot Act, danno alle autorità il potere di costringere le aziende legittime a diventare strumenti di raccolta dati per le agenzie statali tramite lettere di sicurezza nazionale.

Tali richieste possono essere accompagnate da un provvedimento che rende illegale per l’azienda rivelare pubblicamente ciò che è costretta a fare. Alcune aziende che offrono VPN pubblicano Warrant Canary nel tentativo di risolvere questo problema, che verrà affrontato più avanti in questa guida.

Esiste un precedente in tal senso. Nel 2013, il servizio di posta elettronica sicuro Lavabit è stato preso di mira dall’FBI nel tentativo di raccogliere informazioni su Edward Snowden.

Lavabit è stata sottoposta a un provvedimento per la divulgazione delle chiavi di crittografia usate per i contenuti e-mail dei propri utenti. Questo avrebbe consentito all’FBI di accedere alle comunicazioni in tempo reale di tutti i clienti di Lavabit, non solo di Snowden.

Il fondatore della società, Ladar Levison, ha consegnato le chiavi di crittografia della società e contemporaneamente ha terminato il servizio. Le autorità statunitensi hanno continuato a minacciare Levison di arresto, sostenendo che i suoi atti violavano l’ordine del tribunale.

Allo stesso modo, la VPN Riseup con sede a Seattle è stata costretta a raccogliere i dati degli utenti per le autorità governative, ed è stata anche oggetto di un ordine restrittivo che impediva di rivelare tale obbligo agli utenti.

Anche HideMyAss, una VPN con sede nel Regno Unito, è stata oggetto di un’ordinanza del tribunale e obbligata a raccogliere i dati e fornirli alle autorità per un’indagine penale. Questo è stato rivelato solo dopo l’azione penale.

Questi sono solo esempi di casi che sono diventati di pubblico dominio, ma è altamente probabile che ci siano altri esempi di cui ancora non sappiamo.

Accordi di condivisione dei dati

Accordi di sorveglianza internazionali come le Alleanze dei cinque, nove e 14 occhi consentono ai paesi membri di condividere dati di sorveglianza di massa, beneficiando del “minimo comune denominatore della privacy”.

Se una nazione dovesse ottenere l’accesso ai tuoi dati dopo aver ampliato le sue capacità di sorveglianza elettronica, questi potrebbero potenzialmente essere condivisi con altri membri dell’alleanza.

C’è quindi una forte possibilità che la tua attività venga raccolta e condivisa con un’agenzia di intelligence, indipendentemente da dove ti trovi nel mondo.

Posizioni dei server virtuali e dei server a noleggio

Alcune VPN noleggiano server dai data center, poiché è notevolmente più economico che possedere un’intera rete internazionale direttamente.

Sebbene questo possa essere conveniente, ha un costo per la privacy.

I Data Center mantengono la proprietà dei server che affittano e possono registrare la tua attività, indipendentemente da qualsiasi politica sui log che il provider VPN potrebbe avere.

A seconda della giurisdizione del Data Center, le autorità locali potrebbero anche obbligare l’Host del server a conservare o condividere i dati degli utenti.

In casi come questo, la giurisdizione e la politica sui log della società VPN sono irrilevanti. Le autorità locali possono rivolgersi direttamente all’Host del server per sequestrare le informazioni di cui hanno bisogno.

Se ti interessa la privacy, consigliamo di scegliere una VPN la cui società ha sede in un paese che non partecipata all’Alleanza dei cinque, nove o 14 occhi.

I paesi che partecipano a queste alleanze sono molto più propensi a implementare programmi invasivi di sorveglianza, conservazione dei dati e raccolta di informazioni.

È anche probabile che le nazioni più potenti di queste alleanze siano in grado di costringere altri membri a registrare dei dati o ad altre forme di cooperazione.

Cos’è un paradiso della privacy?

Consigliamo di scegliere una rete VPN la cui società abbia sede in un paese considerato un “paradiso della privacy”.

Un paradiso della privacy è un paese con un ambiente legale e politico che rispetta l’idea di privacy online. Questi paesi raramente prendono parte ad accordi su sorveglianza obbligatoria, conservazione o condivisione dei dati, e spesso vantano alcune delle leggi sulla privacy più solide del mondo.

Tuttavia, il compromesso è che mentre i paradisi della privacy non sono obbligati a condividere i dati degli utenti con le autorità internazionali, tendono a non avere normative solide per proteggere adeguatamente tali dati.

I paesi spesso definiti paradisi della privacy includono le Isole Vergini britanniche, Panama, Seychelles, le Isole Cayman e la Malesia.

Molte aziende VPN, come ExpressVPN e NordVPN, registrano le loro attività in questi paesi per garantire la massima privacy.

Esistono anche alcune VPN che si sono dimostrate affidabili nonostante operino in una giurisdizione “pericolosa”. Private Internet Access (PIA), ad esempio, non è riuscita a fornire dati al governo degli Stati Uniti in un caso giudiziario ufficiale, nonostante una citazione in giudizio.

Poche VPN veramente no log hanno superato casi di test reali o audit di terze parti. Una VPN in una giurisdizione offshore sicura aggiunge semplicemente protezione riducendo le possibilità di essere costretti a consegnare i dati.

Le VPN hanno bisogno di un Warrant Canary?

Il “Warrant Canary” è una dichiarazione regolarmente pubblicata, intesa a dimostrare che un provider di servizi non è stato contattato da un’agenzia governativa od obbligato a condividere i dati degli utenti.

Le richieste di dati, come una “US National Security Letter” (NSL), in genere sono accompagnate da un ordine restrittivo o mandato che vieta alla società di destinazione di rivelare il fatto che è oggetto di un ordine di divulgazione dei dati.

I Warrant Canary mirano ad avvisare gli utenti che i loro dati potrebbero non essere sicuri, senza violare il divieto imposto dall’ordinanza del tribunale.

Funziona informando gli utenti che fino a una data specifica l’azienda non ha ricevuto un mandato del tribunale, un ordine restrittivo o un ordine di comparizione. Se il Warrant Canary non viene aggiornato o se viene completamente rimosso, gli utenti devono presumere che il divieto di divulgazione sia entrato in vigore e che all’Host sia stata presentata una richiesta legale.

Molte VPN scelgono di emettere un Warrant Canary per convincere gli utenti della propria affidabilità.

Tuttavia, il semplice fatto che una VPN abbia emesso un Warrant Canary non significa che sia sicura e garantisca la privacy. I servizi affidabili potrebbero evitarli poiché la loro efficacia è contestata.

Alcuni esperti sostengono che i governi possono costringere le aziende a mantenere i Warrant Canary anche quando sono compromessi, rendendoli inutili. I servizi compromessi possono anche evitare di modificare i Warrant Canary per fidelizzare i clienti, rendendo i Warrant Canary dei semplici stratagemmi di marketing.

Purtroppo, non c’è modo di sapere con certezza se un Warrant Canary è un vero indicatore di un procedimento giudiziario. Gli utenti possono solo speculare per decidere quale sia il significato di un Warrant mancante o modificato.

Consigliamo di considerare i Warrant Canary come funzionalità bonus una volta identificata una VPN affidabile, piuttosto che cercarne specificamente una che lo abbia.

La NSA è una delle agenzie di intelligence (SIGINT) più note, ma quasi ogni paese ha la propria agenzia equivalente impegnata nella sorveglianza di massa e spesso lavorano insieme.

Il loro obiettivo principale è l’applicazione della legge, la raccolta dati e le attività di controspionaggio attraverso l’intercettazione di segnali elettronici e comunicazioni online.

Le alleanze di cinque, nove e 14 occhi sono tre degli accordi internazionali di condivisione di intelligence più significativi che facilitano gli sforzi di sorveglianza coordinati tra le nazioni membri.

I paesi che appartengono a queste alleanze sono le peggiori giurisdizioni VPN in termini di privacy degli utenti, poiché è più probabile che rispettino le richieste di sorveglianza delle agenzie alleate.

Ecco un elenco delle principali entità di sorveglianza globale che dovresti conoscere:

1. Alleanza dei cinque occhi

I cinque paesi membri dell’Alleanza dei cinque occhi sono Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda.

Questo accordo di condivisione delle informazioni può essere ricondotto alla seconda guerra mondiale e all’accordo UK-USA, originariamente concepito come partnership tra Stati Uniti e Regno Unito.

Negli ultimi decenni il trattato è cresciuto sia in termini di membri che di portata. Le nazioni membri di quella che è nota come Alleanza dei cinque occhi ora lavorano insieme per raccogliere, analizzare e condividere dati sia a livello nazionale che internazionale.

Se da un lato i paesi dell’Alleanza dei cinque occhi hanno accettato di non spiarsi l’un l’altro come avversari, dall’altro i documenti svelati da Edward Snowden hanno rivelato che le nazioni monitorano i cittadini e condividono queste informazioni tra loro.

Oltre a condividere dati di sorveglianza, i paesi membri dell’Alleanza dei cinque occhi collaborano anche per inviare e applicare avvisi di conservazione dei dati. Ciò significa che una nazione può fare pressione su un’altra perché consegni i log degli utenti delle VPN che si trovano all’interno della rispettiva giurisdizione.

Non deve sorprendere che molti dei cinque paesi dell’Alleanza dei cinque occhi siano tra i peggiori violatori della privacy digitale.

Se ti preoccupa la privacy durante l’utilizzo di una VPN, i paesi membri dell’Alleanza dei cinque occhi sono considerati le peggiori giurisdizioni VPN possibili.

Sistema di sorveglianza ECHELON

Le nazioni che partecipano all’Alleanza dei cinque occhi utilizzano ECHELON, una rete di stazioni di spionaggio progettate per la sorveglianza e la raccolta dei dati a livello globale.

ECHELON è in grado di intercettare i dati inviati tramite telefoni, fax e computer. Le sue stazioni possono tenere traccia dei conti bancari e persino intercettare i dati inviati da e verso i ripetitori satellitari. Tutti questi dati vengono archiviati in database enormi in grado di contenere milioni di record su singoli individui.

Sebbene le prove aumentino da quasi 30 anni, gli Stati Uniti negano ancora l’esistenza di ECHELON, mentre il governo britannico è stato costantemente evasivo.

Nonostante le smentite, diversi informatori hanno confermato la verità documentando alcuni aspetti del progetto ECHELON.

2. L’Alleanza dei nove occhi

L’Alleanza dei nove occhi è un’estensione dell’Alleanza dei cinque occhi. È composta da un gruppo più ampio di paesi che cooperano per condividere informazioni e include tutti i paesi dell’Alleanza dei cinque occhi nonché la Francia, la Danimarca, la Norvegia e i Paesi Bassi.

L’esistenza dell’Alleanza dei nove occhi è diventata nota dopo le rivelazioni di Edward Snowden nel 2013. Si tratta essenzialmente di un’estensione dell’accordo dell’Alleanza dei cinque occhi i cui paesi cooperano per raccogliere e distribuire dati di sorveglianza di massa.

Se da un lato le quattro nazioni aggiuntive non hanno programmi di sorveglianza interna così estesi come quelli di Stati Uniti, Regno Unito o Australia, dall’altro continuano a cooperare tra loro e con tutti e cinque i paesi dell’alleanza originaria.

L’Alleanza dei nove occhi è un accordo tra entità SIGINT e non è officiata da alcun trattato formale.

3. L’Alleanza dei 14 occhi

L’Alleanza dei 14 occhi comprende tutti i membri dell’Alleanza dei nove occhi più Germania, Belgio, Italia, Svezia e Spagna.

Il nome ufficiale dell’Alleanza dei 14 occhi è SIGINT Seniors of Europe (SSEUR), che esiste in varie forme dal 1982. Una volta concepito per lo scambio di dati a livello militare, ora il programma è stato ampliato per includere le informazioni di sorveglianza sui normali cittadini.

Il SIGINT Seniors Meeting si tiene ogni anno e vede la partecipazione dei leader delle agenzie SIGINT, tra cui BND, NSA, DGSE, GCHQ e altri. Questi meeting offrono ai leader dell’intelligence globale uno spazio per discutere di cooperazione e sviluppo.

Il SIGINT Seniors of the Pacific è un’entità simile creata nel 2005. Gli stati membri comprendono tutti i paesi dell’Alleanza dei cinque occhi nonché India, Francia, Singapore, Thailandia e Corea del Sud.

Si ritiene che anche altri paesi importanti, tra cui Israele e Giappone, lavorino a stretto contatto con l’Alleanza dei 14 occhi e con l’NSA.

4. L’Unione Europea (UE)

L’Unione Europea è un gruppo di nazioni sovrane europee. Sebbene non siano invasive come quelle delle Alleanze dei cinque, nove e 14 occhi, dall’altro gli stati membri dell’UE sono comunque impegnati in accordi di condivisione dei dati, che compromettono la privacy.

Tuttavia, nel 2009, la Corte costituzionale della Romania ha stabilito che le richieste dell’UE violavano i diritti alla privacy dei cittadini, rendendola un rifugio sicuro per la privacy degli utenti nell’UE. Ciò aiuta a spiegare perché VPN come CyberGhost basano le loro operazioni lì.

Mentre alcuni paesi dell’UE danno priorità alla privacy più di altri, molti collaborano con le autorità dei cinque occhi o SSEUR, condividendo i dati. Questa è una considerazione importante quando si sceglie una VPN con sede in una giurisdizione dell’UE.

5. La Shanghai Cooperation Organization (SCO)

La Shanghai Cooperation Organization (SCO), nota anche come Shanghai Pact, è un’alleanza politica ed economica eurasiatica tra Russia, Cina, Pakistan, India, Kirghizistan, Kazakistan, Uzbekistan e Tagikistan.

La SCO è principalmente focalizzata sulla sicurezza nazionale dei suoi membri e, in genere, lavora per combattere l’estremismo.

Negli ultimi anni, le attività della SCO si sono ampliate per includere una maggiore cooperazione militare, condivisione dei dati e antiterrorismo. È altamente probabile che i paesi membri della SCO raccolgano e condividano i dati in modo simile alle alleanze occidentali.

6. Paesi altamente censurati

Alcuni paesi vietano l’uso delle VPN e invadono la privacy dei propri cittadini indipendentemente dagli accordi internazionali.

I paesi che applicano le maggiori restrizioni su Internet sono Cina, Emirati Arabi Uniti, Turchia, Russia, Oman, Iraq e Bielorussia, sebbene questo elenco sia tutt’altro che esaustivo.

Anche se è abbastanza improbabile che si trovi una VPN o un server VPN fisicamente basato in uno di questi paesi, vale la pena fare attenzione. Abbiamo trovato molte VPN con legami ad aziende cinesi discutibili nella nostra indagine sulla proprietà cinese di app VPN gratuite.

Anche le giurisdizioni con stretti legami con questi governi, come Hong Kong, dovrebbero essere evitate se si è preoccupati per la privacy dei propri dati.

Per ulteriori informazioni sulla legalità delle VPN e sulle restrizioni al loro utilizzo, leggi la nostra guida dedicata alle leggi relative alle VPN.

Abbiamo controllato le informative privacy delle VPN più diffuse sul mercato e abbiamo riscontrato che un numero significativo di fornitori di VPN ha la propria sede in giurisdizioni potenzialmente pericolose per i dati degli utenti.

La seguente tabella elenca tutte le 80 VPN che abbiamo testato, la loro giurisdizione e se aggiornano il Warrant Canary. Quando un Warrant Canary non è più aggiornato e quindi si sospetta che sia stato attivato, è contrassegnato in rosso.