In che modo la giurisdizione della VPN influisce sugli utenti?

Le nazioni più potenti del mondo sono membri di accordi segreti di condivisione di informazioni denominati Alleanza dei cinque occhi, dei nove occhi e dei 14 occhi.

I paesi coinvolti in questi accordi collaborano per raccogliere dati di sorveglianza di massa e condividerli tra loro.

Raccolgono informazioni quali attività di navigazione, telefonate, messaggi di testo, documenti elettronici, cronologia della posizione e molto altro ancora.

In termini di privacy, questi paesi sono i posti peggiori in cui basare la sede di un’azienda di VPN.

Se la VPN ha la propria sede legale in uno di questi paesi, potrebbe essere soggetta a leggi intrusive sulla sorveglianza, oltre che obbligata alla conservazione e condivisione dei dati. Potrebbe anche essere costretta a consegnare i dati degli utenti alle autorità.

In questa guida spiegheremo esattamente cos’è la giurisdizione delle VPN e in che modo influisce sulla privacy degli utenti.

Spiegheremo inoltre in modo approfondito cosa sono le Alleanze dei cinque occhi, dei nove occhi e dei 14 occhi e perché sono importanti quando si tratta di scegliere una VPN.

Nella tabella di confronto delle giurisdizioni delle VPN è inoltre possibile scoprire esattamente dove hanno la propria sede le VPN più diffuse.

La “giurisdizione” di una VPN è il paese in cui la VPN ha sede legale. Il sistema legale del paese influisce sulle leggi e sulle normative sulla privacy a cui è soggetta la VPN.

Il livello di sorveglianza e controllo che i governi applicano all’uso di Internet varia da paese a paese. Una giurisdizione intrusiva o pericolosa può obbligare una VPN a monitorare, raccogliere o condividere dati relativi ai propri utenti.

I server VPN sono soggetti alla giurisdizione del paese in cui si trovano fisicamente. Le autorità di questo paese sono legalmente autorizzate a sequestrare il server per esaminarne i dati.

Tuttavia, sebbene possano sequestrare il server, le autorità non possono obbligare la società di VPN a condividere informazioni, perché questa ha la sua sede legale in un paese diverso. Ecco perché la politica sui log di una VPN è importante quanto una giurisdizione favorevole.

A seconda del grado di regolamentazione dell’uso di Internet del proprio paese, è possibile scegliere una VPN situata al di fuori del proprio paese di residenza.

È inoltre ragionevole scegliere una giurisdizione che abbia solide leggi sulla privacy e non abbia aderito ad accordi internazionali di condivisione dei dati.

Se utilizzi una VPN per la privacy, sai già che non puoi fidarti di alcuni soggetti, che si tratti dei siti web che stai visitando o del tuo governo.

L’utilizzo di una VPN con sede in una giurisdizione “invasiva” non fa che aggiungere un’altra parte non affidabile che potrebbe essere costretta a consegnare le informazioni degli utenti alle autorità, informazioni che possono quindi essere condivise con altri paesi in base agli accordi di condivisione dei dati.

Se uno di questi luoghi è soggetto a leggi invasive, i dati degli utenti potrebbero essere soggetti a sequestri senza necessità di mandato e a compromessi sulla privacy in nome della “sicurezza”.

Anche se importante, la giurisdizione è solo uno dei molti fattori da considerare quando si sceglie una VPN. L’importanza reale dipende dal livello di protezione di cui necessiti.

Se desideri protezione da una sorveglianza mirata, è improbabile che la scelta di una VPN in una giurisdizione sicura sia sufficiente a garantirti la protezione necessaria. Le agenzie di intelligence nazionali hanno accesso a vaste risorse: se sei oggetto di una indagine specifica, devi preoccuparti di più elementi rispetto alla sola giurisdizione della VPN.

Anche la fiducia è un fattore importante. Una VPN può comunque mentire ai suoi clienti e collaborare con le autorità anche se opera in una giurisdizione “sicura”.

In definitiva, se desideri proteggere la privacy online, è probabile che la posizione dei server a cui ti connetti e le pratiche dell’azienda che li controlla siano più importanti rispetto al paese in cui l’azienda ha sede legale.

Detto questo, le giurisdizioni delle VPN sono comunque importanti se ti interessa davvero la tua privacy. È infatti possibile che resti vulnerabile ai seguenti problemi:

Sorveglianza e conservazione dei dati

Insieme alla loro normale infrastruttura di sorveglianza, le agenzie di intelligence nazionali, come NSA e GCHQ, hanno il potere di costringere le organizzazioni nazionali a registrare, condividere e decrittografare le informazioni private.

Negli Stati Uniti il Patriot Act ha introdotto nuovi poteri per la raccolta da parte del governo federale dei dati attraverso l’uso delle National Security Letters. Queste leggi danno alle autorità il potere di costringere un’azienda legittima a diventare uno strumento di raccolta dati per le agenzie statali.

Tali richieste possono essere accompagnate da un provvedimento che rende illegale per l’azienda rivelare pubblicamente ciò che è costretta a fare. Alcune aziende che offrono VPN pubblicano Warrant Canary nel tentativo di risolvere questo problema, che verrà affrontato più avanti in questa guida.

Esiste un precedente in tal senso. Nel 2013, il servizio di posta elettronica sicuro Lavabit è stato preso di mira dall’FBI nel tentativo di raccogliere informazioni su Edward Snowden.

Lavabit è stata sottoposta a un provvedimento per la divulgazione delle chiavi di crittografia usate per i contenuti e-mail dei propri utenti. Questo avrebbe consentito all’FBI di accedere alle comunicazioni in tempo reale di tutti i clienti di Lavabit, non solo di Snowden.

Il fondatore della società, Ladar Levison, ha consegnato le chiavi di crittografia della società e contemporaneamente ha terminato il servizio. Le autorità statunitensi hanno continuato a minacciare Levison di arresto, sostenendo che i suoi atti violavano l’ordine del tribunale.

Allo stesso modo, la VPN Riseup con sede a Seattle è stata costretta a raccogliere i dati degli utenti per le autorità governative, ed è stata anche oggetto di un ordine restrittivo che impediva di rivelare tale obbligo agli utenti.

Anche HideMyAss, una VPN con sede nel Regno Unito, è stata oggetto di un’ordinanza del tribunale e obbligata a raccogliere i dati e fornirli alle autorità per un’indagine penale. Questo è stato rivelato solo dopo l’azione penale.

Questi sono solo esempi di casi che sono diventati di pubblico dominio, ma è altamente probabile che ci siano altri esempi di cui ancora non sappiamo.

Accordi di condivisione dei dati

Gli accordi internazionali di sorveglianza come le Alleanze dei cinque, nove e 14 occhi consentono ai paesi membri di trarre vantaggio, come sostiene il FEP, dal “minimo comune denominatore per la privacy”.

In altre parole, ogni paese partecipante beneficia dei dati di sorveglianza di massa che gli altri membri raccolgono.

Le pratiche di condivisione delle informazioni di questi paesi hanno vaste implicazioni per gli utenti di Internet e in particolare per le reti VPN. È ragionevole presumere che se una di queste nazioni ottiene l’accesso ai dati degli utenti, questi possono allora essere condivisi con altri paesi.

Se in uno di questi paesi viene approvata una legge che amplia le possibilità di sorveglianza elettronica, è come se la stessa legislazione venisse approvata in tutti i paesi coinvolti nell’accordo.

Ciò significa che esiste una forte possibilità che l’attività degli utenti venga raccolta e condivisa con un’agenzia di intelligence, indipendentemente dal luogo in cui gli utenti si trovano.

Posizioni dei server virtuali e dei server a noleggio

Alcune VPN prendono a noleggio i server dai Data Center per ridurre i costi operativi. Questo rende l’esecuzione di una rete di server internazionale notevolmente più economica rispetto al possesso dei server.

Anche se in questo modo si possono ridurre i costi generali di una VPN, in termini di privacy questa pratica può rappresentare un problema.

I server VPN a noleggio appartengono al Data Center che li noleggia. È possibile che il Data Center conservi i log delle attività indipendentemente dalla politica sui log della società che fornisce la VPN.

A seconda della giurisdizione del Data Center, le autorità locali potrebbero obbligare l’Host del server a conservare o condividere i dati degli utenti.

In questo caso, la giurisdizione e la politica sui log della società della VPN non servono a niente. Le autorità locali possono accedere direttamente all’Host del server per trovare le informazioni desiderate.

Se ti interessa la privacy, consigliamo di scegliere una VPN la cui società ha sede in un paese che non partecipata all’Alleanza dei cinque, nove o 14 occhi.

I paesi che partecipano a queste alleanze sono molto più propensi a implementare programmi invasivi di sorveglianza, conservazione dei dati e raccolta di informazioni.

È anche probabile che le nazioni più potenti di queste alleanze siano in grado di costringere altri membri a registrare dei dati o ad altre forme di cooperazione.

Cos’è un paradiso della privacy?

In genere si consiglia di scegliere una rete VPN la cui società abbia sede in un paese considerato un “paradiso della privacy”.

Un paradiso della privacy è un paese con un ambiente legale e politico che rispetta l’idea di privacy online. Questi paesi raramente prendono parte ad accordi su sorveglianza obbligatoria, conservazione o condivisione dei dati, e spesso vantano alcune delle leggi sulla privacy più solide del mondo.

Anche se questi paesi non sono obbligati a condividere i dati degli utenti con le autorità internazionali, spesso non hanno norme necessarie per garantire che i dati degli utenti siano adeguatamente protetti. Questo significa che, per ottenere maggiore privacy, si potrebbe compromettere la propria sicurezza.

I paesi spesso definiti paradisi della privacy includono le Isole Vergini britanniche, Panama, Seychelles, le Isole Cayman e la Malesia.

Molte aziende di VPN scelgono di registrare le proprie attività in questi paesi per garantire che i servizi offerti siano quanto più rispettosi della privacy e sicuri possibile. Alcuni esempi sono ExpressVPN, NordVPN, Astrill e Surfshark.

Esistono anche alcune VPN che si sono dimostrate affidabili nonostante operino in una giurisdizione “pericolosa”. Private Internet Access (PIA), ad esempio, non ha potuto fornire dati al governo degli Stati Uniti in un procedimento giudiziario ufficiale, nonostante una citazione in giudizio per la divulgazione delle informazioni.

Esiste un numero limitato di VPN veramente no log che ha superato i casi di test in condizioni reali o è stata controllata da terze parti. Una VPN in una giurisdizione all’estero sicura offre semplicemente una protezione aggiuntiva, poiché vi sono meno possibilità che possa essere costretta a consegnare i dati alle autorità.

Le VPN hanno bisogno di un Warrant Canary?

“Warrant Canary” è un termine colloquiale che si riferisce a una dichiarazione regolarmente pubblicata, intesa a dimostrare che un provider di servizi non è stato contattato da un’agenzia governativa o obbligato a condividere i dati degli utenti.

Le richieste di dati, come una “US National Security Letter” (NSL), in genere sono accompagnate da un ordine restrittivo o mandato che vieta alla società di destinazione di rivelare il fatto che è oggetto di un ordine di divulgazione dei dati.

L’obiettivo di un Warrant Canary è aggirare queste restrizioni legali e di avvisare i suoi utenti che i loro dati potrebbero non essere più sicuri, senza tecnicamente violare il divieto imposto dall’ordinanza del tribunale.

Un Warrant Canary di solito funziona informando gli utenti che fino a una data specifica l’azienda non ha ricevuto un mandato del tribunale, un ordine restrittivo o un ordine di comparizione.

Se il Warrant Canary non viene aggiornato o se viene completamente rimosso, gli utenti devono presumere che il divieto di divulgazione sia entrato in vigore e che all’Host sia stata presentata una richiesta legale.

Molte VPN scelgono di emettere un Warrant Canary per convincere gli utenti della propria affidabilità.

Tuttavia, il semplice fatto che una VPN abbia emesso un Warrant Canary non significa che sia sicura e garantisca la privacy. Allo stesso modo, molte VPN dotate di buona reputazione e affidabili scelgono di non emettere Warrant Canary per principio, in quanto la sua efficacia è ancora contestata tra gli esperti.

Alcuni esperti sostengono che i governi possono costringere le aziende a emettere un Warrant Canary anche se sono state colpite da ordini restrittivi, rendendo quindi inutile il Warrant Canary.

È anche possibile che una VPN interessata da un procedimento legale eviti di modificare il proprio Warrant Canary per evitare di perdere clienti. In questo senso, molti Warrant Canary non sono altro che strategie di marketing da parte di aziende che non si preoccupano realmente della privacy degli utenti.

Purtroppo, non c’è modo di sapere con certezza se un Warrant Canary è un vero indicatore di un procedimento giudiziario. Gli utenti possono solo speculare per decidere quale sia il significato di un Warrant mancante o cambiato.

Una volta identificato una VPN affidabile per altri motivi, è consigliabile considerare i Warrant Canary solo come una funzione aggiuntiva, anziché cercare una VPN specifica che ne abbia uno.

Quando si parla di sorveglianza di massa, la maggior parte delle persone pensa alla NSA. In realtà, quasi tutti i paesi hanno la propria agenzia SIGINT (Signals Intelligence).

Tali agenzie si concentrano sull’applicazione della legge, sulla raccolta dei dati e sul controspionaggio, intercettando i segnali elettronici e le comunicazioni online. Inoltre, spesso collaborano tra loro.

Le Alleanze dei cinque, nove e 14 occhi sono tre degli accordi internazionali sui dati più noti che effettuano questo tipo di sorveglianza coordinata. I paesi che vi partecipano sono anche le peggiori giurisdizioni VPN in termini di privacy.

Ecco un elenco delle principali entità di sorveglianza globale che dovresti conoscere:

1. Alleanza dei cinque occhi

I cinque paesi membri dell’Alleanza dei cinque occhi sono Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda.

Questo accordo di condivisione delle informazioni può essere ricondotto alla seconda guerra mondiale e all’accordo UK-USA, originariamente concepito come partnership tra Stati Uniti e Regno Unito.

Negli ultimi decenni il trattato è cresciuto sia in termini di membri che di portata. Le nazioni membri di quella che è nota come Alleanza dei cinque occhi ora lavorano insieme per raccogliere, analizzare e condividere dati sia a livello nazionale che internazionale.

Se da un lato i paesi dell’Alleanza dei cinque occhi hanno accettato di non spiarsi l’un l’altro come avversari, dall’altro i documenti svelati da Edward Snowden hanno rivelato che le nazioni monitorano i cittadini e condividono queste informazioni tra loro.

Oltre a condividere dati di sorveglianza, i paesi membri dell’Alleanza dei cinque occhi collaborano anche per inviare e applicare avvisi di conservazione dei dati. Ciò significa che una nazione può fare pressione su un’altra perché consegni i log degli utenti delle VPN che si trovano all’interno della rispettiva giurisdizione.

Non deve sorprendere che molti dei cinque paesi dell’Alleanza dei cinque occhi siano tra i peggiori violatori della privacy digitale.

Se ti preoccupa la privacy durante l’utilizzo di una VPN, i paesi membri dell’Alleanza dei cinque occhi sono considerati le peggiori giurisdizioni VPN possibili.

Sistema di sorveglianza ECHELON

Le nazioni che partecipano all’Alleanza dei cinque occhi utilizzano ECHELON, una rete di stazioni di spionaggio progettate per la sorveglianza e la raccolta dei dati a livello globale.

ECHELON è in grado di intercettare i dati inviati tramite telefoni, fax e computer. Le stazioni ECHELON possono tenere traccia dei conti bancari e persino intercettare i dati inviati da e verso i ripetitori satellitari. Tutti questi dati vengono archiviati in database enormi in grado di contenere milioni di record su singoli individui.

Sebbene le prove aumentino da quasi 30 anni, gli Stati Uniti negano ancora l’esistenza di ECHELON, mentre il governo britannico è stato costantemente evasivo.

Nonostante le smentite, diversi informatori hanno confermato la verità documentando alcuni aspetti del progetto ECHELON.

2. L’Alleanza dei nove occhi

L’Alleanza dei nove occhi è un’estensione dell’Alleanza dei cinque occhi. È composta da un gruppo più ampio di paesi che cooperano per condividere informazioni e include tutti i paesi dell’Alleanza dei cinque occhi nonché la Francia, la Danimarca, la Norvegia e i Paesi Bassi.

L’esistenza dell’Alleanza dei nove occhi è diventata nota dopo le rivelazioni di Edward Snowden nel 2013. Si tratta essenzialmente di un’estensione dell’accordo dell’Alleanza dei cinque occhi i cui paesi cooperano per raccogliere e distribuire dati di sorveglianza di massa.

Se da un lato le quattro nazioni aggiuntive non hanno programmi di sorveglianza interna così estesi come quelli di Stati Uniti, Regno Unito o Australia, dall’altro continuano a cooperare tra loro e con tutti e cinque i paesi dell’alleanza originaria.

L’Alleanza dei nove occhi è un accordo tra entità SIGINT e non è officiata da alcun trattato formale.

3. L’Alleanza dei 14 occhi

L’Alleanza dei 14 occhi comprende tutti i membri dell’Alleanza dei nove occhi più Germania, Belgio, Italia, Svezia e Spagna.

Il nome ufficiale dell’Alleanza dei 14 occhi è SIGINT Seniors of Europe (SSEUR), che esiste in varie forme dal 1982. Una volta concepito per lo scambio di dati a livello militare, ora il programma è stato ampliato per includere le informazioni di sorveglianza sui normali cittadini.

Il SIGINT Seniors Meeting si tiene ogni anno e vede la partecipazione dei leader delle agenzie SIGINT, tra cui BND, NSA, DGSE, GCHQ e altri. Questi meeting offrono ai leader dell’intelligence globale uno spazio per discutere di cooperazione e sviluppo.

Il SIGINT Seniors of the Pacific è un’entità simile creata nel 2005. Gli stati membri comprendono tutti i paesi dell’Alleanza dei cinque occhi nonché India, Francia, Singapore, Thailandia e Corea del Sud.

Si ritiene che anche altri paesi importanti, tra cui Israele e Giappone, lavorino a stretto contatto con l’Alleanza dei 14 occhi e con l’NSA.

4. L’Unione Europea (UE)

L’Unione Europea è un gruppo di nazioni sovrane europee. È una delle più grandi e potenti unioni politiche ed economiche del mondo, e presenta problematiche simili in termini di sorveglianza e privacy dei dati.

Se da un lato le politiche di cooperazione dell’Unione Europea non sono nemmeno lontanamente invasive come quelle delle Alleanze dei cinque, nove e 14 occhi, dall’altro gli stati membri dell’UE sono comunque impegnati in accordi di condivisione dei dati.

Esistono alcune eccezioni a questa regola. Nel 2009, la Corte Costituzionale della Romania (CCR) ha stabilito che le richieste dell’UE costituivano una violazione dei diritti alla privacy dei cittadini rumeni.

Ciò rende la Romania un rifugio sicuro per la privacy degli utenti tra le nazioni dell’UE e aiuta a spiegare perché VPN come CyberGhost potrebbero scegliere di basare lì le loro operazioni.

Alcuni paesi sono più rispettosi della privacy di altri, ma molti cooperano con l’Alleanza dei cinque occhi o con le autorità SSEUR e hanno una storia di condivisione dei dati. Vale la pena tenere conto di questo dato quando si sceglie una rete VPN con sede in una giurisdizione dell’UE.

5. La Shanghai Cooperation Organization (SCO)

La Shanghai Cooperation Organization (SCO), nota anche come Shanghai Pact, è un’alleanza politica ed economica eurasiatica tra Russia, Cina, Pakistan, India, Kirghizistan, Kazakistan, Uzbekistan e Tagikistan.

La SCO è principalmente focalizzata sulla sicurezza nazionale dei suoi membri e, in genere, lavora per combattere l’estremismo nelle sue varie forme.

Negli ultimi anni, le attività della SCO si sono ampliate per includere una maggiore cooperazione militare, condivisione dei dati e antiterrorismo. È altamente probabile che i paesi membri della SCO raccolgano e condividano i dati in modo simile alle alleanze occidentali.

6. Paesi con elevata limitazione delle libertà personali

Alcuni paesi vietano l’uso delle VPN e invadono la privacy dei propri cittadini indipendentemente dagli accordi internazionali.

I paesi che applicano le maggiori restrizioni su Internet sono Cina, Emirati Arabi Uniti, Turchia, Russia, Oman, Iraq e Bielorussia, sebbene questo elenco sia tutt’altro che esaustivo.

Anche se è abbastanza improbabile che si trovi una VPN o un server VPN fisicamente basato in uno di questi paesi, vale la pena fare attenzione. Abbiamo trovato molte VPN con legami ad aziende cinesi discutibili nella nostra indagine sulla proprietà cinese di app VPN gratuite.

Anche le giurisdizioni con stretti legami con questi governi, come Hong Kong, dovrebbero essere evitate se si è preoccupati per la privacy dei propri dati.

Per ulteriori informazioni sulla legalità delle VPN e sulle restrizioni al loro utilizzo, leggi la nostra guida dedicata alle leggi relative alle VPN.

Abbiamo controllato le informative privacy delle VPN più diffuse sul mercato e abbiamo riscontrato che un numero significativo di fornitori di VPN ha la propria sede in giurisdizioni potenzialmente pericolose per i dati degli utenti.

La tabella che segue elenca tutte le 80 VPN testate. Riporta la relativa giurisdizione e se il servizio ha o meno un Warrant Canary. Se stai cercando una VPN specifica, usa Ctrl+F per trovare il fornitore desiderato.