Dopo l’audit di sicurezza del 2024, che aveva analizzato l’infrastruttura alla ricerca di vulnerabilità, DuckDuckGo ha commissionato a Securitum una seconda verifica con un obiettivo diverso: controllare che la VPN rispetti davvero la politica di non registrazione dei dati dichiarata pubblicamente. L’analisi, condotta tra ottobre 2025 e gennaio 2026, ha confermato tutte le nove aree sottoposte a verifica.

Cosa dice il rapporto

Due consulenti di Securitum, società polacca specializzata in sicurezza informatica, hanno avuto accesso diretto al codice sorgente proprietario, ai diagrammi dell’architettura e ai server di produzione. Non si è trattato quindi di un test dall’esterno, ma di un’ispezione approfondita con piena collaborazione del team tecnico di DuckDuckGo.

// affiliato ▸ Swiss Backup · I tuoi backup, al sicuro in Svizzera · Proteggi i tuoi dati →

Il risultato, in sintesi: nessuna traccia di registrazione dell’attività degli utenti sui server, nessun metadato di connessione riconducibile a singole persone, nessuna ispezione del traffico di rete. I server utilizzati sono macchine fisiche dedicate, non condivise con altri servizi, e la configurazione è identica in tutte le aree geografiche. Anche il sistema di autenticazione è progettato per separare l’identità dell’abbonato dalla connessione VPN vera e propria: i token usati per le due operazioni sono distinti e, a sessione conclusa, i dati temporanei vengono cancellati.

Un dettaglio interessante riguarda la funzione di blocco delle truffe integrata nella VPN. La verifica avviene in gran parte sul dispositivo dell’utente e, quando serve un controllo lato server, viene inviato solo un frammento parziale del dominio, insufficiente a ricostruire l’indirizzo completo visitato.

Il rapporto finale, datato 20 marzo 2026, è scaricabile integralmente in PDF dal sito di DuckDuckGo. La scelta di rendere pubblico il documento completo, e non solo una sintesi, va riconosciuta come buona prassi di trasparenza.

Il problema dell’acquisto in Italia

La VPN di DuckDuckGo fa parte dell’abbonamento unico dell’azienda, che negli Stati Uniti costa 9,99 dollari al mese (o 99,99 all’anno) e include anche la rimozione dei dati personali dai broker e il ripristino dell’identità in caso di furto. Il servizio è disponibile anche nell’Unione Europea, ma con una differenza rilevante nelle modalità di acquisto.

Chi risiede negli Stati Uniti può sottoscrivere l’abbonamento direttamente dal sito web di DuckDuckGo, pagando con Stripe e, volendo, con una carta prepagata per maggiore riservatezza. Chi vive in Italia o in un altro paese europeo, invece, è obbligato a passare dal Google Play Store o dall’App Store di Apple. Un vincolo poco coerente con lo spirito di un prodotto che nasce proprio per offrire più controllo sulla propria privacy. Su Le Alternative qualche mese fa e ne ho parlato in dettaglio.