ExpressVPN ha presentato ExpressAI, una piattaforma di chat con modelli di intelligenza artificiale che punta sulla riservatezza come caratteristica principale. Il servizio è disponibile ora, incluso nell’abbonamento Pro dell’azienda, e permette di usare diversi modelli, tra cui varianti di DeepSeek, Qwen e NVIDIA Nemotron, oltre a GPT-4o.

Il meccanismo su cui si regge la proposta di privacy è quello degli ambienti di esecuzione isolati, tecnologia fornita da NVIDIA. I prompt dell’utente vengono cifrati sul dispositivo prima di essere inviati, processati all’interno di un’area di memoria inaccessibile anche ai server di ExpressVPN, e cancellati al termine della sessione. Non vengono conservati, non vengono usati per addestrare modelli, non vengono analizzati dall’azienda. Almeno secondo la descrizione tecnica e la privacy policy, che escludono esplicitamente qualsiasi forma di profilazione o analisi comportamentale.

// affiliato ▸ Infomaniak kDrive · Il cloud svizzero alternativo a Google Drive · Provalo gratis →

L’audit c’è, e dice cose interessanti

ExpressVPN ha commissionato a Cure53, laboratorio di sicurezza tedesco con una buona reputazione nel settore, un audit completo dell’infrastruttura di ExpressAI. Il lavoro, pubblicato a marzo 2026, ha coperto frontend, backend, crittografia, gestione delle chiavi e infrastruttura AWS. Cinque ricercatori, ventidue giorni di lavoro.

Il risultato non è una pagella immacolata: su 19 problemi identificati, 6 sono stati classificati come vulnerabilità vere, di cui alcune con livello di gravità alto. Tra queste, la mancata verifica della firma dell’ambiente isolato in alcuni scenari e un problema nel backend che avrebbe permesso di alterarne la configurazione dall’esterno. Cure53 segnala che ExpressVPN ha risolto diverse vulnerabilità già durante il periodo di test, il che è un segnale positivo, ma precisa anche che i problemi ancora aperti andrebbero chiusi rapidamente.

La conclusione del report è che l’architettura di base è solida, con alcune aree che richiedono raffinamento. Non un disco verde pieno, ma nemmeno un bocciato.

Chi c’è dietro, però, vale la pena ricordarlo

ExpressVPN è di proprietà di Kape Technologies dal 2021, acquisita per quasi un miliardo di dollari. Kape fino al 2018 si chiamava Crossrider ed era nota per aver fornito una piattaforma per la creazione di estensioni browser utilizzata per iniettare pubblicità, al punto che Malwarebytes e Symantec classificavano il software come adware. L’azienda ha cambiato nome e direzione, e sostiene di aver abbandonato completamente quel modello di business. Il fatto che gestisca oggi diversi servizi VPN e siti di recensioni VPN, alcuni dei quali tendono a promuovere i propri prodotti in cima alle classifiche, non è però privo di interesse per chi valuta queste cose.

ExpressAI non è open source, non è gratuito, e si basa sulla fiducia in un’infrastruttura proprietaria. L’audit esterno è un elemento concreto a favore, ma rimane pur sempre un audit commissionato dall’azienda stessa.