L'India prepara una legge che obbliga le VPN a conservare i log 5 anni

07.07.2026 2
L'India prepara una legge che obbliga le VPN a conservare i log 5 anni

Il 3 luglio 2026 il governo indiano ha confermato di essere al lavoro su un nuovo quadro normativo per regolamentare i fornitori di VPN, che dovranno aprire un ufficio fisico nel Paese, nominare un responsabile della conformità locale e conservare i dati degli abbonati - inclusi nomi, indirizzi e indirizzi IP - per cinque anni. I dipendenti delle aziende non conformi potrebbero incorrere in sanzioni penali, compreso il carcere.

Cosa richiederebbe la nuova legge VPN 2026 dell'India

Secondo funzionari citati dalla stampa indiana, il quadro proposto ricalca le Information Technology Rules 2021, che già obbligano le grandi piattaforme social a nominare un Chief Compliance Officer e un Nodal Contact Person come linea diretta con le forze dell'ordine. Applicato alle VPN, lo stesso modello richiederebbe ai fornitori di:

  • Registrare un'entità locale e mantenere un ufficio fisico in India.
  • Nominare un responsabile della conformità come punto di contatto con il governo.
  • Conservare i dati degli abbonati per cinque anni, inclusi nome completo, indirizzo, contatti e indirizzi IP.
  • Consegnare i log su richiesta, con responsabilità penale individuale per i dipendenti - fino al carcere - in caso di mancata conformità.

La direttiva del 2022 che i fornitori hanno semplicemente ignorato

Non è il primo tentativo dell'India. Nel 2022 l'Indian Computer Emergency Response Team (CERT-In) aveva emesso una direttiva quasi identica, con una scadenza originaria fissata al 27 giugno 2022, poi posticipata al 25 settembre 2022. La risposta dei più grandi nomi del settore fu netta: Proton VPN, NordVPN, ExpressVPN e Surfshark ritirarono tutti i propri server fisici dall'India anziché adeguarsi, reindirizzando gli utenti indiani verso server virtuali con sede a Singapore e altrove. Proton VPN definì la direttiva una "legge di sorveglianza di massa invasiva" e dichiarò di non avere alcuna intenzione di rispettarla.

Importante: un alto funzionario governativo ha spiegato che è proprio questo precedente a rendere più severa la nuova bozza, sostenendo che le direttive CERT-In del 2022 "non sono riuscite a tenere a freno queste aziende, che si sono semplicemente rifiutate di conformarsi". La nuova proposta punta a chiudere questa scappatoia attribuendo la responsabilità penale ai singoli responsabili della conformità e non solo all'entità aziendale.

Perché le autorità ritengono necessario un giro di vite sulle VPN

Le autorità indiane indicano il forte aumento degli ordini di blocco dei siti come prova che il traffico anonimizzato sta diventando sempre più difficile da controllare: le agenzie governative hanno emesso oltre 24.000 ordini di blocco nel 2025, più del doppio dei circa 12.000 del 2024. I funzionari sostengono che una quota crescente di contenuti bloccati resti raggiungibile proprio perché i fornitori di VPN non conservano log da consegnare - e, in molti casi, non hanno alcun server sotto la giurisdizione indiana. Si stima che circa la metà degli 800 milioni di utenti internet indiani utilizzi una VPN almeno occasionalmente, un dato che le autorità descrivono come un fattore che vanifica gli ordini di blocco su scala nazionale.

Il momento scelto segue anche un vero e proprio banco di prova per la domanda di VPN in India. Quando a giugno 2026 l'India ha bloccato Telegram nell'ambito di una più ampia stretta sulla messaggistica cifrata, un'impennata di iscrizioni giornaliere alle VPN ha esposto milioni di nuovi utenti ad app VPN gratuite invase da pubblicità predatoria - un picco che i regolatori citano ora come prova che l'uso delle VPN in India è diventato abbastanza diffuso da richiedere una supervisione formale.

Cosa succederebbe se i fornitori si rifiutassero di nuovo

Se la storia si ripetesse, l'esito più probabile sarebbe lo stesso già visto nel 2022: piuttosto che aprire un ufficio locale, esporre un responsabile della conformità a un potenziale procedimento penale e registrare cinque anni di attività degli utenti, i principali fornitori di VPN no-log ritirerebbero semplicemente di nuovo l'infrastruttura fisica dall'India, continuando a servire gli utenti indiani tramite server ospitati all'estero. L'accesso alle VPN resterebbe così tecnicamente disponibile, ma il mercato si sposterebbe ulteriormente verso fornitori disposti a operare in una zona grigia legale - spesso le stesse app gratuite di scarsa qualità finanziate dalla pubblicità aggressiva di cui gli utenti indiani si erano lamentati durante il blocco di Telegram.

Il mercato indiano delle VPN non è nuovo a incidenti di sicurezza che rendono gli strumenti di privacy più urgenti, non meno. Un attacco ransomware al produttore Bajaj Auto nel giugno 2026 ha mostrato quanto possa essere esposta l'infrastruttura VPN aziendale anche all'interno di grandi aziende indiane con risorse consistenti - un promemoria che il dibattito sulla regolamentazione delle VPN si svolge sullo sfondo di violazioni reali, non di rischi ipotetici.

Conclusione: la bozza di legge indiana sulle VPN rappresenterebbe uno dei regimi di conservazione dei dati più aggressivi al mondo per i fornitori di VPN, sostenuto dalla minaccia di responsabilità penale individuale e non solo di sanzioni aziendali. Il suo successo laddove la direttiva CERT-In del 2022 ha fallito dipenderà probabilmente dalla stessa domanda di allora: i grandi fornitori si adegueranno, oppure abbandoneranno di nuovo semplicemente l'infrastruttura fisica indiana continuando a servire il Paese dall'estero.
Tag: cybersecurity security vpn privacy india digital rights surveillance legislation

Leggi anche