Cinque miliardi. Questo è il numero di dati di traffico telefonico e telematico che gli operatori italiani conservano ogni singolo giorno — non per qualche mese, ma per sei anni interi. Mentre il dibattito pubblico si concentra sulle intercettazioni dei vip e sullo scandalo Equalize che in queste ore sta esplodendo con 81 nuovi indagati, la sorveglianza di massa silenziosa che il tuo internet provider esercita su di te resta fuori dai titoli dei giornali. Il tuo provider sa chi chiami, quando, per quanto tempo. Sa quali siti visiti, a che ora, da quale dispositivo. E conserva tutto questo per 72 mesi consecutivi, in un paese che la Corte di Giustizia europea ha già condannato più volte per la sproporzione delle sue leggi sulla data retention. Non l’NSA — il tuo gestore telefonico.
Il 9 aprile 2026 la Procura di Milano ha chiesto il rinvio a giudizio per Enrico Pazzali, ex presidente di Fondazione Fiera Milano e fondatore dell’agenzia investigativa Equalize, chiudendo contemporaneamente le indagini su altre 81 persone coinvolte in una rete di dossieraggio illegale che attingeva direttamente alle banche dati strategiche dello Stato italiano. L’accusa è pesantissima: associazione a delinquere, accesso abusivo a sistemi informatici di rilevanza pubblica, intercettazioni illegali, corruzione per la cessione di dati riservati. Tra gli indagati figurano l’imprenditore Leonardo Maria Del Vecchio, il banchiere Matteo Arpe, un generale della Guardia di Finanza, il capo dell’ufficio legale di Eni. Ottantuno persone che compravano e vendevano le tue informazioni come merce al mercato nero — non hacker solitari, ma le élite economiche e militari del paese.
Questo articolo non parla di spionaggio hollywoodiano. Parla di te, di cosa succede ogni volta che accendi il telefono, apri il browser, mandi un’email. Parla dell’infrastruttura di sorveglianza che l’Italia ha costruito pezzo dopo pezzo, con leggi approvate in due minuti e tecnologie di ispezione profonda dei pacchetti imposte ai provider per legge. E parla di cosa puoi fare — dal basso, come sempre — per riprendere almeno una parte del controllo sulla tua vita digitale.
Sei anni di dati: cosa sa davvero il tuo provider
La legge 167 del 2017 ha riscritto le regole della sorveglianza italiana con una brutalità che merita di essere raccontata nei dettagli. Prima della sua approvazione, gli operatori conservavano i metadati del traffico telefonico per 24 mesi e quelli del traffico internet per 12. Poi, con un colpo di penna — letteralmente allegato a un decreto sulla sicurezza degli ascensori, votato con meno di due minuti di dibattito parlamentare — il periodo è stato portato a 72 mesi per tutto: telefonate, navigazione web, email, perfino le chiamate senza risposta, che prima si conservavano per appena 30 giorni. Diversi parlamentari hanno poi ammesso candidamente di aver votato senza nemmeno leggere la norma. Non è una battuta: la più invasiva legge sulla sorveglianza di massa dell’intera Unione Europea è nata come emendamento a un provvedimento sugli ascensori.
Facciamo chiarezza su cosa conserva esattamente il tuo ISP, perché la distinzione tra «metadati» e «contenuti» è una foglia di fico che non copre più niente da un pezzo. Il provider non registra il contenuto delle tue conversazioni telefoniche o il testo delle pagine web che visiti — almeno, non direttamente. Ma tiene traccia di tutto il resto: il tuo indirizzo IP a ogni singola connessione, i domini e i siti a cui ti colleghi, la durata di ogni sessione di navigazione, il dispositivo che usi, i metadati delle email che mandi e ricevi (mittente, destinatario, orario, oggetto, dimensione), la frequenza delle chiamate, i numeri contattati, le celle telefoniche a cui ti agganci e dunque la tua posizione geografica approssimativa — che in città significa il tuo isolato. Come ha dimostrato Edward Snowden oltre un decennio fa, e come ripetono instancabilmente i ricercatori di Princeton, del MIT, della Electronic Frontier Foundation, con i metadati non serve leggere le tue email per sapere tutto di te. Basta sapere che hai chiamato un oncologo tre volte in una settimana, poi un avvocato, poi un’assicurazione sulla vita.
I numeri fanno impressione anche presi da soli, ma con il contesto diventano osceni. Ogni giorno gli operatori italiani archiviano circa 5 miliardi di record di traffico telefonico e telematico — il dato lo fornisce il Garante Privacy, non un blog complottista. Moltiplicalo per 2.190 giorni — sei anni — e ottieni un archivio che nessuna agenzia di intelligence al mondo, NSA inclusa, ha mai dichiarato di mantenere sistematicamente su un’intera popolazione nazionale. La Francia conserva i dati per 12 mesi. La Spagna altrettanto. La Germania, dopo anni di battaglie legali, è scesa a 10 settimane per il traffico e 4 settimane per la geolocalizzazione. Il Belgio si ferma a 6-9 mesi. L’Italia è un caso unico in Europa, e non in senso positivo. Perfino la Russia prevede periodi di conservazione inferiori a quelli italiani, il che dovrebbe far riflettere chiunque creda ancora che il nostro sia un paese con standard accettabili di tutela della privacy digitale.
La Corte di Giustizia dell’Unione Europea si è espressa più volte sulla questione, e ogni volta nello stesso identico senso: la conservazione generalizzata e indiscriminata dei dati di traffico viola il principio di proporzionalità sancito dal diritto comunitario. La sentenza Digital Rights Ireland del 2014 invalidò la direttiva europea che prevedeva un massimo di due anni. Le sentenze successive — La Quadrature du Net nel 2020, Privacy International, SpaceNet nel 2022 — hanno ribadito che deroghe sono ammissibili solo in presenza di «minacce gravi, reali o prevedibili alla sicurezza nazionale» e per «un periodo di tempo strettamente limitato al necessario». L’ex presidente del Garante Privacy italiano Antonello Soro definì la norma «incomprensibile», sottolineando come periodi di conservazione più lunghi aumentino esponenzialmente il rischio di violazioni. L’ex garante europeo Giovanni Buttarelli fu ancora più netto: parlò di «grave errore, incompatibile con i valori europei». Nessuno dei due è stato ascoltato, e la legge resta in vigore nel 2026 esattamente come nel 2017.
Nel 2025 le linee guida congiunte ACN-AGCOM hanno tentato di mettere una pezza: i dati devono essere cifrati, conservati all’interno dello Spazio Economico Europeo, con meccanismi di cancellazione automatica alla scadenza dei termini e piena conformità al GDPR e alla direttiva NIS2. Sulla carta sembra ragionevole. Nella pratica è cosmetica applicata a un sistema strutturalmente illegittimo — il nocciolo della questione non è come conservi 5 miliardi di dati al giorno, ma che li conservi punto e basta. Nessuna cifratura al mondo compensa il fatto che lo Stato italiano impone ai propri operatori di mantenere un archivio potenzialmente totalitario su 60 milioni di persone. E come ha dimostrato lo scandalo Equalize, nessuna misura di sicurezza protegge davvero quei dati da chi ha le chiavi giuste — o sa a chi comprarle.
Dal dossieraggio Equalize ai trojan di stato: l’infrastruttura dell’abuso
Lo scandalo Equalize è esploso nell’autunno 2024 e le sue onde d’urto non accennano a placarsi. Il 9 aprile 2026 la Procura di Milano ha chiesto il rinvio a giudizio per Enrico Pazzali e simultaneamente chiuso le indagini sulla seconda tranche dell’inchiesta, che coinvolge 81 persone. La lista degli indagati è un campionario trasversale del potere italiano: l’imprenditore Leonardo Maria Del Vecchio, il banchiere Matteo Arpe e suo fratello Fabio, il generale della Guardia di Finanza Cosimo Di Gesù, il capo dell’ufficio legale di Eni Stefano Speroni, l’ex manager di Publitalia Fulvio Pravadelli. Non stiamo parlando di ragazzini con la felpa col cappuccio che bucano server dal seminterrato. Stiamo parlando delle élite economiche, militari e aziendali del paese che compravano accesso ai dati riservati dei cittadini italiani come chi ordina una pizza — con la stessa noncuranza e la certezza dell’impunità.
Il cuore tecnico dell’operazione era Beyond, una piattaforma sviluppata da Equalize capace di aggregare informazioni provenienti da fonti eterogenee: banche dati delle forze dell’ordine, registri finanziari, archivi di intelligence. L’agenzia investigativa di Pazzali, con sede a due passi dal Duomo di Milano, chiudeva bilanci da quasi 2 milioni di euro di valore di produzione, alimentata dalla domanda insaziabile di informazioni riservate su chiunque — concorrenti, ex coniugi, avversari politici. Ma Equalize non era un caso isolato: i magistrati parlano esplicitamente di «una moltitudine di aziende» distribuite su tutto il territorio nazionale che facevano lo stesso mestiere — un mercato parallelo e capillare di fascicoli illegali costruiti estraendo dati dai database strategici dello Stato. Le vittime più note scoperte finora includono il velocista olimpico Marcell Jacobs (cercavano prove di doping nelle sue chat private), Selvaggia Lucarelli, Fabrizio Corona, Christian Vieri. Ma il grosso delle vittime — le persone comuni schedate a loro insaputa — probabilmente non lo saprà mai.
Ed ecco il paradosso che definisce l’approccio italiano alla sorveglianza: mentre lo Stato costruisce e mantiene l’infrastruttura perfetta per il dossieraggio — sei anni di dati conservati da ogni operatore, banche dati centralizzate accessibili a migliaia di funzionari — il ministro della Giustizia Carlo Nordio si batte per limitare i trojan di stato. Non per proteggere i cittadini dalla sorveglianza, sia chiaro. Per proteggere chi prende le tangenti dalle indagini dei magistrati. A gennaio 2026 Nordio ha definito l’uso del captatore informatico per i reati di corruzione «una vergogna» e «un meccanismo diabolico», attaccando la legge Spazzacorrotti del predecessore Bonafede come frutto del «delirio moralistico di un parlamento semi-giacobino». Il trojan per mafia e terrorismo resta sacrosanto, ha ribadito — «l’ho detto un miliardo di volte». Ma quello che consente ai pm di indagare sulla corruzione deve sparire. Detto senza mezzi termini: il governo vuole uno Stato che sappia tutto di te per sei anni, ma che non possa intercettare il politico che intasca la mazzetta. La coerenza non è mai stata il forte di chi governa questo paese.
A rendere il quadro ancora più cupo c’è Piracy Shield, il sistema anti-pirateria voluto dall’AGCOM che ha trasformato ogni internet provider italiano in un censore con obbligo di esecuzione entro 30 minuti. Per funzionare, il sistema impone agli ISP l’impiego di tecnologie di filtraggio basate sulla deep packet inspection — ispezione profonda dei pacchetti di rete, la stessa tecnica usata dalla Cina nel Great Firewall e dall’Iran per bloccare Telegram durante le rivolte. Un’analisi dell’Università di Twente che copre il periodo febbraio 2024-giugno 2025 ha documentato oltre 7.000 domini bloccati via IP con almeno 500 errori di blocco — domini perfettamente legittimi rimasti inaccessibili in media per 320 giorni. A ottobre 2024 il sistema arrivò a bloccare un intero CDN di Google, rendendo YouTube e Google Drive inaccessibili a milioni di italiani. A maggio 2025 la Computer & Communications Industry Association ha presentato denuncia formale alla Commissione Europea per violazione del Digital Services Act e della neutralità della rete. Piracy Shield non è nato come strumento di sorveglianza, ma nella pratica ha dotato ogni ISP italiano di un’infrastruttura di ispezione del traffico che può essere riconvertita a qualsiasi scopo con un semplice decreto.
Il piano ispettivo del Garante Privacy per il primo semestre 2026 prevede almeno 40 accertamenti, con focus specifico sulle telecomunicazioni, sulle tecniche di anonimizzazione dei big data delle telco e sulla task force interdipartimentale per i data breach che hanno colpito «banche dati pubbliche di particolare rilievo e delicatezza». L’Agenzia per la Cybersicurezza Nazionale ha pubblicato linee guida per la protezione delle banche dati dal rischio di «utilizzo improprio», con attenzione alla gestione degli accessi privilegiati e alle minacce interne. Misure sacrosante, in teoria. Ma arrivano dopo il disastro, non prima — dopo che reti come Equalize hanno operato indisturbate per anni, estraendo dati da archivi che avrebbero dovuto essere blindati. Come chiudere il recinto quando i buoi sono scappati, si sono riprodotti e hanno aperto un’azienda di logistica dei dati rubati. La verità che nessuna task force vuole ammettere è semplice: il problema non si risolve con più ispezioni o firewall migliori, si risolve smettendo di accumulare montagne di dati che non dovrebbero esistere.
Sovranità digitale dal basso: riprendere il controllo è possibile
La domanda che conta: cosa puoi fare tu, adesso, concretamente? La risposta onesta è che nessuno strumento individuale ti protegge completamente da un apparato di sorveglianza statale — e chiunque ti dica il contrario sta vendendo qualcosa, probabilmente un abbonamento VPN. Detto questo, puoi rendere la vita enormemente più difficile a chi vuole profilarti, e ogni ostacolo che frapponi tra te e la sorveglianza conta. Una VPN affidabile è il primo passo concreto: cifra il traffico tra il tuo dispositivo e il server VPN, impedendo al tuo provider di registrare quali siti visiti. Il provider saprà che stai usando una VPN, ma non potrà archiviare la tua navigazione nei suoi database da 72 mesi. Attenzione alla scelta: evita provider con sede nei paesi dell’alleanza Fourteen Eyes (l’Italia ne fa parte), preferisci server che funzionano solo su RAM senza scrivere mai su disco, pretendi audit di sicurezza indipendenti e verificabili. Proton VPN, con i suoi server Secure Core che instradano il traffico attraverso Svizzera, Islanda e Svezia, è una delle opzioni più solide — e offre un piano gratuito sufficiente per cominciare.
La VPN da sola non basta, però, e qui si apre il discorso che pochi fanno. I tuoi DNS — le richieste che traducono i nomi dei siti web in indirizzi IP — passano di default attraverso i server del tuo provider, che li registra fedelmente e li conserva per sei anni come tutto il resto. Configura DNS cifrati sul tuo router o direttamente sui dispositivi: DNS over HTTPS (DoH) o DNS over TLS (DoT), puntando a server come Quad9 (9.9.9.9, gestito da un’organizzazione no-profit svizzera) oppure Mullvad DNS. Per la navigazione più sensibile — ricerche delicate, comunicazioni riservate, attivismo — Tor Browser resta lo strumento più potente mai costruito: instrada il traffico attraverso tre nodi cifrati gestiti da volontari nel mondo, rendendo praticamente impossibile risalire alla tua identità. È lento, non va bene per lo streaming, ma per leggere, comunicare e informarti senza lasciare traccia è imbattibile. Chi vuole spingersi oltre può puntare al self-hosting: un piccolo server personale per email, cloud e messaggistica che ti sgancia completamente dal circuito della sorveglianza commerciale e statale. Strumenti come Nextcloud, Matrix e Jitsi permettono di gestire i tuoi dati senza regalare nulla a Google, Microsoft o Amazon.
Ma facciamo un passo indietro, perché il rischio più grande di questo discorso è ridurre la sorveglianza di massa a una questione di igiene digitale individuale — «usa la VPN, configura i DNS, installa Tor, problema risolto» — come se un’architettura statale di controllo si potesse aggirare scaricando l’app giusta. Non funziona così, e pensarlo è esattamente ciò che il potere vuole: che tu ti senta responsabile della tua privacy mentre lo Stato continua a raccogliere i tuoi dati per legge. Il problema è politico e strutturale, e va affrontato su quel piano. La legge sulla data retention a sei anni va abrogata — non riformata, non «migliorata con linee guida» — perché viola il diritto europeo e la Corte di Giustizia l’ha stabilito in almeno quattro sentenze. Piracy Shield va smantellato perché ha dotato ogni provider di un’infrastruttura di deep packet inspection incompatibile con una rete libera. I trojan di stato vanno regolamentati con garanzie giudiziarie reali, non limitati solo per proteggere chi ruba come vorrebbe Nordio, ma controllati per proteggere tutti. E le banche dati dello Stato devono essere riprogettate con il principio della minimizzazione dei dati: raccogli solo ciò che ti serve, conservalo per il tempo strettamente necessario, con controlli di accesso che non si possano aggirare comprando un ex poliziotto a due passi dal Duomo.
Le alternative dal basso esistono, funzionano e non aspettano il permesso di nessuno. I mesh network comunitari come Ninux dimostrano che si possono costruire infrastrutture di rete autogestite, fuori dal controllo dei grandi operatori e dello Stato. I collettivi di autodifesa digitale offrono formazione su crittografia e sicurezza operativa a giornalisti, attivisti, lavoratori — chiunque abbia qualcosa da proteggere, che poi siamo tutti. I modelli di linguaggio locali, che girano interamente sul tuo computer senza inviare un solo byte a server esterni, stanno diventando sempre più potenti e accessibili. La tecnologia per sottrarsi alla sorveglianza esiste già, qui e ora. Quello che manca è la volontà politica di chi governa di rinunciare al potere che la sorveglianza gli conferisce. E quella volontà, la storia lo insegna senza eccezioni, non nasce mai dall’alto.
Il tuo provider ti spia perché la legge glielo impone, e il tuo governo conserva sei anni dei tuoi dati perché può farlo senza pagarne le conseguenze politiche. Quando quei dati finiscono nelle mani sbagliate — come nel caso Equalize, come nei data breach che il Garante sta ancora catalogando uno dopo l’altro — la risposta istituzionale è prevedibile fino alla nausea: più controlli, più linee guida, più task force interdipartimentali. Mai meno dati. Mai meno sorveglianza. Mai meno potere. La domanda che dovresti porti non è se il tuo provider ti spia — lo fa, per legge, ogni secondo della tua vita online. La domanda è quanto ancora sei disposto a tollerarlo.