VPN su Wi-Fi pubblico: serve davvero? Test su Galaxy S24 Ultra

Test condotti su Samsung Galaxy S24 Ultra, giugno 2026. SCELGOIO

👉 Una VPN su Wi-Fi pubblico serve davvero, ma non per i motivi che leggi ovunque. Dopo aver analizzato cosa esce davvero dal mio telefono — con catture di rete e test di velocità — ti dico cosa protegge e cosa è solo marketing.

Il rischio "un hacker ti ruba la password sul Wi-Fi del bar" è ormai marginale, grazie a HTTPS che oggi cifra la quasi totalità del traffico web. Eppure una VPN su rete aperta resta utile — per ragioni diverse da quelle che ti raccontano le guide allarmistiche. Per capirlo ho fatto una cosa concreta: ho catturato il traffico in uscita dal mio Samsung Galaxy S24 Ultra con PCAPdroid e ho misurato l'impatto della VPN sulla velocità con Fast.com.

Questa guida raccoglie quello che ho verificato di persona, sul mio dispositivo. Sono trasparente sul metodo: i test li ho condotti sulla mia connessione di casa, non in un bar; ma ciò che mostrano — quali dati restano esposti e quanto pesa una VPN — vale su qualsiasi rete, e su un Wi-Fi pubblico aperto il problema è semmai più grave. Niente paure gonfiate, niente promesse magiche.

🔬 Metodo ScelgoIo: Dispositivo di test Samsung Galaxy S24 Ultra (One UI aggiornato). Test condotti il 3 e 4 giugno 2026 sulla mia connessione fibra FTTH di casa. Velocità misurate con Fast.com (il test di Netflix), nella stessa sessione, prima e subito dopo l'attivazione della VPN, ripetute in due momenti diversi (sera e mattina). Analisi del traffico con PCAPdroid (cattura on-device, senza root), limitata al mio dispositivo: non ho mai intercettato dati di altri utenti. Le misure numeriche si riferiscono alla rete di casa; il discorso sul Wi-Fi pubblico si basa sul meccanismo tecnico, identico su qualsiasi rete. VPN usata: NordVPN (affiliazione attiva, dichiarata nella sezione 07). Negli screenshot pubblicati l'IP pubblico è oscurato.

📌 VPN su Wi-Fi pubblico in breve:
→ È obbligatoria? No, ma è fortemente consigliata sulle reti aperte senza password
→ Le password sono al sicuro? Sì, già con HTTPS — la VPN non serve per quello
→ Allora a cosa serve? A nascondere i domini che visiti al gestore della rete, ridurre la profilazione e proteggere il traffico residuo non cifrato
→ Rallenta? Nei miei test su fibra il download è sceso in media da ~715 a ~255 Mbps: tanto sulla carta, ma più che sufficiente nell'uso reale. Quello che senti è il ping
→ Regola d'oro: completa il login al captive portal con la VPN spenta, poi attivala
→ Fonti: Google Transparency Report, Verizon DBIR, WireGuard

• ✔️ Perché ho voluto verificare di persona
• ✔️ Cosa rischi davvero sul Wi-Fi del bar (dati 2025-2026)
• ✔️ HTTPS ti basta? La cattura che ha cambiato la mia opinione
• ✔️ Quanto rallenta una VPN: cosa ho notato nell'uso reale
• ✔️ Il problema dei captive portal che nessuno cita
• ✔️ Cosa cercare in una VPN per reti pubbliche
• ✔️ La VPN che ho usato per i test (e la trasparenza dovuta)
• ✔️ Checklist operativa prima di connetterti

01 Perché ho voluto verificare di persona

Avevo già scritto qualcosa sulle VPN tempo fa, ma rileggendolo mi sono accorto che ripetevo le stesse cose di tutti gli altri: "il Wi-Fi pubblico è pericolosissimo, un hacker può rubarti tutto". È la narrazione comoda, quella che spinge a installare l'app e cliccare il link affiliato. Il problema è che nel 2026 non corrisponde più del tutto alla realtà tecnica.

Così invece di ripetere la solita teoria ho voluto guardare i dati reali. Ho preso il mio Samsung Galaxy S24 Ultra e ho fatto due cose: ho catturato il traffico che il telefono genera da solo, per vedere cosa esce davvero in chiaro, e ho misurato quanto una VPN rallenta la connessione. Tutto sulla mia rete di casa, perché è lì che potevo ripetere le prove con calma e in modo controllato. La cosa più interessante che ho scoperto non è quella che mi aspettavo — ci arrivo nella sezione 03.

02 Cosa rischi davvero sul Wi-Fi del bar

Partiamo dai dati reali, non dalle paure. Le minacce concrete su una rete aperta oggi sono essenzialmente tre:

Minaccia	Cosa ottiene l'attaccante	Note
Profilazione da parte del gestore	Domini contattati via DNS (se non cifrati), metadati di telemetria	Non vede le password grazie a HTTPS, ma costruisce un profilo comportamentale. Molte reti commerciali monetizzano i dati di navigazione.
Evil twin / rogue AP	Tutto il punto precedente, più l'iniezione di pagine fasulle	Un attaccante crea un hotspot con nome identico a quello legittimo (es. "BarFreeWiFi"). Secondo il Verizon DBIR le credenziali rubate restano tra le prime cause di violazione; le reti pubbliche sono un vettore comodo per il phishing.
Traffico residuo in chiaro	Richieste DNS in chiaro, telemetria di alcune app, traffico non TLS	È la sorpresa di cui parlo nella sezione 03.

Quello che invece non è più il rischio principale è lo "sniffing" classico delle password via packet capture. Con HTTPS che oggi, secondo il Google Transparency Report, copre la quasi totalità del traffico caricato in Chrome (stabilmente sopra il 95% già dal 2020), intercettare le credenziali leggendo i pacchetti è molto più difficile di quanto le guide allarmistiche lascino intendere.

03 HTTPS ti basta? La cattura che ha cambiato la mia opinione

Ero partito convinto che, con HTTPS ovunque, la VPN fosse quasi un placebo. Mi sbagliavo, e a dimostrarmelo è stata un'analisi del traffico reale.

Sul Galaxy S24 Ultra ho usato PCAPdroid — un'app che cattura il traffico di rete direttamente sul telefono, senza bisogno di root né di un PC — per registrare cosa usciva dal dispositivo durante un uso "normale", senza che io stessi aprendo nulla di particolare. In pochi minuti ho contato decine di richieste DNS sulla porta 53, cioè non cifrate, generate da app in background.

Una precisazione importante: questa cattura l'ho fatta sulla mia rete di casa, in condizioni normali, perché è lì che potevo osservare con calma cosa fa il telefono da solo. Ma è proprio questo il punto: lo stesso identico traffico — le stesse richieste DNS in chiaro, la stessa telemetria in background — esce dal dispositivo su qualsiasi rete. Su un Wi-Fi pubblico aperto, però, quel flusso non resta in casa: è visibile a chiunque stia ascoltando.

Qualche esempio reale che ho registrato (con la dimensione del pacchetto):

App	Dominio contattato (DNS in chiaro, porta 53)	Dato
Google Play Services	androidwearcloudsync-pa.googleapis.com	168 B
Collegamento a Windows	dcg.microsoft.com / mobile.events.data.microsoft.com	126–156 B
WhatsApp	backup.googleapis.com / g.whatsapp.net / clients3.google.com	134–170 B
Meta Services	z-m-gateway.facebook.com (ripetuto più volte)	140 B
GPS / servizi di sistema	0/1/2/3.pool.ntp.org (sincronizzazione orario)	184 B

Il punto chiave è proprio questo contrasto, ben visibile nei dati: i contenuti di queste connessioni viaggiavano su HTTPS o QUIC (porta 443) e TLS (porta 5228), quindi cifrati e illeggibili. Ma le richieste DNS che li precedono — quelle che dicono "sto per contattare facebook.com / microsoft.com / googleapis.com" — uscivano in chiaro sulla porta 53. Su una rete pubblica, chiunque la stia ascoltando può leggere quell'elenco di domini e ricostruire un profilo di chi sei e cosa usi, anche senza vedere un solo byte di contenuto.

Il contrasto: WhatsApp e Google Play usano TCP/QUIC cifrati (5222, 443), ma le richieste DNS verso g.whatsapp.net e i server NTP escono in chiaro sulla porta 53.

Una di seguito all'altra: Meta, Microsoft e Google interrogano il DNS in chiaro (porta 53) anche col telefono in tasca.

Non significa che quelle app siano "pericolose": Microsoft, Meta, Google e WhatsApp generano questo traffico di sincronizzazione e telemetria in automatico, di continuo, anche col telefono in tasca. Significa che i metadati restano esposti anche quando il web è tutto su HTTPS. A casa mia, sulla mia rete, questo non è un problema; ma esattamente lo stesso flusso, su un Wi-Fi pubblico aperto, sarebbe a disposizione di chiunque stia ascoltando.

⚠️ Su metodo e privacy: la cattura con PCAPdroid riguarda esclusivamente il mio traffico, sul mio dispositivo. Non ho intercettato dati di altri utenti: testare la sicurezza non significa violare quella altrui. PCAPdroid analizza solo ciò che entra ed esce dal telefono su cui è installato.

È qui che la VPN smette di essere un placebo: incapsulando tutto il traffico — richieste DNS comprese — in un tunnel cifrato, quel flusso di metadati smette di essere visibile al gestore della rete o a un evil twin. Non è la password della banca a essere a rischio (quella è già al sicuro grazie a HTTPS): è il profilo di chi sei e cosa fai.

04 Quanto rallenta una VPN: cosa ho notato nell'uso reale

Questa è la domanda pratica che conta. Una VPN cifra e instrada il traffico verso un server intermedio: introduce inevitabilmente latenza e può ridurre la banda. Ma quanto pesa davvero nell'uso quotidiano? Ho misurato la mia connessione fibra di casa con Fast.com, dal Galaxy S24 Ultra, prima senza VPN e poi subito dopo con NordVPN su server italiano (Milano). Per non fermarmi a un singolo dato ho ripetuto la prova in due momenti diversi — sera e mattina seguente:

Misurazione (S24 Ultra, fibra casa)	Download	Upload	Latenza (riposo / carico)
Sera (3/6, 20:08) — senza VPN	780 Mbps	480 Mbps	5 / 13 ms
Sera (3/6, 20:09) — con VPN (Milano)	260 Mbps	140 Mbps	47 / 119 ms
Mattina (4/6, 09:49) — senza VPN	650 Mbps	520 Mbps	6 / 12 ms
Mattina (4/6, 09:51) — con VPN (Milano)	250 Mbps	180 Mbps	76 / 171 ms
Media senza VPN	~715 Mbps	~500 Mbps	~6 / 13 ms
Media con VPN (Milano)	~255 Mbps	~160 Mbps	~62 / 145 ms

Misure rilevate con Fast.com il 3 e 4 giugno 2026, server VPN Milano. I valori non sono benchmark universali: cambiano con rete, orario, congestione, server scelto e distanza. Negli screenshot l'IP visibile senza VPN è oscurato; con VPN è quello mascherato.

Due misure in momenti diversi raccontano la stessa storia, ed è questo che conta: il download si dimezza abbondantemente (da una media di ~715 a ~255 Mbps), ma 255 Mbps restano più che sufficienti per qualsiasi cosa — streaming 4K, videochiamate, download pesanti. Quello che cambia davvero è la latenza, che passa da ~6 ms a ~62 ms a riposo e schizza oltre i 140 ms sotto carico. È il prezzo del passaggio attraverso il server VPN, ed è la cosa che senti di più nella reattività di pagine e app. La mattina, con più carico sul server di Milano, la latenza è stata persino più alta (76 ms): conferma che il dato oscilla con l'orario, ma la direzione è sempre quella.

Nota pratica: il server era a Milano e io sono al Sud. Con un server più vicino la latenza sarebbe stata più bassa. La regola resta scegliere sempre il server italiano più vicino, mai la connessione "automatica" che può piazzarti dall'altra parte del mondo (la prima volta mi sono ritrovato su un server in Corea, con 576 ms di ping: inutilizzabile).

In sintesi: con VPN attiva la connessione resta più che sufficiente per navigare, messaggiare, guardare video e lavorare. Il limite vero emerge solo nelle attività sensibili alla latenza — gaming competitivo, videochiamate lunghe, caricamenti pesanti su cloud. E queste sono misure su fibra: sul Wi-Fi pubblico, dove la banda di partenza è già più bassa, il calo percentuale incide meno, ma l'aumento di latenza si sente allo stesso modo.

Confronto rapido tra protocolli (in base a quanto ho riscontrato e alla documentazione tecnica):

Protocollo	Latenza	Stabilità	Batteria	Note
WireGuard (es. NordLynx)	Bassa	Ottima	Contenuto	Quello che uso di default
IKEv2/IPsec	Media-bassa	Molto alta nei passaggi Wi-Fi↔dati mobili	Medio	Buona alternativa su mobile
OpenVPN	Media-alta	Alta	Alto	Il più collaudato e compatibile, ma più pesante

Il vantaggio di WireGuard in termini di prestazioni è documentato anche nelle analisi ufficiali del progetto.

Sera, senza VPN — 780 Mbps, ping 5 ms

Sera, con VPN Milano — 260 Mbps, ping 47 ms

Mattina, senza VPN — 650 Mbps, ping 6 ms

Mattina, con VPN Milano — 250 Mbps, ping 76 ms

05 Il problema dei captive portal

Questo è l'ostacolo pratico che le guide non citano quasi mai, ma che chiunque abbia usato un Wi-Fi di hotel conosce bene.

Molte reti pubbliche (hotel, stazioni, centri commerciali) usano un captive portal: la pagina che ti obbliga ad accettare i termini o inserire un'email prima di navigare. Il problema è che se attivi la VPN prima di completare il login al portale, il tunnel impedisce alla pagina di caricarsi e resti bloccato: non navighi e non riesci nemmeno a fare il login.

La sequenza corretta è semplice:

1. Connettiti alla rete Wi-Fi.
2. Senza attivare la VPN, apri il browser e completa il login al captive portal.
3. Solo a login avvenuto, attiva la VPN.

C'è però un rischio in quei pochi secondi "scoperti": è la finestra in cui un evil twin potrebbe servirti una pagina di login falsa. Per questo conviene una VPN con funzione di auto-connessione su reti non sicure e un kill switch che blocchi il traffico se il tunnel cade.

🕵️ Come riconoscere un evil twin (rogue access point)
Un evil twin clona il nome della rete (SSID), ma non può clonarne facilmente l'identità hardware. Due controlli pratici: chiedi al personale il nome esatto della rete ufficiale (spesso ce ne sono di simili create apposta per ingannare); e se ti capita di vedere due reti con lo stesso nome ma segnale o comportamento diverso, diffida. Gli utenti più esperti possono confrontare il BSSID (l'indirizzo MAC dell'access point, visibile con app come WiFiman o Wi-Fi Analyzer): se il nome è identico ma il BSSID cambia da un momento all'altro o non corrisponde a quello indicato dal locale, è un segnale d'allarme. Nel dubbio, non inserire credenziali e usa la rete dati.

06 Cosa cercare in una VPN per reti pubbliche

Non tutte le VPN servono allo stesso modo. Per l'uso specifico su Wi-Fi pubblico, queste sono le caratteristiche che dalla mia esperienza fanno davvero la differenza:

• Kill switch affidabile. Se la connessione VPN cade, il traffico deve bloccarsi automaticamente invece di "fuoriuscire" in chiaro. L'ho testato disattivando manualmente il server: senza kill switch, per un istante il traffico torna sulla rete esposta.
• Auto-connessione su reti non protette. Attiva la VPN da sola quando ti connetti a un Wi-Fi aperto. Su Android elimina la dimenticanza.
• Protezione DNS integrata. Deve gestire le richieste DNS dentro il tunnel, altrimenti il punto della sezione 03 resta scoperto. Esistono due standard di DNS cifrato, DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT): Android li supporta nativamente ("DNS privato" nelle impostazioni), ma una buona VPN li gestisce dentro il tunnel. Riferimenti: DoH e DoT su Cloudflare.
• Policy no-log verificata da audit indipendenti. Una VPN vede tutto il tuo traffico: ti stai fidando del provider invece che del bar. Conta solo se la no-log è stata verificata da terze parti.
• Server italiani. Per la latenza, come visto nella sezione 04.

📱 Dove trovi queste opzioni su Samsung One UI (S24 Ultra)

Le funzioni più importanti stanno dentro l'app della VPN, non nelle impostazioni di sistema. Su NordVPN per Android: apri l'app → icona ingranaggio → Kill switch per attivare il blocco del traffico; sempre lì trovi Connessione automatica, dove imposti l'attivazione automatica su reti Wi-Fi non protette. Il "DNS privato" di sistema è invece in Impostazioni → Connessioni → Altre impostazioni di connessione → DNS privato.

Test pratico del kill switch: con la VPN attiva e una pagina in caricamento, forza la disconnessione del server dall'app. Se il kill switch funziona, la connessione si interrompe del tutto finché la VPN non si riconnette. Se la pagina continua a caricare, il traffico sta uscendo in chiaro: il kill switch non sta proteggendo nulla.

🧪 Prova tu: il tuo DNS viaggia in chiaro?

Un test che puoi fare in 30 secondi, senza app né competenze tecniche:

1. Apri il browser e vai su 1.1.1.1/help
2. Guarda le voci "DNS over HTTPS (DoH)" e "DNS over TLS (DoT)"
3. Se entrambe dicono "No", le tue richieste DNS stanno viaggiando in chiaro: su un Wi-Fi pubblico chiunque può leggere i domini che contatti

Per cifrarle senza VPN, su Android attiva il DNS privato: Impostazioni → Connessioni → Altre impostazioni di connessione → DNS privato, poi inserisci one.one.one.one (Cloudflare) o dns.google (Google). Con la VPN attiva, invece, è quest'ultima a gestire il DNS dentro il tunnel — e il test su 1.1.1.1/help dovrebbe cambiare di conseguenza.

E su iPhone o Android "stock"? Le voci di menu cambiano, ma la logica è identica. Su iOS kill switch e auto-connessione si trovano nell'app della VPN (su iOS il blocco si chiama spesso "connessione su richiesta" / sempre attiva), mentre il DNS privato non è esposto come su Android e viene gestito dalla VPN o da profili di configurazione. Su Android stock (Pixel e simili) il percorso del DNS privato è Impostazioni → Rete e Internet → DNS privato, leggermente diverso dal percorso One UI di Samsung ma con la stessa funzione. In tutti i casi, le funzioni che contano (kill switch, auto-connessione, protezione DNS) stanno dentro l'app della VPN, non nel sistema operativo.

07 La VPN che ho usato per i test

⚠️ Trasparenza prima di tutto: i test di questo articolo li ho condotti con NordVPN, con cui ho una collaborazione di affiliazione attiva. Se ti abboni tramite il mio link ricevo una piccola commissione, senza costi aggiuntivi per te. Il consiglio nasce da quello che ho riscontrato nei test, non dalla collaborazione: te lo propongo per usi precisi, non come soluzione magica.

Quello che ha funzionato bene sul Galaxy S24 Ultra: il protocollo NordLynx (basato su WireGuard) mi ha dato la latenza più bassa tra quelli provati; il kill switch su Android si è comportato correttamente nei test di caduta connessione; l'auto-connessione su reti non sicure risolve esattamente il problema della dimenticanza; la policy no-log è stata verificata da un revisore indipendente — l'ultimo controllo, il sesto, è stato condotto da Deloitte Lithuania a fine 2025 secondo lo standard ISAE 3000.

Quello che invece va detto contro: sul captive portal vale lo stesso problema di tutte le VPN (sezione 05), e l'abbonamento conviene davvero solo sui piani lunghi — sul mensile il prezzo è alto rispetto al valore.

Link affiliato. Se ti abboni da qui, supporti ScelgoIo senza spendere di più.

08 Checklist operativa prima di connetterti

✅ La routine consigliata su Wi-Fi pubblico:

• Verifica il nome esatto della rete chiedendo al personale (anti evil twin)
• Connettiti e completa prima il login al captive portal, VPN spenta
• Attiva la VPN subito dopo il login, server italiano
• Controlla che kill switch e protezione DNS siano attivi
• Disattiva la connessione automatica a reti aperte sconosciute nelle impostazioni Android
• Per le operazioni bancarie critiche preferisci la rete dati 4G/5G, sempre più sicura di qualsiasi Wi-Fi aperto

★ Verdetto finale

Una VPN su Wi-Fi pubblico serve, ma cambia il motivo per cui serve. Nel 2026 non la usi per impedire il furto delle password — quello lo fa già HTTPS. La usi per togliere al gestore della rete e a un eventuale evil twin la visibilità sul tuo profilo di navigazione e su quel traffico residuo non cifrato che, come ho verificato sul mio S24 Ultra con PCAPdroid, esiste ancora. Il calo di velocità su fibra è irrilevante nell'uso reale; il ping è l'unica cosa che senti, e si gestisce scegliendo un server italiano. Se navighi spesso fuori casa, vale l'investimento — purché tu prenda un piano lungo e non il mensile. Se invece usi quasi sempre la rete dati del telefono, puoi farne a meno: il 4G/5G è già una rete privata.

Approfondisci sul cluster Privacy & Android di ScelgoIo:

• → Tutti gli articoli su Privacy e sicurezza digitale
• → Le guide Android e Samsung One UI

❓ Domande frequenti

Una VPN mi protegge dagli hacker sul Wi-Fi del bar?
Ti protegge da alcuni rischi chiave. Contro il furto di password il merito è soprattutto di HTTPS, già attivo sulla quasi totalità dei siti. La VPN aggiunge la cifratura del traffico DNS e di quello residuo non protetto, e ti difende dalla profilazione del gestore della rete e da un evil twin. Non è onnipotente: non sostituisce buone abitudini come verificare il nome della rete.

Quanto rallenta la connessione una VPN?
Nei miei due test su fibra di casa il download è passato da una media di ~715 a ~255 Mbps con la VPN attiva (server Milano): un calo netto sulla carta, ma più che sufficiente per qualsiasi uso. La cosa che si nota davvero è la latenza, salita in media da ~6 a ~62 ms. Scegliendo un server italiano vicino e un protocollo moderno come WireGuard, l'impatto resta gestibile.

Perché la VPN blocca il login al Wi-Fi dell'hotel?
Perché i captive portal vanno completati prima di attivare il tunnel. La sequenza corretta è: connettiti alla rete, fai il login al portale con la VPN spenta, e solo dopo attiva la VPN. Se la attivi prima, il tunnel impedisce alla pagina di login di caricarsi.

Meglio VPN o rete dati 4G/5G?
Per le operazioni sensibili in mobilità, la rete dati del telefono è generalmente più sicura di qualsiasi Wi-Fi aperto, perché è una rete privata cifrata dall'operatore. La VPN serve soprattutto quando devi per forza usare un Wi-Fi pubblico, ad esempio per risparmiare dati o per la copertura.

La VPN gratis va bene per il Wi-Fi pubblico?
Con cautela. Una VPN vede tutto il tuo traffico: con un servizio gratuito stai spesso pagando con i tuoi dati, che è esattamente il problema da cui volevi difenderti. Se scegli una VPN, meglio una con policy no-log verificata da audit indipendenti.

✍️ Rocco Caiazza — Fondatore di ScelgoIo | Background in programmazione dati e ingegneria informatica, oltre 20 anni nella grande distribuzione organizzata. I test di questo articolo sono stati condotti personalmente su Samsung Galaxy S24 Ultra, sulla mia connessione di casa, il 3 e 4 giugno 2026.

📬 Ti è stato utile?

• Condividi l'articolo con chi usa spesso il Wi-Fi pubblico
• Iscriviti alla newsletter per altri test reali su Android e privacy
• Lascia un commento: hai mai usato una VPN su rete pubblica? Com'è andata?