Google avverte gli utenti sui rischi delle VPN non sicure, che possono nascondere malware capaci di rubare dati sensibili come cronologia, messaggi, credenziali finanziarie e wallet di criptovalute. Il consiglio è di scaricare solo app da fonti ufficiali e a prestare attenzione ai permessi richiesti.

Google ha lanciato un avvertimento globale: non tutte le VPN sono sicure. Alcune app e estensioni che promettono privacy e anonimato nascondono in realtà malware come info‑stealer, trojan per accesso remoto e trojan bancari. Come ha spiegato Google nella suo advisory pubblicata a novembre 2025 gli utenti rischiano di scaricare software in grado di accedere alla cronologia di navigazione, ai messaggi privati, alle credenziali finanziarie e perfino ai dati relativi a portafogli di criptovalute.

Il fenomeno si colloca in un contesto normativo sempre più complesso. In paesi come il Regno Unito, con l’Online Safety Act, e negli Stati Uniti, con legislazioni statali simili, l’accesso a contenuti online soggetti a restrizioni d’età è diventato più difficile. Questa situazione ha spinto molti utenti a ricorrere alle VPN per aggirare blocchi e filtri, creando un terreno fertile per i cybercriminali.

Allarme VPN: che cosa ha segnalato Google

Una VPN serve a creare un “tunnel” criptato tra l’utente e un server remoto, proteggendo la navigazione dai potenziali controlli o intercettazioni. Tuttavia, quando tale strumento è gestito da soggetti non affidabili, si trasforma in un’arma: è come concedere accesso completo a un estraneo alla propria attività online. Secondo Google, questo rischio è reale. Come ha spiegato in una nota pubblicata sulla pagina ufficiale:

Leggi anche Apple e WhatsApp contro gli spyware: gli utenti saranno sempre avvisati se qualcuno li spia

"Gli autori delle minacce distribuiscono applicazioni dannose camuffate da servizi VPN legittimi su un'ampia gamma di piattaforme per compromettere la sicurezza e la privacy degli utenti. Questi autori tendono a impersonare marchi VPN aziendali e consumer affidabili o a utilizzare esche di ingegneria sociale, ad esempio attraverso pubblicità sessualmente allusive o sfruttando eventi geopolitici, per prendere di mira utenti vulnerabili che cercano un accesso sicuro a Internet. Una volta installate, queste applicazioni fungono da veicolo per distribuire pericolosi payload di malware, tra cui ladri di informazioni, trojan di accesso remoto e trojan bancari che esfiltrano dati sensibili come cronologia di navigazione, messaggi privati, credenziali finanziarie e informazioni sui wallet di criptovalute"

Google raccomanda quindi di installare VPN solo da fonti ufficiali, per esempio Google Play Store, verificare che l’app contenga il badge “VPN” previsto da Google, diffidare da versioni gratuite troppo facili da ottenere, e prestare attenzione ai permessi richiesti, un’app VPN legittima non dovrebbe avere bisogno di accedere a contatti, messaggi o foto.