Il giorno in cui la metro ha smesso di farsi pagare: come la guerra della Russia alle VPN ha bloccato le proprie banche

In un tipico venerdì a Mosca, il ritmo della città è dettato dal segnale acustico costante delle tessere di transito ai tornelli della metropolitana e dal tocco fluido degli smartphone alle casse. Ma lo scorso venerdì, quel ritmo ha perso un battito. In una scena che sembrava più un glitch in un romanzo distopico che in una moderna metropoli, la metropolitana di Mosca è stata costretta ad aprire i suoi cancelli gratuitamente, e le imprese regionali — incluso uno zoo locale — hanno iniziato a implorare i visitatori di pagare in contanti.

Mentre la banca statale russa Sberbank ha ammesso un problema tecnico, il silenzio riguardo alla causa principale è stato assordante. È stato solo quando Pavel Durov, il miliardario fondatore di Telegram, ha parlato sabato che i pezzi del puzzle hanno iniziato a incastrarsi. Secondo Durov, il caos è stato una ferita autoinflitta: un tentativo delle autorità russe di bloccare le reti private virtuali (VPN) che ha inavvertitamente paralizzato l'infrastruttura di pagamento nazionale del paese.

Lo strumento spuntato della censura digitale

Per capire come un giro di vite sugli strumenti per la privacy possa fermare un treno della metropolitana, dobbiamo guardare all'architettura dell'internet moderno. Nei miei anni come detective digitale, ho spesso paragonato l'infrastruttura digitale di una nazione alle fondamenta di una casa. Quando inizi a strappare le assi del pavimento per catturare un topo — in questo caso, gli utenti VPN — rischi l'integrità strutturale dell'intero edificio.

La Russia ha schierato aggressivamente quello che i diplomatici chiamano un "grande giro di vite", utilizzando poteri ampi per oscurare i servizi di messaggistica e bloccare le VPN. Questi strumenti sono spesso presi di mira utilizzando la Deep Packet Inspection (DPI), un metodo sofisticato per esaminare i dati mentre passano attraverso una rete. Tuttavia, l'internet non è una serie di tubi isolati; è una rete sfaccettata di interdipendenze. Quando il regolatore, Roskomnadzor, inserisce nella lista nera una serie di indirizzi IP o protocolli associati alle VPN, spesso finisce per colpire il traffico legittimo nel fuoco incrociato.

In sostanza, gli strumenti destinati a isolare l'internet russo (il cosiddetto RuNet) sono così invasivi da non riuscire a distinguere tra un cittadino che cerca di accedere a Instagram e una banca che cerca di verificare una transazione con carta di credito. Di conseguenza, il tentativo sistemico di imporre confini digitali ha provocato un blackout interno.

Il ritorno della Resistenza Digitale

La risposta di Durov è stata rapida e caratteristicamente provocatoria. "Bentornati alla Resistenza Digitale", ha detto ai suoi milioni di follower, inquadrando l'aggiramento tecnico di queste restrizioni come una mobilitazione nazionale. Questa non è solo retorica; è uno scontro fondamentale sui diritti digitali.

In un contesto normativo, la Legge sull'Internet Sovrano della Russia garantisce allo Stato un controllo quasi assoluto sulla connessione del paese al web globale. Ma come abbiamo visto venerdì, quel controllo è un'arma a doppio taglio. Quando lo Stato tenta di rendere l'internet più opaco per i suoi cittadini, spesso rende i propri sistemi finanziari più vulnerabili. La "Resistenza Digitale" di cui parla Durov è uno sforzo decentralizzato per mantenere l'accesso al web aperto, spesso utilizzando shadowsocks, server proxy e protocolli VPN sempre più sfumati che si mascherano da normale traffico web.

Spiegazioni opache e titoli cancellati

Curiosamente, la narrazione del blackout è stata frammentata quasi quanto la rete stessa. Mentre Sberbank ha confermato il glitch, non ha fornito dettagli granulari. Più indicativo è stato il comportamento dei media russi. Diverse testate hanno inizialmente riportato che l'interruzione derivava dai tentativi dello Stato di bloccare le VPN, per poi cancellare quegli articoli poche ore dopo.

Come persona che analizza meticolosamente le politiche sulla privacy e i mandati statali, trovo questa mancanza di trasparenza profondamente preoccupante. Quando un governo nasconde le conseguenze delle sue politiche digitali, crea un ambiente precario sia per le imprese che per i singoli individui. Se una banca non può essere trasparente sul motivo per cui i suoi sistemi hanno fallito, come possono i suoi clienti fidarsi della sicurezza dei loro dati? In questo scenario, l'informazione non è solo una risorsa; è una passività che lo Stato cerca disperatamente di gestire.

La privacy come diritto, non come una casella di conformità

Dal punto di vista della conformità, la situazione in Russia serve come un duro monito: la privacy è un diritto umano fondamentale, non semplicemente una casella da barrare per un regolatore. Quando uno Stato vede gli strumenti di protezione della privacy come le VPN come una minaccia, inevitabilmente tratta i propri cittadini come bersagli.

Questo "grande giro di vite" è anche una questione extraterritoriale. Le aziende internazionali che operano in Russia sono strette in una morsa: devono conformarsi a leggi locali sempre più stringenti che richiedono la localizzazione dei dati e l'accesso alla decrittazione, cercando allo stesso tempo di mantenere i robusti standard di sicurezza attesi dal resto del mondo.

In definitiva, il blackout di venerdì dimostra che la sovranità digitale è spesso un'illusione. Non si può avere un'economia moderna e altamente funzionale smantellando contemporaneamente i protocolli che consentono a quell'economia di comunicare in modo sicuro.

Passaggi pratici per la resilienza digitale

Che tu sia un proprietario di un'azienda o un singolo utente, navigare in un panorama in cui l'internet può essere limitato o interrotto in qualsiasi momento richiede un cambiamento nell'igiene digitale. Ecco come puoi proteggere la tua connettività e i tuoi dati:

• Diversifica la tua connettività: Non fare affidamento su un singolo protocollo VPN. Usa strumenti che offrono l'offuscamento (rendendo il traffico VPN simile al normale HTTPS) per aggirare la DPI.
• Controlla le tue dipendenze: Per le aziende, identifica quali dei tuoi servizi critici dipendono da API esterne o flussi di dati transfrontalieri che potrebbero essere colpiti da un blocco regionale.
• Pratica la minimizzazione dei dati: Se operi in una giurisdizione ad alto rischio, ricorda che il modo migliore per proteggere i dati è non raccoglierli affatto. Se l'informazione è "Uranio", non accumularla.
• Usa canali crittografati: Sposta le tue comunicazioni sensibili su piattaforme crittografate end-to-end come Telegram o Signal, che si sono dimostrate resilienti contro i tentativi di blocco sistemico.
• Mantieni backup offline: Come ha dimostrato la metropolitana di Mosca, il mondo digitale può fallire in un istante. Assicurati di avere una contingenza non digitale per i servizi essenziali e i pagamenti.

Mentre ci inoltriamo nel 2026, la battaglia per l'anima dell'internet continua. Gli eventi in Russia sono un segnale chiaro: quando si usa la rete come arma, tutti — dal miliardario a Dubai al pendolare a Mosca — ne avvertono l'impatto.

Fonti:

• Legge federale russa n. 90-FZ (La legge sull'Internet sovrano).
• Patto internazionale sui diritti civili e politici (Articolo 19).
• Linee guida tecniche ufficiali di Roskomnadzor sull'implementazione della DPI.
• Dichiarazioni pubbliche dell'ufficio stampa di Sberbank (3 aprile 2026).

Disclaimer: Questo articolo è solo a scopo informativo e giornalistico e non costituisce una consulenza legale o tecnica formale. Le normative digitali variano significativamente a seconda della giurisdizione; consultare sempre un professionista qualificato in merito a specifiche esigenze di conformità o sicurezza.