system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/cryptostorm-vs-mullvad-privacy-pagamenti-2026$ cat post.md

CryptoStorm vs Mullvad: privacy dei pagamenti nel 2026

// by ~anon · 2026-05-31 · mock,auto-generated,it

CryptoStorm vs Mullvad: privacy dei pagamenti nel 2026

Quando ci si iscrive a un VPN con la carta di credito, è la ricevuta stessa a diventare la falla. L'indirizzo IP, il routing, la politica no-log: nulla di tutto ciò ha più importanza nel momento in cui Stripe, PayPal o la banca hanno timbrato il tuo nome reale sull'abbonamento. È per questa ragione che il ristretto gruppo dei VPN "privacy-first" è ossessionato da una domanda molto specifica: come si fa a incassare il denaro di un cliente senza sapere mai chi è? Nel 2026, i due provider che ancora trattano questo problema come una questione di progettazione fondamentale (e non come una nota a piè di pagina del marketing) sono CryptoStorm e Mullvad. Entrambi precedono l'industria VPN moderna, entrambi pubblicano i propri prezzi in valuta corrente in chiaro, ed entrambi accettano strumenti di pagamento anonimi, tra cui Monero, contanti per posta e voucher acquistati da rivenditori terzi. Tuttavia le architetture dietro le quinte sono molto diverse, e la privacy che si ottiene davvero dipende da scelte che si compiono prima che il traffico raggiunga il tunnel. Questa guida li confronta uno di fronte all'altro e mostra come uno swap in Monero su MoneroSwapper si inserisca in entrambi i flussi senza lasciare alcuna traccia che riporti al conto corrente.

Perché la privacy dei pagamenti è l'anello più debole

I provider VPN amano parlare di audit no-log, server in sola RAM e warrant canary. Sono protezioni reali, ma presuppongono un osservatore ostile che arrivi dopo la registrazione. Nell'istante in cui hai pagato con una carta Visa, il collegamento tra la tua identità e l'account già esiste: vive nel database del processore di pagamento, sull'estratto conto della tua banca e in qualunque ordinanza del giudice che l'emittente possa ricevere. La policy no-log di un VPN non può cancellare retroattivamente una transazione su Stripe.

Questo aspetto è decisivo perché la maggior parte di chi tiene alla privacy del proprio VPN lo fa per ragioni che vanno ben oltre il torrenting. Giornalisti che proteggono le proprie fonti, attivisti in giurisdizioni ostili, ricercatori di sicurezza che indagano infrastrutture che non possiedono: tutti loro affrontano modelli di minaccia in cui la scia dei pagamenti è il punto di partenza più facile. Un investigatore esperto non comincia provando a decriptare WireGuard. Comincia dalla carta di credito.

  • Vincolo di identità all'iscrizione: la maggior parte dei VPN richiede una email e accetta pagamenti con carta, il che significa che sia il provider sia il circuito della carta conoscono la tua identità reale fin dal primo minuto.
  • Log che non puoi vedere: anche i provider che eliminano i log di connessione conservano in genere le registrazioni contabili per ragioni fiscali e di chargeback, spesso per sette anni.
  • Leva del subpoena: i processori di pagamento operano in giurisdizioni con obblighi di conservazione dati; il VPN potrebbe non avere nulla da consegnare, ma Stripe sì.
  • Correlazione tra servizi: una carta usata per il VPN, per il provider email e per il cloud storage costruisce un grafo della tua persona che nessun singolo fornitore comporrebbe mai da solo.

CryptoStorm e Mullvad sono interessanti proprio perché trattano il livello di pagamento come parte del modello di minaccia, non come un imbuto di vendita. Entrambi i provider si chiedono: e se non avessimo mai saputo chi fossi tu, fin dall'inizio?

CryptoStorm: il modello ad accesso tokenizzato

CryptoStorm esiste dal 2014 ed è stato costruito attorno a un'idea volutamente inusuale: non esistono account utente. Quando paghi, non crei un profilo, non scegli uno username e non colleghi un indirizzo email. Ricevi invece un token, una lunga stringa esadecimale, e quel token è ciò che si autentica contro il VPN. Il token è l'account.

Questa scelta ha conseguenze dirette sulla privacy. Poiché il provider non associa mai il token a un identificativo personale, non esiste alcuna riga di database che leghi l'abbonamento alla persona. Se un tribunale ordinasse a CryptoStorm di consegnare "tutto ciò che avete sull'utente X", la risposta sincera sarebbe che il provider non sa cosa sia l'utente X. I token possono essere passati tra dispositivi, rivenduti, regalati o bruciati a piacere.

Come CryptoStorm accetta i pagamenti

CryptoStorm accetta Bitcoin, Bitcoin Cash, Litecoin, Ethereum e una manciata di altre criptovalute tramite pagamenti on-chain standard. Accetta anche Monero, che è l'unica fra queste a non far trapelare la storia delle transazioni del mittente su un registro pubblico. Per chi non tocca affatto le criptovalute, CryptoStorm da tempo collabora con rivenditori di token, soggetti terzi che acquistano token in blocco e li rivendono in cambio di contanti, gift card o altri metodi di pagamento indiretti.

Il modello del rivenditore è la risposta peculiare di CryptoStorm al problema dell'anonimato. Il rivenditore conosce il proprio cliente, ma non sa quale token gli ha effettivamente consegnato, perché i token vengono emessi in lotti e ruotati. CryptoStorm vede da parte sua un pagamento proveniente dal rivenditore e, in un secondo momento, il riscatto di un token: i due eventi non vengono correlati in alcun database che la società conservi.

Mullvad: il modello del numero di account

Mullvad adotta un approccio diverso, ma altrettanto radicale. Al posto dei token, emette un numero di account a sedici cifre. Niente email, niente password, niente username: si annota il numero, e quel numero è l'unica cosa che dimostra di essere il titolare dell'abbonamento. Se lo perdi, l'account è perduto per sempre; Mullvad non può aiutarti a recuperarlo, perché non ha alcun modo di sapere chi sei.

Si parla a volte di modello "no-recovery", ed è una scelta intenzionale. Il numero di account viene generato lato client o dal sito web al momento dell'iscrizione, accreditato a tempo in base a quanto si è pagato e archiviato nel database di Mullvad come un semplice numero intero, senza alcun dato personale collegato. Letteralmente, dai registri interni non sono in grado di legare un numero a una persona.

Come Mullvad accetta i pagamenti

La matrice dei pagamenti di Mullvad è una delle più complete dell'industria. Accettano Bitcoin e Bitcoin Cash on-chain, Monero, bonifici bancari, Swish (un circuito di pagamento svedese), carte di credito tramite diversi processori e — particolare notevole — contanti spediti per posta. Si può letteralmente stampare il proprio numero di account su un foglio di carta, piegarlo attorno a una mazzetta di banconote e spedirlo in Svezia. Accrediteranno il tuo account all'arrivo del plico.

Nel 2022 Mullvad ha smesso del tutto di offrire abbonamenti ricorrenti. Oggi ogni cliente paga per periodi specifici, manualmente, e l'account semplicemente esaurisce il tempo quando il saldo si svuota. Questo ha rimosso un'intera categoria di dati personali — l'identificativo della fatturazione ricorrente — che in passato erano obbligati a conservare.

Il metodo di pagamento più privato è quello che il tuo provider non potrebbe comunque riconnettere a te, anche se lo volesse. Tanto CryptoStorm quanto Mullvad progettano i propri sistemi di fatturazione attorno a questo principio, ed entrambi accettano Monero proprio perché il suo grafo delle transazioni è illeggibile dall'esterno.

Confronto diretto: la privacy dei pagamenti a paragone

La tabella che segue riassume le proprietà pratiche di privacy di ciascun canale di pagamento per entrambi i provider. Con "anonimato" si intende qui se il provider, la rete di pagamento o un osservatore terzo possa collegare il pagamento a un'identità reale.

Metodo di pagamento CryptoStorm Mullvad Livello di anonimato
Carta di credito / debito Non supportata direttamente Supportata via Stripe Basso — KYC completo lato processore
Bonifico bancario / SEPA Non supportato Supportato (SEPA, Swish) Basso — la banca detiene l'identità completa
Bitcoin (on-chain) Supportato Supportato (BTC, BCH) Medio — pseudonimo, tracciabile su registro pubblico
Monero Supportato Supportato Alto — RingCT e stealth address nascondono mittente, destinatario e importo
Contanti per posta Solo tramite rivenditori Supportati direttamente Molto alto — nessuna traccia digitale
Voucher / rivenditore di token Modello di pagamento principale Rivenditori terzi limitati Alto — il provider vede solo il rivenditore

La conclusione è che entrambi i provider offrono percorsi verso un anonimato reale dei pagamenti, ma vi arrivano attraverso scelte di default diverse. Mullvad rende banalmente facile inviare contanti per posta e li accetta come cittadini di prima classe del proprio sistema di fatturazione. CryptoStorm fa del percorso via rivenditore di token la propria strada canonica, trattando i pagamenti diretti in criptovaluta come uno strato di comodità sopra l'architettura tokenizzata. Monero si colloca nel livello più alto di anonimato per entrambi ed è l'unico metodo digitale in cui la proprietà di privacy regge anche di fronte a una società di chain-analysis determinata e dotata di poteri di subpoena verso gli exchange.

Passo per passo: comprare un abbonamento Mullvad con Monero

Quello che segue è il flusso che la maggior parte degli utenti attenti alla privacy adotta concretamente nel 2026. Gli stessi passi generali si applicano a CryptoStorm con piccoli aggiustamenti su URL e formato dell'indirizzo.

  1. Acquisisci Monero in modo anonimo. Se possiedi già Bitcoin, USDT o un'altra criptovaluta ottenuta senza KYC (minata, guadagnata o ricevuta come pagamento), convertila in Monero su MoneroSwapper senza creare un account. Lo swap è non custodiale: fornisci un indirizzo di ricezione Monero e un indirizzo di rimborso per la moneta di origine, e lo scambio si completa in circa venti minuti in media.
  2. Genera un nuovo subaddress Monero. Nel tuo wallet (Cake Wallet, Feather o la GUI ufficiale) crea un nuovo Subaddress sotto l'account principale. Questo mantiene il pagamento compartimentato rispetto a qualunque altra attività Monero che hai sullo stesso wallet.
  3. Genera il numero di account Mullvad. Visita mullvad.net, clicca su "Add time" e segui la procedura per generare un nuovo numero a sedici cifre. Annotalo su carta. Non salvarlo in un password manager sincronizzato sul cloud, a meno che quel vault non sia esso stesso cifrato end-to-end con una chiave che controlli tu.
  4. Scegli Monero come metodo di pagamento. Mullvad mostrerà un indirizzo Monero monouso e l'esatto importo in XMR per uno, tre, sei o dodici mesi di servizio. L'indirizzo è univoco per ciascun pagamento, il che limita ogni tentativo di correlazione.
  5. Invia il pagamento dal tuo wallet. Incolla l'indirizzo, inserisci l'importo esatto e conferma. Attendi dieci conferme Monero (circa venti minuti). Mullvad accrediterà automaticamente il tempo non appena la catena conferma.
  6. Verifica e accedi. Apri il client Mullvad, inserisci il tuo numero di account e collegati. Non c'è conferma via email, nessun messaggio di benvenuto e nessun profilo da compilare. Sei semplicemente sulla rete.

L'intero flusso, dall'inizio alla fine, può concludersi in meno di un'ora senza estratto conto della carta, senza indirizzo email e senza che alcun nome entri mai nel ciclo. Lo swap in Monero è il passo decisivo che tiene insieme tutta la catena: senza, dovresti minare i tuoi XMR oppure comprarli su un exchange che richiede KYC, vanificando lo scopo.

Esempio reale: la configurazione di una giornalista

Immaginiamo una giornalista investigativa freelance al lavoro su un'inchiesta sui flussi finanziari transfrontalieri. Il suo modello di minaccia include i soggetti dell'indagine, che potrebbero avere accesso a strumenti commerciali di chain-analysis, oltre alla possibilità di richieste di esibizione documentale verso qualunque servizio utilizzi. Ha bisogno di un VPN, ma anche di una scia di pagamenti in grado di reggere uno scrutinio forense.

Una configurazione concreta nel 2026 si presenta così. La giornalista detiene una piccola quantità di Bitcoin ricevuta come pagamento di un articolo non correlato anni prima, prima che esistesse qualunque rapporto con un exchange. Ne converte una porzione in Monero su MoneroSwapper, usando un wallet Monero appena creato e dedicato a questo solo progetto. Usa poi i Monero per finanziare un abbonamento Mullvad pagato per dodici mesi, e una somma minore, separata, per acquistare un token CryptoStorm da un rivenditore come piano di riserva.

I due abbonamenti VPN sono ora scollegati l'uno dall'altro e dalla banca, dalla casella email e dalle scritture fiscali della giornalista. Se uno dei due provider fosse mai compromesso o costretto a collaborare, l'altro resterebbe come ripiego pulito. La gamba Monero del flusso è ciò che rende tutto questo possibile: il solo Bitcoin avrebbe lasciato una traccia pubblica dal pagamento originario fino all'indirizzo Mullvad, che un investigatore sufficientemente motivato potrebbe correlare. La meccanica di RingCT e stealth address dentro Monero spezza quel collegamento per costruzione.

Non è uno schema teorico. Rispecchia le indicazioni che la Freedom of the Press Foundation, i materiali di formazione per gli utenti del Tor Project e diverse organizzazioni per i diritti digitali pubblicano in varie forme dal 2023. La combinazione di uno swap senza KYC, di un VPN con pagamenti anonimi e di un profilo di dispositivo compartimentato è ormai considerata sicurezza operativa di base per il reporting su temi sensibili.

Note tecniche sul ruolo di Monero

CryptoStorm e Mullvad accettano Monero per una ragione che va oltre l'ideologia: Monero è l'unica criptovaluta a larga diffusione in cui le proprietà di privacy reggono persino di fronte all'operatore del processore di pagamento. Con Bitcoin, anche se il provider VPN elimina l'indirizzo di ricezione dopo l'uso, la transazione resta visibile sul registro pubblico. Una società di chain-analysis può raggruppare gli indirizzi, collegarli a depositi noti su exchange e infine ricondurre un pagamento alla persona che ha finanziato il wallet di origine.

Monero corto-circuita l'intera pipeline. La ring signature mescola lo spender reale con dieci esche, in modo che un osservatore non possa stabilire quale input sia stato effettivamente speso. Lo stealth address fa sì che l'indirizzo di destinazione sulla blockchain non sia quello pubblicato di Mullvad o CryptoStorm, ma una derivazione monouso riconoscibile solo dal destinatario. L'importo è nascosto dagli impegni Bulletproofs. Il risultato è che, anche se una società di chain-analysis ottenesse un subpoena contro il provider VPN e contro l'exchange di origine del tuo wallet, vedrebbe comunque soltanto un pagamento tra due stealth address senza importo, senza link nel grafo e senza alcuna storia di plausible deniability da attaccare.

È proprio questo il motivo per cui MoneroSwapper esiste nel flusso. Lo swap converte qualunque criptovaluta trasparente tu possa avere in Monero senza account, senza controllo KYC e senza far persistere dati che possano legare la moneta di partenza all'indirizzo di destinazione. Dal punto di vista del provider VPN, hai semplicemente finanziato il loro indirizzo "da qualche parte", e quel "qualche parte" è opaco.

FAQ

Pagare un VPN con Monero è legale?

In quasi tutte le giurisdizioni, sì. Pagare un servizio legale con una criptovaluta legale non è di per sé un'attività regolata, indipendentemente dalle proprietà di privacy della moneta. Le eccezioni sono pochi Paesi che hanno bandito specificamente Monero (in quelle giurisdizioni la maggior parte degli exchange l'ha delistata), ma anche lì detenere e spendere Monero raramente costituisce di per sé un illecito. Per l'Italia, le indicazioni dell'Agenzia delle Entrate e la normativa antiriciclaggio si concentrano sulle obbligazioni dichiarative e sui soggetti obbligati, non sull'atto in sé di acquistare un VPN. In caso di dubbi consulta la guida locale, ma l'acquisto di un abbonamento VPN non muta lo status giuridico del pagamento sottostante.

Mullvad o CryptoStorm possono essere costretti a deanonimizzare un pagamento Monero?

Non possono deanonimizzare ciò che non hanno mai saputo. Le proprietà crittografiche di Monero fanno sì che il provider veda un pagamento arrivare al proprio indirizzo e accrediti il rispettivo account, ma senza avere alcun modo di mappare quel pagamento al wallet, alla storia degli exchange o all'identità del mittente. Un subpoena potrebbe imporre loro di condividere ciò che sanno, e la risposta onesta è che sanno soltanto il numero di account o il token associato al tempo accreditato, non la persona dietro di esso.

Perché non usare semplicemente una carta di credito orientata alla privacy o una virtual card?

I servizi di virtual card (Privacy.com, le carte usa-e-getta di Revolut e simili) regolano comunque, in ultima istanza, attraverso Visa o Mastercard, e richiedono KYC all'iscrizione. Riducono l'esposizione lato merchant — il provider VPN vede solo un numero monouso — ma l'emittente conserva sempre la tua identità completa e l'intera storia delle transazioni. Per la privacy rispetto al merchant le virtual card funzionano; per la privacy rispetto alla rete di pagamento o alle autorità di polizia, no.

I contanti per posta sono davvero più sicuri di Monero?

Dipende dal modello di minaccia. Il contante non lascia tracce digitali e non può essere richiesto retroattivamente da un database, e questa è una proprietà forte. Richiede però di fidarsi del sistema postale, che la busta arrivi integra e che nulla nella calligrafia, nel timbro postale o nell'indirizzo del mittente (che andrebbe omesso) ti tradisca. Monero è più rapido, più affidabile e non produce alcun manufatto fisico, al prezzo di richiedere un wallet di criptovaluta e la conoscenza di come acquisire XMR in forma anonima.

Cosa succede se perdo il mio numero di account Mullvad o il token CryptoStorm?

È andato. Entrambi i provider operano secondo il principio per cui non detengono dati di recupero: non c'è alcuna email a cui inviare un link di reset e nessuna domanda di sicurezza a cui rispondere. Si tratta di una funzionalità, non di un difetto, perché significa che nemmeno qualcun altro potrà recuperarli. Conserva la credenziale in un password manager con backing hardware, su carta dentro una cassaforte, oppure suddividila tra più backup offline. Trattala come faresti con una mnemonic seed di un wallet di criptovaluta.

Usare un VPN con pagamento in Monero sconfigge ogni forma di tracciamento?

No, e chi sostiene il contrario sta esagerando. La scia dei pagamenti è solo una delle molte superfici. Il sistema operativo, il fingerprint del browser, gli account di servizi che già ti conoscono, i leak DNS, quelli WebRTC e cento altri vettori possono identificarti a prescindere da come hai pagato il tunnel. L'anonimato sui pagamenti è necessario ma non sufficiente. Il modo corretto di pensarci: un VPN pagato in forma anonima ti dà una fondazione pulita su cui le altre pratiche di privacy possono comporsi, ma è la fondazione, non l'intero edificio.

Conclusione

Il verdetto onesto tra CryptoStorm e Mullvad sulla privacy dei pagamenti è che entrambi sono eccezionali e la scelta dipende da quale filosofia di design si adatta meglio alle tue abitudini. Il modello a token di CryptoStorm è imbattibile se vuoi distaccare del tutto la credenziale VPN da qualunque account: non c'è semplicemente nulla che possa essere oggetto di subpoena. Il modello a numero di account di Mullvad è più amichevole per chi preferisce un singolo login, e la loro opzione di contanti per posta resta il riferimento d'oro per gli utenti che non possono o non vogliono toccare le criptovalute. Entrambi accettano Monero, e Monero è ciò che fa funzionare il resto della catena senza KYC in alcun punto del flusso.

Se non possiedi ancora Monero, il modo più pulito di acquisirlo per entrambi gli abbonamenti è uno swap non custodiale. MoneroSwapper completa la conversione da qualsiasi cosa tu già detenga — Bitcoin, USDT, Litecoin o decine di altri asset — in Monero senza account, senza email e senza alcun checkpoint KYC. Da lì in avanti, la strada verso un VPN pagato in forma anonima è un copia-incolla, una conferma e un numero di account annotato su un post-it. Nel 2026 la privacy a livello di pagamento è una delle poche cose ancora interamente nelle tue mani, e i provider trattati qui hanno compiuto le scelte ingegneristiche che ti permettono di tenerla così.

← back to blog