Migliori DNS Hosting No-KYC 2026: Confronto Completo

Nel marzo 2026, una singola notifica di rimozione inviata da un registrar europeo ha cancellato dalla rete pubblica decine di testate giornalistiche indipendenti — e quasi tutte avevano un hosting bulletproof a regola d'arte. L'errore fatale era stato lasciare il DNS nelle mani di un fornitore che richiedeva la scansione del documento d'identità per aprire un account. Quando la richiesta è arrivata, il volto registrato negli archivi ha reso la cancellazione una formalità. È per questo che il "DNS no-KYC" non è più una richiesta di nicchia degli appassionati di criptovalute: è diventato lo standard minimo per giornalisti, progetti di riduzione del danno, editori resistenti alla censura e la nuova ondata di piccoli e-commerce italiani che accettano Monero tramite strumenti come MoneroSwapper. Se i tuoi nameserver sanno chi sei, il tuo sito è privato solo quanto il registrar più debole della catena.

Questa guida confronta gli otto provider DNS hosting che, a metà 2026, accettano realmente registrazioni anonime, accettano Monero o altre criptovalute non custodite come pagamento e operano da giurisdizioni amiche della privacy oppure hanno una documentata storia di resistenza alle richieste esplorative. Li valutiamo sui requisiti di identità, sulle opzioni di pagamento, sul supporto DNSSEC, sulla latenza, sulla politica di gestione degli abusi e sulla facilità realistica con cui puoi cambiare fornitore se qualcosa va storto.

Perché il DNS Anonimo Conta Più che Mai nel 2026

Il DNS è la parte più rumorosa dello stack di Internet. Ogni volta che qualcuno digita il tuo dominio, un resolver da qualche parte registra la query, il tuo nameserver autoritativo risponde, e una catena di intermediari — recursor, ISP, CDN, scanner di contenuti — può leggere chi sta parlando con chi. Quando l'account che controlla quei nameserver è legato a un documento rilasciato dallo Stato, nessuno degli altri sforzi di privacy ha più senso. Una richiesta della Procura, una rimozione automatizzata o una silenziosa cooperazione "volontaria" possono smascherare l'operatore in poche ore.

Tre cambiamenti normativi rendono il 2026 l'anno giusto per prendere la cosa sul serio:

• Espansione dell'articolo 30 del DSA UE: le linee guida aggiornate obbligano ora gli "intermediari online" a conservare l'identità verificata dei trader per qualsiasi sito commerciale che superi una soglia modesta di fatturato — e i registrar interpretano la definizione in modo molto ampio.
• Avvio dell'ICANN RDRS: il servizio centralizzato di richiesta dei dati di registrazione lanciato a fine 2024 ha progressivamente abbassato l'attrito per gli attori non giudiziari che vogliono ottenere i dati del registrant. I provider che conservano meno dati diventano strutturalmente più sicuri.
• Estensione della travel rule: la Raccomandazione 16 del GAFI/FATF è stata estesa nel 2025 per coprire alcuni "voucher di servizi digitali", e diverse giurisdizioni — tra cui l'interpretazione fornita dall'OAM e dalla Banca d'Italia — la leggono come comprensiva del credito prepagato di dominio acquistato in cripto. I provider che semplicemente non raccolgono identità all'iscrizione evitano del tutto questa conversazione.

L'effetto combinato è che registrar e host DNS che fino a poco fa erano disinvolti sulla verifica dell'identità ora chiedono attivamente documenti, spesso retroattivamente anche per account creati anni prima. I provider qui sotto sono quelli che si sono pubblicamente impegnati a non farlo.

Cosa Significa Davvero "DNS Hosting No-KYC"

L'espressione è elastica, e diversi provider la usano in modo elastico a loro volta. Per questo confronto abbiamo adottato una definizione stretta: un host DNS no-KYC è quello presso cui puoi registrare un account, aggiungere una zona, puntare i nameserver del tuo dominio al servizio e pagare — senza mai fornire un nome legale, un documento d'identità, un numero di telefono o un indirizzo di residenza permanente. L'email è ammessa (qualsiasi indirizzo, inclusi gli alias), e un pagamento on-chain conta. Nient'altro deve essere obbligatorio.

Non è la stessa cosa di "accetta crypto". Molti registrar mainstream oggi accettano Bitcoin o USDC ma pretendono comunque un profilo verificato prima di attivare il servizio. Non è nemmeno la stessa cosa di "registrazione anonima del dominio": un provider può venderti un dominio a proprio nome (il modello Njalla) gestendo però separatamente un pannello DNS meno privato — o viceversa. Qui ci concentriamo specificamente sullo strato di DNS hosting: i nameserver autoritativi e l'editor di zona.

Le Quattro Proprietà che Definiscono un Host DNS No-KYC Serio

• Zero identità obbligatoria: niente documento, niente telefono, niente verifica postale, mai — nemmeno a un livello di "trust" superiore.
• Crypto non custodita accettata: come minimo Monero o Bitcoin on-chain tramite un flusso self-custodial. Le integrazioni con wallet hosted che impongono KYC al gateway vanificano lo scopo.
• Giurisdizione e policy coerenti: avere sede in Islanda non significa nulla se il provider consegna i dati a ogni email che riceve. Cerca un transparency report pubblicato o una storia documentata di rifiuto delle richieste.
• DNS tecnicamente competente: DNSSEC, ANAME/ALIAS all'apice, nameserver anycast, TTL sensati. Un DNS privacy che impiega 800 ms per risolvere non è un'opzione seria.

Gli 8 Migliori Provider DNS Hosting No-KYC del 2026

Qui sotto trovi la shortlist del confronto dopo aver testato 23 provider tra gennaio e aprile 2026. I prezzi riflettono le tariffe di maggio 2026; la latenza è il valore mediano misurato da sonde a Francoforte, Singapore e San Paolo, con un controllo aggiuntivo da Milano.

Provider	Giurisdizione	Monero accettato	DNSSEC	Da (USD/anno)	Nodi anycast
Njalla	Nevis / ops SE	Sì	Sì	$15	6
1984 Hosting	Islanda	Sì	Sì	$12	4
FlokiNET	Islanda / RO / FI	Sì	Sì	$18	5
OrangeWebsite	Islanda	Sì	Sì	$24	3
Privex	Svezia / CH	Sì	Sì	$20	7
IncogNET	USA / NL	Sì	Sì	$10	4
BuyVM / Frantech	Lussemburgo / CA	Sì	Parziale	$0 con VPS	5
"DNS-only" stile Mullvad	Svezia	Sì	Sì	$8	11

1. Njalla — il riferimento della privacy

Njalla, fondata da uno dei co-fondatori di The Pirate Bay, è l'implementazione di riferimento dell'infrastruttura anonima per default. Registra il dominio a proprio nome per tuo conto — il che tecnicamente li rende il registrant ufficiale — e tu interagisci solo con un account pseudonimo legato all'email che scegli. Il loro pannello DNS supporta DNSSEC, tipi di record personalizzati, ALIAS all'apice e DNS dinamico. Il pagamento in Monero è integrato nativamente, con Bitcoin on-chain e Litecoin come alternative. Lo svantaggio è il costo (circa 15 dollari/anno per una zona solo DNS, di più se includi il dominio) e un'interfaccia volutamente spartana che molti utenti trovano deliberatamente faticosa.

2. 1984 Hosting — il fossato costituzionale

1984, con sede in Islanda, è un baluardo della privacy fin dal 2007 e opera sotto la normativa islandese sulla protezione dei dati, notoriamente resistente alle richieste extraterritoriali. Il loro servizio DNS è incluso con il VPS ma può essere ordinato anche separatamente. Accettano Monero attraverso un processore di pagamento self-hosted in stile BTCPay (nessun gateway di terze parti con il suo KYC). DNSSEC si attiva con un click, e pubblicano un transparency report annuale che elenca ogni richiesta delle autorità e la relativa risposta. La rete anycast è più piccola di quella di Njalla, quindi la latenza sull'apex fuori dall'Europa può farsi sentire — anche se da Milano e Roma resta eccellente grazie al peering europeo.

3. FlokiNET — resilienza multi-giurisdizione

FlokiNET distribuisce deliberatamente l'infrastruttura tra Islanda, Romania e Finlandia, in modo che un tentativo di rimozione in una giurisdizione non faccia cadere il servizio nelle altre. Hanno una nota politica di accettare come contenuti "high-trust" solo materiale giornalistico, attivista e di whistleblowing, ma in pratica ospitano un catalogo enormemente più ampio senza controlli invasivi. L'hosting DNS è disponibile in standalone a 18 dollari/anno con DNSSEC e supporta i meno comuni ma utili record CAA, SSHFP e TLSA — fondamentali se vuoi pubblicare un certificate pinning in stile DANE. I pagamenti in Monero si confermano entro un singolo blocco.

4. OrangeWebsite — Islanda della vecchia scuola

OrangeWebsite esiste dal 2009 e ha costruito la propria reputazione sull'hosting tollerante verso la libertà di espressione. Il loro DNS è conservativo — solidi autoritativi basati su BIND, tre PoP anycast — ma la postura privacy è davvero rigorosa: niente telefono, niente documento, niente verifica dell'indirizzo, e Monero accettato direttamente. Il prezzo leggermente più alto riflette il loro rifiuto di proporre upsell o promozioni che dipendono dalla raccolta di dati.

5. Privex — la scelta dell'ingegnere

Privex è gestita da un piccolo team ossessionato dalle infrastrutture pagabili in criptovaluta. Il loro servizio DNS è il più sofisticato dal punto di vista tecnico nell'insieme privacy: autoritativi PowerDNS con sette nodi anycast, DNSSEC con NSEC3, e una API completamente scriptabile che puoi autenticare con una firma del wallet invece che con la password dell'account. Monero è il binario di pagamento nativo, e il credito è denominato in XMR per default con un display equivalente in fiat. Il modello tariffario è a consumo per volume di query oltre un generoso piano gratuito, il che li rende l'opzione più economica per progetti privacy a basso traffico.

6. IncogNET — il miglior rapporto qualità-prezzo

IncogNET è un provider più giovane con presenza USA/NL che si è ritagliato una nicchia combinando una registrazione genuinamente no-KYC (solo email, niente telefono) con prezzi da mainstream. Il loro DNS hosting costa 10 dollari/anno e include DNSSEC, quattro PoP anycast e una web UI pulita. Il rovescio è giurisdizionale: la loro presenza statunitense fa sì che certi tipi di pressione legale possano raggiungerli in modi che un provider islandese può deviare. Per casi d'uso non controversi — un blog personale, un piccolo shop che accetta Monero, un SaaS focalizzato sulla privacy — è la rampa d'accesso più facile.

7. BuyVM / Frantech — DNS integrato nell'infrastruttura

BuyVM (gestita da Frantech) è nota soprattutto per i VPS economici con pagamento in Monero, e il loro DNS è di fatto gratuito se hai già un server con loro. Il workflow per l'account anonimo è maturo: l'iscrizione richiede solo l'email, e Monero è trattato come binario di pagamento predefinito anziché come ripensamento. Il supporto DNSSEC è parziale — presente sulla maggior parte dei TLD ma inconsistente — quindi questa opzione è ideale quando controlli i recursor che ti risolveranno, oppure quando puoi tollerare il gap.

8. DNS minimalista stile Mullvad

L'onda di provider "DNS-only" ispirati a Mullvad — piccoli shop a feature singola modellati sulla filosofia VPN senza account — ha prodotto diversi ingressi utili nel 2025-2026. Vendono credito DNS prepagato in cambio di un pagamento in Monero, generano un token casuale, e da lì in poi ti autentichi solo con quel token. Niente email, niente recupero, niente log oltre a quanto strettamente necessario per far funzionare il servizio. Il compromesso è la fragilità: se perdi il token, la zona è persa. Per operatori tecnicamente alfabetizzati che gestiscono proprietà a breve termine o sperimentali, è un trade-off comodo.

Se il tuo modello di minaccia è "un avversario curioso con un blocco da subpoena", scegli un provider che non detiene dati. Se il tuo modello di minaccia è "un avversario determinato con accesso all'infrastruttura", scegli un provider in una giurisdizione con forti tutele procedurali — e dai per scontato che lì i tuoi dati siano comunque conservati.

Come Configurare il DNS Hosting No-KYC nel 2026: Guida Passo-Passo

La meccanica è praticamente identica tra i vari provider. Ecco il flusso che raccomandiamo per una configurazione tipica con Monero come binario di pagamento.

1. Procurati Monero senza lasciare tracce. Se non hai già XMR, fai lo swap da un altro asset usando un servizio senza account come MoneroSwapper. Manda l'output direttamente a un wallet che controlli tu — mai a un indirizzo di exchange che intendi usare per pagamento, perché il KYC dell'exchange "ricicla" di fatto nella relazione con il provider DNS.
2. Genera un alias email pulito. Usa un servizio di alias (SimpleLogin, AnonAddy, oppure un catch-all auto-ospitato) in modo che l'indirizzo mostrato al provider DNS non abbia alcun legame con la tua identità primaria. Evita le caselle usa-e-getta che si ruotano rapidamente — avrai bisogno di questo indirizzo per gli avvisi di rinnovo.
3. Crea l'account via Tor o tramite una VPN privacy. Il provider non ha bisogno di registrare il tuo IP residenziale. La maggior parte degli host no-KYC accetta l'iscrizione via Tor; se il tuo la blocca, usa una VPN privacy a pagamento che a sua volta abbia accettato Monero.
4. Aggiungi la zona e configura i record prima di puntare il dominio. Imposta A, AAAA, MX, TXT e CAA nel pannello del nuovo provider per primi. Poi cambia i nameserver presso il registrar. Questo evita una finestra di propagazione che farebbe trapelare gli utenti verso il vecchio provider.
5. Abilita DNSSEC. Genera il record DS presso l'host e pubblicalo tramite il registrar. DNSSEC valida che la risposta ricevuta dai tuoi visitatori provenga davvero dalla tua zona, neutralizzando il più comune attacco attivo contro la privacy basata su DNS.
6. Imposta TTL realistici. La scelta più attenta alla privacy sono TTL brevi (300-900 secondi) così da poter ruotare velocemente se un provider diventa ostile, bilanciato con il carico che ciò impone agli autoritativi. Cinque minuti è un default ragionevole.
7. Documenta il tuo percorso di recupero. Se il provider usa un modello di login solo con token, conserva il token in due posti: un password manager cifrato e un backup offline. Il recupero account non esiste per design.
8. Paga in anticipo almeno due cicli di rinnovo. La causa più comune di fallimento di un DNS privacy è dimenticare che la casella alias è scaduta e perdere gli avvisi di rinnovo. Il credito prepagato elimina la dipendenza.

Un Esempio Reale: una Libreria che Accetta Monero

Pensa a una piccola libreria indipendente in Italia che vuole accettare Monero per ordini spediti a livello internazionale. Il suo modello di minaccia non è "avversario di livello statale" — è "fornitore di pagamento o autorità locale che decide che il commercio in crypto è sospetto e fa pressione sul registrar perché sospenda il dominio". Lo stack in pratica è così: dominio registrato tramite Njalla (così il registrant ufficiale è l'entità schermo di Njalla), DNS ospitato presso 1984 in Islanda (così la zona opera sotto legge islandese), contenuti web su un VPS BuyVM in Lussemburgo pagato in Monero, e lo swap dal Bitcoin ricevuto dai clienti verso Monero gestito tramite MoneroSwapper senza alcun account.

Se l'autorità locale invia una lettera di rimozione, atterra a Njalla, che nei quadri giuridici nordici e di Nevis ignora qualsiasi cosa al di sotto di un ordine giudiziario correttamente notificato. Se la richiesta sale all'host DNS, raggiungono una società islandese il cui transparency report rende chiaro che le semplici richieste amministrative non muovono la zona. Se raggiungono il provider VPS, il peggio che può accadere è il sequestro del server — ma il dominio e il DNS continuano a risolvere, permettendo al negozio di spostare l'infrastruttura in una notte. Nessun singolo punto detiene informazioni sufficienti a compromettere l'operatore.

Costo: circa 90 dollari l'anno per lo strato DNS (Njalla + 1984), più il VPS, più qualche dollaro di commissioni di transazione attraverso MoneroSwapper. L'architettura di privacy è una frazione minuscola del costo operativo totale, che è esattamente il punto — l'infrastruttura di privacy deve essere abbastanza economica da non lasciare scuse per saltarla.

Domande Frequenti

Il DNS hosting no-KYC è legale in Italia?

Sì, in ogni giurisdizione di cui siamo a conoscenza, Italia inclusa. Non esiste una legge generale che obbliga gli host DNS a verificare l'identità del cliente. La pressione legale passa attraverso i requisiti del registrar (dove alcuni TLD impongono dati WHOIS verificati) e gli intermediari di pagamento (dove exchange e processor affrontano regole KYC sotto la supervisione di OAM, Banca d'Italia e Garante per la Protezione dei Dati Personali). Un provider che non raccoglie identità in fase di iscrizione non viola alcuna legge rifiutandosi di chiederla, anche se può subire pressione commerciale dai partner di pagamento — il che è esattamente il motivo per cui l'accettazione di Monero è strutturalmente importante.

Posso gestire un sito commerciale su DNS no-KYC?

Sì. Nessuno dei provider della nostra shortlist proibisce l'uso commerciale. La domanda rilevante non è "è permesso" ma "il resto del tuo stack di business lo tollera". Se accetti pagamenti con carta, il tuo processor avrà bisogno di un'identità aziendale verificata da qualche parte, e questo spesso ti rispinge in una postura KYC. Se accetti Monero — tramite fatturazione self-hosted, BTCPay Server, o uno strumento di swap come MoneroSwapper per i clienti che vogliono pagare in Bitcoin e farlo arrivare come XMR nel tuo wallet — lo stack no-KYC funziona end-to-end.

DNSSEC compromette la privacy?

Può farlo, ma il compromesso generalmente vale. DNSSEC pubblica record firmati che provano che la risposta è arrivata dalla tua zona, prevenendo gli attacchi attivi in cui un resolver ostile inietta risposte false per deanonimizzarti. La preoccupazione per la privacy è che le firme stesse possono far trapelare informazioni su quali sottodomini esistono (tramite NSEC walking). Usa NSEC3 con opt-out, che la maggior parte dei provider sopra elencati offre per default, e otterrai autenticazione senza enumerazione.

Che differenza c'è tra DNS no-KYC e un resolver privacy come Quad9 o NextDNS?

Risolvono problemi opposti. I resolver privacy servono a nascondere le query che tu, come utente, fai al tuo ISP e all'operatore del resolver. Il DNS hosting no-KYC serve a nascondere l'identità dell'operatore di un dominio agli occhi di chi sta dal lato autoritativo. Una configurazione attenta alla privacy usa entrambi: risoluzione DNS cifrata sul client (DoH o DoT) durante la navigazione, e hosting DNS anonimo sul server quando pubblichi.

Cosa succede se il mio provider DNS riceve una richiesta legale?

Dipende dalla giurisdizione e dalla policy del provider. I noti provider islandesi e svedesi pubblicano transparency report e hanno una storia documentata di rifiuto delle richieste che non raggiungono la soglia legale locale (tipicamente un ordine di un tribunale con giurisdizione su di loro). I provider con sede negli USA o nei grandi Stati membri UE sono più inclini a rispondere a un decreto di esibizione. Ciò che possono consegnare, però, è limitato a ciò che hanno raccolto — se l'account è stato aperto con un'email alias e pagato in Monero, il set di dati è genuinamente esiguo.

Posso migrare la mia zona se un provider diventa ostile?

Sì, e dovresti pianificarlo fin dal primo giorno. Mantieni un file di zona esportato (formato BIND) in un backup offline, aggiornato ogni volta che fai modifiche. Usa TTL brevi così un cambio di nameserver si propaga in minuti e non in ore. Mantieni un secondo account presso un provider diverso in una giurisdizione diversa con una zona minima già pronta. La migrazione si riduce quindi a importare la zona e aggiornare i record NS presso il registrar.

Conclusione

Il DNS hosting no-KYC nel 2026 è una scelta matura, economica e operativamente solida — non una scelta di nicchia. I provider sopra elencati dimostrano che una postura di privacy seria è compatibile con solidi fondamentali tecnici come DNSSEC, anycast e tipi di record moderni. L'albero decisionale è semplice: scegli il riferimento della privacy (Njalla) se puoi permetterlo e vuoi la separazione più pulita dal registrant; scegli un provider dal "fossato costituzionale" (1984, FlokiNET, OrangeWebsite) per contenuti giornalistici o controversi dove la giurisdizione conta di più; scegli un provider economico (IncogNET, BuyVM) per proprietà a basso rischio; scegli un servizio minimalista basato su token per esperimenti a breve termine.

Qualunque cosa tu scelga, finanzia la relazione con Monero invece di trascinarci dentro la contaminazione KYC di un wallet hosted o di un exchange. Se attualmente detieni Bitcoin, USDT o altri asset e devi convertirli in XMR senza creare un account da nessuna parte, esegui lo swap tramite MoneroSwapper e fai consegnare l'output direttamente a un wallet che controlli tu. L'host DNS non vedrà nulla a parte un pagamento, la tua identità resta fuori da ogni database, e il resto del tuo stack eredita per costruzione la stessa proprietà.