Fuga di dati WebRTC: come rivela il tuo vero indirizzo IP
La tua VPN è attiva. Il nodo di uscita indica che ti trovi a Zurigo. Il tuo portafoglio sembra anonimo. Eppure, una singola funzionalità integrata nel tuo browser rivela silenziosamente a un sito web il tuo vero indirizzo IP , quello associato alla tua abitazione e al tuo nome. Questa funzionalità è WebRTC, e la falla che crea viene definita "perdita WebRTC".
Per la maggior parte delle persone, si tratta di un fastidio legato alla privacy. Per chiunque possieda criptovalute, è il primo anello di una catena che porta uno sconosciuto a sapere a quale abitazione appartiene ciascun portafoglio. Questa guida illustra il resto della catena: cos'è una perdita WebRTC, come elude una VPN, come rilevarla e come bloccarla in ogni browser. E perché assume un'importanza ancora maggiore nel momento in cui il browser accede a un portafoglio.
Cos'è una perdita di memoria WebRTC e perché si verifica
WebRTC sta per Web Real-Time Communication. In parole semplici, è l'infrastruttura che permette ai browser di effettuare videochiamate, chat vocali e trasferimenti di file senza bisogno di plugin, ed è integrata in tutti i principali browser dal 2011 circa. Ecco il punto critico: per connettere direttamente due persone, ciascuna deve conoscere l'indirizzo IP dell'altra. Non si tratta di un bug, ma del processo stesso.
Il problema è che qualsiasi sito web può innescarlo. Una pagina apre una connessione WebRTC in background. Legge gli indirizzi IP forniti dal browser. Nessuna richiesta di autorizzazione. Nessun segno visibile. Fatelo dietro una VPN, vedrete comunque comparire il vostro vero indirizzo IP e avrete una perdita di dati WebRTC. Nulla di tutto ciò è nuovo. Lo sviluppatore Daniel Roesler ha pubblicato una prova di concetto funzionante nel gennaio 2015, riuscendo a estrarre direttamente gli IP reali dai browser degli utenti VPN. Dieci anni dopo, il meccanismo è rimasto pressoché invariato.
Ciò che rende questa falla insidiosa è la sua silenziosità. Nessun pop-up. Nessuna richiesta di autorizzazione. Nulla nella barra degli indirizzi. La richiesta non compare mai nel registro di rete che una persona normale potrebbe pensare di controllare, e i blocchi pubblicitari la lasciano passare, perché al browser appare come una normale configurazione WebRTC, non come un tracker. Quindi puoi usare una VPN a pagamento, un browser pulito e un blocco pubblicitario contemporaneamente, e comunque fornire il tuo vero indirizzo alla prima pagina che te lo chiede. Invisibile e di routine: ecco perché questa falla è sopravvissuta per dieci anni.
Come funziona la perdita di dati: STUN, NAT e il tuo indirizzo IP
Per capire perché una VPN non ti protegge automaticamente da una perdita di dati WebRTC, è utile vedere cosa fa effettivamente il browser "dietro le quinte".
STUN e ICE, il meccanismo
La maggior parte dei dispositivi si trova dietro un router che esegue il NAT (Network Address Translation), quindi il computer non conosce il proprio indirizzo IP pubblico. Per trovarlo, WebRTC utilizza un server ausiliario chiamato server STUN. Il browser pone al server STUN una semplice domanda: "Da dove ti trovi, da quale indirizzo vedi che provengo?". Il server risponde con il tuo IP pubblico. WebRTC raccoglie diverse di queste risposte, chiamate candidati ICE, e le elenca in modo che un peer possa scegliere un percorso. Un sito web di spionaggio si limita a leggere quell'elenco. Fine dei giochi.
Perché è importante? Perché l'intero scambio STUN avviene tramite JavaScript, che può essere eseguito da qualsiasi pagina. Non viene visualizzata alcuna finestra di dialogo, come accade per la fotocamera o la posizione. Lo script apre una connessione peer. Recupera i candidati ICE prodotti dal browser. Legge gli indirizzi dall'elenco. Tutto in una frazione di secondo, e il browser non ha riscontrato alcun problema. Ha semplicemente svolto il compito per cui WebRTC è stato progettato.
IP pubblico contro IP locale
WebRTC può fornire due indirizzi diversi, e ognuno di essi rivela informazioni diverse. Il tuo indirizzo IP pubblico indica approssimativamente la tua posizione e il tuo provider Internet. Il tuo indirizzo IP locale, ad esempio 192.168.1.7, mappa semplicemente la rete all'interno della tua casa o del tuo ufficio. Nessuno dei due dovrebbe finire nelle mani di un sito web qualsiasi. Ma è l'indirizzo pubblico che dovrebbe preoccuparti, perché rimanda al mondo reale: una città, un provider, e infine una porta.
Perché una VPN non lo impedisce
Una VPN reindirizza il tuo traffico normale. Il problema è che una richiesta STUN può sfuggire a questo tunnel, raggiungere direttamente il server STUN e tornare indietro con il tuo vero indirizzo IP pubblico. I browser hanno parzialmente risolto questo problema nel 2019 e nel 2020, sostituendo l'IP locale con un nome host mDNS criptato. Utile, ma nasconde solo l'IP locale. L'IP pubblico della richiesta STUN può comunque trapelare. Peggio ancora, la mascheratura spesso si disattiva nel momento in cui un sito richiede l'autorizzazione per l'utilizzo del microfono o della videocamera. Quindi la falla persiste proprio dove la maggior parte delle persone si sente al sicuro.
Come eseguire correttamente un test di perdita WebRTC
Il controllo richiede circa un minuto e non devi fidarti ciecamente di nessuno.
Iniziate disattivando la VPN e annotate l'indirizzo IP pubblico visualizzato dalla vostra connessione. Ora attivate la VPN e aprite una pagina di test per le perdite WebRTC, ad esempio browserleaks.com/webrtc o ipleak.net. Confrontate i risultati. Se la VPN funziona correttamente e non si verificano perdite di IP, dovreste visualizzare solo l'indirizzo IP della VPN. Se questo numero, ottenuto al primo passaggio, compare in qualsiasi punto della pagina, avete individuato la perdita di IP. Per un quadro più completo di tutto ciò che il vostro browser espone, la stessa logica si applica alla serie più ampia di controlli descritti nella nostra guida a BrowserLeaks.
Ci sono un paio di cose che possono trarre in inganno quando si cerca di individuare perdite WebRTC. Potreste vedere un IP locale che sembra una stringa illeggibile che termina con .local. Niente panico: si tratta del mascheramento mDNS che fa il suo lavoro, non di una perdita. L'indirizzo IP che conta è quello pubblico. Eseguite il test esattamente nello stesso browser e profilo che utilizzate per qualsiasi informazione sensibile. Le impostazioni e le estensioni non vengono mantenute tra browser diversi. E ripetete il test dopo ogni aggiornamento del browser, poiché una patch potrebbe ripristinare silenziosamente queste impostazioni.
Quali browser rivelano il tuo indirizzo IP e quali no.
Non tutti i browser gestiscono una perdita di dati WebRTC allo stesso modo, e queste differenze sono importanti a causa della segmentazione del mercato.
| Sito web | rischio di fuga di dati WebRTC | Protezione integrata |
|---|---|---|
| Cromo | Alto | Non nativo; necessita di un'estensione |
| Firefox | Medio-alto | Di default rivela l'indirizzo IP pubblico, ma è facile disabilitarlo. |
| Coraggioso | Basso | Protezione tramite impronta digitale e WebRTC attiva per impostazione predefinita |
| Tor Browser | Nessuno | RTCPeerConnection completamente disabilitato |
Chrome è al centro del problema, semplicemente per via della sua diffusione. A maggio 2026 deteneva circa il 70% del mercato globale dei browser e non offre alcuna opzione nativa per impedire a WebRTC di rivelare il tuo indirizzo IP. Firefox, con una quota di mercato di circa il 2%, divulga anch'esso l'IP pubblico per impostazione predefinita, sebbene almeno permetta di disattivare questa funzione con una singola impostazione. Brave rappresenta un'eccezione positiva. A settembre 2025 ha superato i 101 milioni di utenti attivi mensili ed è l'unico browser Chromium di largo consumo che attiva la protezione WebRTC di default. E Tor? Tor aggira completamente il problema disabilitando la connessione peer-to-peer, ed è proprio per questo che i ricercatori nel campo della privacy continuano a indirizzare i nuovi utenti verso questa soluzione.
Come disabilitare WebRTC e prevenire le perdite di dati
Ci sono due modi per disabilitarlo. Bloccare completamente WebRTC oppure limitarne l'accesso in modo che utilizzi solo l'indirizzo IP da te scelto. La scelta dipende dal fatto che tu effettui o meno videochiamate tramite il browser. Ecco la spiegazione pratica, browser per browser.
| Sito web | Come disabilitare o limitare | Effetto |
|---|---|---|
| Firefox | about:config, imposta media.peerconnection.enabled su false | Disabilitazione completa |
| Cromo | Installa WebRTC Network Limiter o WebRTC Control | Limita l'esposizione |
| Bordo | edge://flags, abilita "Anonimizzare gli IP locali" | Parziale |
| Safari | Menu di sviluppo, Funzionalità sperimentali, limita WebRTC | Parziale |
Cromo e bordo
Chrome è il più complicato. Non c'è un interruttore nascosto nei menu per disattivare WebRTC, quindi per bloccarlo è necessaria un'estensione. Google ne pubblica una propria, WebRTC Network Limiter, che blocca gli indirizzi a rischio senza interrompere le chiamate. Preferite una soluzione più drastica? WebRTC Control permette di disattivarlo con un clic. Microsoft Edge utilizza lo stesso motore Chromium, quindi le estensioni funzionano anche lì, ma offre anche una comoda opzione su edge://flags che anonimizza il vostro IP locale.
Firefox
Firefox semplifica le cose. Digita about:config nella barra degli indirizzi, ignora l'avviso, cerca media.peerconnection.enabled e impostalo su false. Tutto qui. WebRTC è disattivato. L'unico inconveniente: le videochiamate e le chiamate vocali nel browser si disattivano finché non lo riattivi.
Safari e Opera
Safari, per impostazione predefinita, adotta un approccio più prudente, e puoi ulteriormente vincolare WebRTC dal menu Sviluppo, nella sezione Funzionalità sperimentali. Opera, basato su Chromium, si avvale quindi delle stesse estensioni che funzionano in Chrome.
Utilizzo di una VPN e il compromesso
Poi c'è la soluzione VPN. Se si utilizza una VPN con una vera protezione contro le fughe di IP, il traffico WebRTC viene instradato attraverso un tunnel dedicato, in modo che il server STUN veda sempre e solo l'indirizzo IP della VPN. È l'opzione più pulita, perché le chiamate continuano a funzionare e un server proxy affidabile può prevenire le fughe di IP allo stesso modo. Il punto cruciale è la fiducia. Non tutte le VPN lo fanno. Quando VoidSec ha testato 70 provider VPN nel 2018 , 16 di essi lasciavano ancora trapelare il vero IP tramite WebRTC. Circa il 23%. I provider migliori hanno risolto il problema da allora, ma la lezione rimane: testare, non dare per scontato. Volete la soluzione definitiva? Disabilitate completamente WebRTC. Ricordate però che questo comprometterà qualsiasi sistema che ne dipenda.
Perché una fuga di dati da WebRTC minaccia i detentori di criptovalute
Per un utente di criptovalute, un indirizzo IP esposto non è una nota a margine sulla privacy. È il punto di congiunzione tra la sua vita online e quella fisica. E ultimamente, questo punto di congiunzione è diventato pericoloso.
La catena di uccisione IP-to-wallet
Gli indirizzi blockchain sono pseudonimi, non anonimi. Ogni transazione che hai mai effettuato è visibile pubblicamente. L'unica cosa che impedisce di risalire alla tua identità è l'etichetta mancante: un nome, una posizione. Un indirizzo IP è proprio quell'etichetta. E i ricercatori hanno dimostrato la fattibilità di questo collegamento oltre dieci anni fa. In uno studio del 2014 , Alexandre Biryukov e colleghi hanno utilizzato alcuni nodi strategicamente posizionati per collegare gli pseudonimi Bitcoin agli indirizzi IP che per primi hanno trasmesso le transazioni. Una falla nel protocollo WebRTC offre a un malintenzionato la stessa connessione gratuitamente. Apri un block explorer o un DEX mentre il tuo vero IP è esposto, e una singola pagina può collegare il portafoglio che stai monitorando alla tua rete domestica e al tuo provider.
Il pericolo aumenta perché la fuga di dati non deve necessariamente cogliervi nel bel mezzo di una transazione. È sufficiente che si verifichi una sola volta, su una qualsiasi pagina che esegue uno script dannoso, mentre state controllando il saldo o navigando su un marketplace. Dopodiché? L'indirizzo IP viene confrontato con i dati del provider di servizi Internet, i profili dei data broker, una vecchia violazione. Prima o poi, un nome viene identificato. Il portafoglio era pubblico fin dall'inizio. La fuga di dati ha semplicemente fornito l'etichetta.
Dalla de-anonimizzazione a un colpo alla porta
Un tempo era una preoccupazione astratta. Non più. I cosiddetti attacchi "wrench", in cui i possessori di criptovalute vengono derubati o rapiti per impossessarsi delle loro chiavi private, sono aumentati di circa il 75% nel 2025, con 72 incidenti confermati e almeno 41 milioni di dollari sottratti, secondo i dati del settore . Lo schema rimane pressoché invariato: gli aggressori associano la ricchezza visibile sulla blockchain a un'identità offline per far apparire una persona reale a un indirizzo reale. Il tuo indirizzo IP è uno dei modi più efficaci per individuare la seconda parte.
Ribaltate la prospettiva e pensate come un hacker. Possono già vedere quali portafogli contengono denaro reale; questa informazione è pubblica. Ciò che manca loro è la mappa che collega un indirizzo IP a una porta d'ingresso. Un indirizzo IP restringe la ricerca dall'intera internet a una città, a un provider di servizi internet, spesso a un singolo quartiere. Il resto è semplice lavoro di ricerca. Per un utente medio, una fuga di dati di questo tipo è un dettaglio trascurabile. Per chi detiene milioni di dollari on-chain, rappresenta il confine tra uno pseudonimo e un bersaglio designato. È proprio questo divario che spiega perché gli utenti di criptovalute dovrebbero segnalare una fuga di dati WebRTC alla sezione sicurezza, non alla sezione privacy.
Il tuo indirizzo IP è un dato personale.
C'è anche un aspetto legale. Nel 2016, la Corte di Giustizia Europea ha stabilito, nel caso Breyer, che anche un indirizzo IP dinamico è da considerarsi un dato personale, a condizione che qualcuno possa ragionevolmente utilizzarlo per reidentificare l'utente. Seguendo questa logica, un sito che raccoglie silenziosamente il tuo IP tramite WebRTC sta elaborando dati personali senza consenso. Questo non risolve il problema, ma dimostra quanto seriamente le autorità di regolamentazione prendano in considerazione le informazioni che il tuo browser ci fornisce gratuitamente.
Chiudi la falla prima che si apra
Una perdita di dati WebRTC è silenziosa, non richiede autorizzazioni e una VPN da sola non ti proteggerà. Quindi, rafforza le tue difese. Scegli un browser che ti protegga di default o disattiva WebRTC dove non è previsto. Utilizza una VPN che superi effettivamente un test di sicurezza per nascondere il tuo IP. Ricontrolla dopo ogni aggiornamento. Per chiunque gestisca fondi, l'obiettivo è preciso e va detto chiaramente: impedire che si crei un collegamento tra il tuo portafoglio e il tuo IP, perché una volta creato, non è possibile eliminarlo. Quindi, quando è stata l'ultima volta che hai verificato quali informazioni vengono effettivamente divulgate dal tuo browser?
