Il tuo ISP vede ogni dominio che risolvi. Google raccoglie le tue query DNS per 18 mesi. Il DNS che usi di default, scelto dall’operatore telefonico, non è mai stato pensato per proteggerti: è pensato per funzionare, e basta. Cambiarlo richiede meno di due minuti, ma la differenza in termini di velocità, privacy e sicurezza è concreta. Questa guida confronta i cinque DNS privati più diffusi nel 2026: Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9, AdGuard DNS e NextDNS, con dati su velocità, politiche di logging e funzionalità di sicurezza.
I benchmark mostrano che Cloudflare risponde in media a 11,2ms globali e 9,8ms in Europa. Google segue a 12,4ms. Quad9 arriva a 14,1ms ma blocca i domini malevoli per default, senza configurazione aggiuntiva. AdGuard e NextDNS offrono filtri personalizzabili ma con latenze superiori. La scelta giusta dipende dal tuo profilo: velocità pura, massima privacy, o blocco attivo delle minacce.
Cos’è il DNS e perché la scelta del resolver influisce sulla tua privacy
Il DNS (Domain Name System) traduce i nomi di dominio leggibili, come shattered.io, in indirizzi IP numerici che i server usano per comunicare. Ogni volta che apri un sito, il tuo dispositivo esegue una query DNS, in genere verso il resolver dell’operatore telefonico. Questo processo avviene decine di volte al giorno, spesso in chiaro, senza cifratura.
Il problema non è tecnico: è economico. Gli ISP italiani come TIM, Vodafone e Fastweb usano di default il DNS di Google (8.8.8.8) o il proprio resolver interno. Entrambi raccolgono metadati sulle query per scopi che vanno dall’analisi del traffico alla profilazione pubblicitaria. Una query DNS non cifrata viaggia in chiaro sulla rete locale e verso il resolver: chiunque osservi il traffico può vedere quali siti visiti, anche se la connessione al sito stesso è protetta da HTTPS.
Tre sono i protocolli che proteggono il DNS. DNS over HTTPS (DoH) cifra le query dentro connessioni HTTPS sulla porta 443, rendendole indistinguibili dal traffico web ordinario. DNS over TLS (DoT) cifra le query su una connessione TLS dedicata sulla porta 853, più facilmente identificabile e bloccabile da firewall aziendali o ISP. DNSSEC non cifra le query ma garantisce l’integrità delle risposte, impedendo attacchi di tipo DNS spoofing o cache poisoning. I cinque resolver in questa guida supportano tutti e tre, con alcune eccezioni che analizziamo nelle sezioni dedicate.
Secondo i dati di Cloudflare Radar per il 2025, circa il 38% del traffico DNS italiano utilizza ancora il resolver dell’ISP. Il 29% usa Google DNS, il 18% usa Cloudflare, e il restante 15% si distribuisce tra Quad9, OpenDNS e altri resolver minori. Lo shift verso i resolver privati è in crescita: nel 2024 Cloudflare era ferma al 13% in Italia. Il cambio è lento ma costante, trainato dalla crescente consapevolezza sulle implicazioni del tracciamento DNS.
Cloudflare 1.1.1.1: il DNS più veloce al mondo con privacy certificata
Cloudflare ha lanciato 1.1.1.1 il 1 aprile 2018, in collaborazione con APNIC, e da allora è diventato il resolver pubblico più veloce al mondo secondo i benchmark di DNSperf. A marzo 2026, il tempo mediano di risposta globale è 11,2ms, con una media europea di 9,8ms. Il vantaggio deriva dall’infrastruttura Anycast di Cloudflare: oltre 300 data center in tutto il mondo, inclusi punti di presenza a Milano, Roma e Francoforte, garantiscono che le query vengano risolte dal nodo geograficamente più vicino all’utente.
Il resolver base (1.1.1.1 / 1.0.0.1) non filtra contenuti e non blocca domini. Per chi vuole protezione aggiuntiva, Cloudflare offre due varianti. 1.1.1.2 (secondario 1.0.0.2) blocca i domini classificati come malevoli dalla threat intelligence di Cloudflare. 1.1.1.3 (secondario 1.0.0.3) aggiunge il blocco dei contenuti per adulti. Entrambe le varianti funzionano con DoH, DoT e il client WARP, e sono completamente gratuite.
Privacy di Cloudflare: audit Cure53 e 24 ore di retention
La politica di privacy di Cloudflare per 1.1.1.1 è tra le più restrittive disponibili nel settore: nessun dato di query viene conservato, mentre gli indirizzi IP vengono trattenuti per 24 ore esclusivamente per prevenzione degli abusi, poi eliminati definitivamente. Cloudflare non vende dati a terzi e non usa le query DNS per targeting pubblicitario.
A rafforzare queste dichiarazioni c’è un audit indipendente di Cure53, completato nel 2025, che ha verificato i sistemi di Cloudflare e confermato il rispetto delle politiche dichiarate. Cure53 è la stessa società di sicurezza che ha verificato i sistemi di ProtonMail e Mullvad VPN, ed è considerata uno dei riferimenti per gli audit di privacy nel settore. La pubblicazione dell’audit distingue Cloudflare da Google, che non ha mai reso pubblico un audit di terze parti equivalente per il proprio DNS pubblico.
Cloudflare supporta anche EDNS Client Subnet (ECS), una funzione che invia una porzione dell’IP del client ai server authoritative per ottimizzare la geolocalizzazione dei CDN. Questo migliora le prestazioni per servizi come Netflix o Spotify, ma riduce leggermente la privacy perché i server authoritative ricevono informazioni parziali sull’utente. ECS è configurabile e può essere disabilitato specificando l’endpoint DoH appropriato nelle impostazioni avanzate del resolver.
WARP e WARP+: quando il DNS diventa VPN
Il servizio WARP di Cloudflare, disponibile gratuitamente per iOS, Android e desktop, aggiunge un layer VPN basato su WireGuard che cifra tutto il traffico, non solo le query DNS. La versione WARP gratuita usa il resolver 1.1.1.1 con tunneling WireGuard, senza garanzie aggiuntive di velocità. La versione WARP+ a pagamento (circa 4,99 euro al mese) migliora le prestazioni instradando il traffico attraverso la rete Argo di Cloudflare, che ottimizza il percorso dei pacchetti evitando i colli di bottiglia del routing internet standard.
Per chi vuole solo il DNS privato senza VPN, il resolver 1.1.1.1 configurato manualmente sul dispositivo è sufficiente e completamente gratuito. WARP aggiunge valore solo quando si opera su reti Wi-Fi non fidate (aeroporti, hotel, bar) dove si vuole proteggere l’intero traffico, non solo le query DNS.
Google 8.8.8.8: affidabile e ubiquo, ma non progettato per la privacy
Google Public DNS (8.8.8.8 e 8.8.4.4) è il resolver pubblico più usato al mondo, con circa 150 milioni di utenti giornalieri. La ragione è storica: Google lo ha lanciato nel 2009 come alternativa agli ISP lenti e inaffidabili dell’epoca, e da allora si è integrato nei default di router economici, software antivirus che cambiano il DNS all’installazione, e dispositivi Android senza configurazione personalizzata. La sua capillarità è un vantaggio in termini di uptime e affidabilità, con un SLA documentato superiore al 99,99%.
Il tempo di risposta globale mediano è 12,4ms, con una media europea di 10,5ms, leggermente superiore a Cloudflare ma notevolmente più rapido della maggior parte dei resolver ISP, che in Italia raramente scendono sotto i 30-50ms. Google supporta DoH e DoT, ma entrambi richiedono configurazione manuale lato client: non sono abilitati di default su nessun sistema operativo tramite il resolver Google, a differenza di WARP di Cloudflare che li abilita automaticamente.
Il punto critico di Google 8.8.8.8 è la privacy. Secondo l’analisi della Electronic Frontier Foundation (EFF) e la documentazione di Google stessa, il resolver registra le query DNS, gli indirizzi IP dei client e identificatori del dispositivo per un periodo fino a 18 mesi. Questi dati vengono usati per “migliorare i servizi” di Google, il che comprende le divisioni pubblicitarie. Google usa anche i dati aggregati del DNS per alimentare prodotti come Google Safe Browsing e Google Analytics, creando sinergie tra la raccolta DNS e il profilo utente complessivo di Google.
A differenza di Cloudflare e Quad9, Google non ha mai pubblicato un audit indipendente per verificare le proprie dichiarazioni sulla gestione dei dati DNS. Google DNS non filtra malware, phishing o contenuti per adulti per default. Supporta DNSSEC e QNAME Minimization, ma l’assenza di blocchi integrati e la politica di logging estesa lo rendono una scelta adatta solo quando la compatibilità e la velocità sono prioritarie rispetto alla privacy, come in ambienti di sviluppo o test dove si hanno policy di sicurezza proprie.
Quad9 9.9.9.9: sicurezza come priorità e giurisdizione svizzera
Quad9 è un progetto no-profit con sede in Svizzera, fondato nel 2016 da IBM, PCH e Global Cyber Alliance. Il resolver 9.9.9.9 (secondario: 149.112.112.112) blocca i domini malevoli per default attingendo a oltre 25 feed di threat intelligence da partner come IBM X-Force, Malwarebytes e Proofpoint. Ogni giorno vengono bloccate decine di milioni di query verso domini identificati come phishing, C2 di malware o ransomware, tutto in modo trasparente per l’utente finale.
Il tempo di risposta globale mediano è 14,1ms, con una media europea di 11,9ms. Il divario con Cloudflare è di 2,1ms in Europa, impercettibile nella navigazione quotidiana. La differenza diventa rilevante solo in applicazioni ad altissima frequenza di lookup, come crawler web, bot di monitoraggio o servizi con migliaia di query al secondo. Per l’utente domestico o la PMI, Quad9 non fa notare la differenza di latenza rispetto a Cloudflare.
La politica di privacy di Quad9 è esplicita e verificata: nessuna query DNS viene registrata. Gli indirizzi IP vengono trattenuti per 24 ore a scopo di sicurezza e poi eliminati. Un audit indipendente del 2024 ha confermato l’assenza di logging delle query. Il fatto cruciale per gli utenti europei è la giurisdizione: essendo un’organizzazione no-profit svizzera, Quad9 non è soggetta al CLOUD Act americano che potrebbe obbligare aziende statunitensi come Cloudflare o Google a condividere dati con le autorità americane. Questo lo rende la scelta preferenziale per chi elabora dati sensibili soggetti al GDPR o a normative di settore come la Direttiva NIS2.
Per chi vuole la risoluzione senza filtri (ad esempio sviluppatori che devono testare domini di staging non ancora inseriti in whitelist), Quad9 offre una variante non filtrante al resolver 9.9.9.10 / 149.112.112.10. Tutte le varianti supportano DoH, DoT, DNS over QUIC (DoQ) e DNSSEC.
AdGuard DNS e NextDNS: blocco annunci e dashboard di controllo
AdGuard DNS (94.140.14.14 / 94.140.15.15) è prodotto da AdGuard Ltd., azienda con sede a Cipro, nota per il suo ad-blocker. Il resolver gratuito blocca annunci, tracker e malware usando le liste curate di AdGuard, aggiornate ogni poche ore. A differenza di Quad9, che blocca solo i domini malevoli, AdGuard rimuove anche i tracker pubblicitari e le richieste ai server di telemetria, rendendo la navigazione più privata anche oltre la semplice protezione malware.
Il tempo di risposta globale mediano è 18,3ms (Europa: 15,2ms), il più alto del gruppo. La latenza aggiuntiva rispetto a Cloudflare (5,4ms in Europa) è percettibile in scenari con molti lookup consecutivi, ma rimane ampiamente superiore al resolver ISP medio italiano. Il resolver gratuito registra query e IP per 7 giorni. La versione Personal (2,99-4,99 euro al mese) offre dashboard con statistiche dettagliate, filtri personalizzati e blocco per categorie. La versione Family aggiunge il blocco dei siti per adulti con configurazione per ogni dispositivo.
AdGuard ha passato un audit Cure53 nel 2024 per le proprie politiche di privacy e ad-blocking. L’azienda opera sotto la legislazione cipriota (UE), è soggetta al GDPR, e non è esposta al CLOUD Act americano. Il modello di business basato sugli abbonamenti premium crea un incentivo strutturale ad allineare gli interessi dell’azienda con la privacy degli utenti, a differenza di Google il cui fatturato dipende dalla pubblicità.
NextDNS (indirizzo variabile, configurato tramite account) è il resolver più flessibile del gruppo. Dopo la registrazione gratuita, l’utente ottiene un resolver DNS personalizzato con una dashboard web completa: può abilitare decine di liste di blocco (EasyList, uBlock Origin, Steven Black, OISD, AdGuard DNS Filter, ecc.), impostare parental control per categorie, vedere statistiche in tempo reale e configurare whitelist ed eccezioni per singolo dominio o applicazione. La dashboard mostra esattamente quali query vengono bloccate e perché, con grafici temporali e breakdown per dispositivo.
Il piano gratuito copre 1 milione di query al mese, sufficiente per un singolo dispositivo ma limitante per un router domestico che aggrega il traffico di 5-10 dispositivi contemporaneamente. Un’analisi tipica mostra che una famiglia di 4 persone con smartphone, tablet, smart TV e laptop genera circa 2-3 milioni di query al mese. Il piano Pro costa 1,99 euro al mese (o 19,90 euro all’anno) e rimuove il limite delle query, con opzione per disabilitare completamente il logging. NextDNS è una società francese, completamente soggetta al GDPR, con audit SEI completato nel 2025.
Benchmark di velocità 2026: tabella completa con dati europei e italiani
I tempi di risposta variano in base alla posizione geografica, all’ISP e al tipo di query (cached vs uncached). I dati seguenti provengono da test aggregati di DNSperf e strumenti di benchmarking DNS pubblici aggiornati a marzo 2026, con focus sull’Europa occidentale.
| Provider DNS | IP Primario | IP Secondario | Latenza Globale | Latenza Europa | DoH | DoT | DoQ | Uptime 2025 |
|---|---|---|---|---|---|---|---|---|
| Cloudflare 1.1.1.1 | 1.1.1.1 | 1.0.0.1 | 11,2ms | 9,8ms | Sì | Sì | Sì | 99,99% |
| Google 8.8.8.8 | 8.8.8.8 | 8.8.4.4 | 12,4ms | 10,5ms | Sì | Sì | No | 99,99% |
| Quad9 9.9.9.9 | 9.9.9.9 | 149.112.112.112 | 14,1ms | 11,9ms | Sì | Sì | Sì | 99,95% |
| NextDNS | Variabile (account) | Variabile | 16,7ms | 14,3ms | Sì | Sì | Sì | 99,90% |
| AdGuard DNS | 94.140.14.14 | 94.140.15.15 | 18,3ms | 15,2ms | Sì | Sì | Sì | 99,90% |
| ISP tipico Italia | Variabile | Variabile | 35-60ms | 35-60ms | No | No | No | <99,50% |
Il divario più importante non è tra Cloudflare e Quad9 (2,1ms), ma tra qualsiasi resolver pubblico e il DNS dell’ISP italiano medio (30-50ms di vantaggio). Per la maggior parte degli utenti, passare dal resolver dell’operatore a qualsiasi resolver in questa lista produce un miglioramento percepibile nel tempo di caricamento delle pagine, soprattutto per siti che caricano risorse da molti domini diversi.
Un esempio concreto: un sito di news che carica risorse da 15 domini differenti richiede 15 lookup DNS. Con il resolver ISP a 50ms, questi lookup sommano fino a 750ms di attesa prima che il primo byte venga scaricato. Con Cloudflare a 10ms, la stessa operazione richiede 150ms. Il guadagno reale è ridotto dalle connessioni parallele del browser, ma il beneficio sulla velocità percepita del primo caricamento rimane misurabile, soprattutto su connessioni mobili.
Privacy a confronto: chi raccoglie i tuoi dati e per quanto tempo
La privacy di un resolver DNS si misura su tre dimensioni: cosa viene registrato, per quanto tempo, e chi può accedervi. La tabella seguente riassume le politiche dichiarate e verificate dai cinque provider, con attenzione alla giurisdizione legale rilevante per gli utenti italiani.
| Provider | Query DNS registrate? | IP utente registrato? | Retention | Audit di terze parti | Giurisdizione | Soggetto al CLOUD Act USA |
|---|---|---|---|---|---|---|
| Cloudflare 1.1.1.1 | No | Sì, 24 ore | 24 ore (solo IP) | Cure53, 2025 | USA | Sì |
| Google 8.8.8.8 | Sì | Sì | Fino a 18 mesi | Nessuno pubblico | USA | Sì |
| Quad9 9.9.9.9 | No | Sì, 24 ore | 24 ore (solo IP) | Audit indip., 2024 | Svizzera (no-profit) | No |
| AdGuard DNS | Sì (piano free) | Sì | 7 giorni (free) | Cure53, 2024 | Cipro (UE) | No |
| NextDNS | Sì (piano free) | Sì | 14 giorni (free); opt-out su paid | SEI, 2025 | Francia (UE) | No |
La distinzione tra “query registrate” e “IP registrati” è cruciale. Anche Cloudflare e Quad9 trattengono brevemente l’indirizzo IP per prevenire attacchi DDoS al resolver stesso, ma senza associarlo al contenuto delle query. Google, invece, associa le query all’identità dell’utente attraverso meccanismi come i client ID di Android e cookie cross-dominio, costruendo un profilo navigazione dettagliato nel tempo che alimenta i sistemi di targeting pubblicitario.
L’aspetto del CLOUD Act è rilevante per i professionisti europei. Il Clarifying Lawful Overseas Use of Data Act statunitense (2018) consente alle autorità americane di richiedere alle aziende con sede negli USA (come Cloudflare e Google) i dati dei loro utenti, anche se fisicamente memorizzati in Europa. Quad9, come no-profit svizzero, non è soggetta a questa legislazione. NextDNS e AdGuard, operando sotto la legislazione UE, sono protetti dal GDPR che impedisce trasferimenti di dati a paesi terzi senza adeguate garanzie. Per professionisti legali, medici o giornalisti che trattano dati sensibili, questa distinzione può essere determinante nella scelta.
Sicurezza DNS: DNSSEC, DoH, DoT e blocco malware a confronto
La sicurezza DNS va oltre la semplice cifratura delle query. I vettori di attacco principali includono il DNS hijacking (manipolazione delle risposte per reindirizzare verso server malevoli), il DNS cache poisoning (inserimento di record falsi nella cache del resolver), e il DNS tunneling (uso del protocollo DNS per esfiltrare dati o bypassare firewall). I cinque resolver offrono livelli diversi di protezione contro questi vettori.
| Provider | DNSSEC | DoH | DoT | DoQ | Blocco Malware (default) | Blocco Annunci (default) | Blocco Contenuti Adulti |
|---|---|---|---|---|---|---|---|
| Cloudflare 1.1.1.1 | Sì | Sì | Sì | Sì | No (1.1.1.2: sì) | No | No (1.1.1.3: sì) |
| Google 8.8.8.8 | Sì | Sì | Sì | No | No | No | No |
| Quad9 9.9.9.9 | Sì | Sì | Sì | Sì | Sì (25+ feed) | No | No |
| AdGuard DNS | Sì | Sì | Sì | Sì | Sì | Sì | Sì (Family) |
| NextDNS | Sì | Sì | Sì | Sì | Configurabile | Configurabile | Configurabile |
DNSSEC firma crittograficamente le risposte DNS, consentendo al resolver di verificare che non siano state manomesse durante il transito. Tutti e cinque i provider lo supportano, ma la sua efficacia dipende anche dal fatto che il dominio di destinazione abbia abilitato DNSSEC lato server. Secondo APNIC, circa il 30-35% dei domini globali aveva DNSSEC configurato correttamente a inizio 2026, un numero in crescita ma ancora minoritario. I principali domini italiani (.it) hanno una percentuale di adozione DNSSEC inferiore alla media globale, con molti domini governativi e commerciali ancora senza firma.
DNS over QUIC (DoQ) è il protocollo più recente: cifra le query DNS su QUIC (il protocollo sottostante HTTP/3), offrendo una combinazione di bassa latenza e sicurezza superiore rispetto a DoT. Cloudflare, Quad9, AdGuard e NextDNS lo supportano già nel 2026. Google non ancora, con l’aggiornamento atteso nel corso dell’anno.
Il blocco malware di Quad9 è alimentato da oltre 25 feed di threat intelligence e blocca in media decine di milioni di query malevole al giorno a livello globale. La protezione è trasparente: non richiede installazione di software lato client, funziona su qualsiasi dispositivo collegato al resolver, inclusi dispositivi IoT che non possono eseguire antivirus, smart TV, stampanti di rete e qualsiasi altro device che esegue query DNS. Per una rete domestica o aziendale, Quad9 agisce come prima linea di difesa contro le minacce DNS prima che i pacchetti raggiungano il firewall perimetrale o l’endpoint.
Come configurare il DNS privato su Android, iOS, Windows e Linux
Configurare un resolver DNS privato richiede mediamente due minuti e non implica l’installazione di software aggiuntivo nella maggior parte dei casi. Le istruzioni seguenti coprono i sistemi operativi più diffusi in Italia nel 2026.
Android 9 e versioni successive: DNS Privato nativo senza app
Android 9 (Pie) ha introdotto il supporto nativo per DoT tramite la funzione “DNS Privato” nelle impostazioni di rete. Nessuna app aggiuntiva è richiesta e la configurazione si applica a tutte le connessioni di rete, Wi-Fi e dati mobili.
Impostazioni → Rete e Internet → DNS Privato → Modalità hostname personalizzato
Cloudflare: one.one.one.one
Google: dns.google
Quad9: dns.quad9.net
AdGuard: dns.adguard-dns.com
NextDNS: [subdomain].dns.nextdns.io (dall'account NextDNS personale)Dopo aver inserito l’hostname, Android verifica la connessione e mostra “Connesso” se il resolver risponde correttamente. La configurazione Android sovrascrive qualsiasi DNS fornito dal DHCP della rete Wi-Fi, il che significa che funziona anche su reti aziendali o hotspot pubblici che potrebbero usare DNS di controllo. Su Android 12+, la funzione è accessibile direttamente dalla ricerca nelle impostazioni digitando “DNS privato”.
Windows 11: DNS over HTTPS nelle impostazioni avanzate di rete
Windows 11 supporta DoH nativamente dalla build 25158. La configurazione si fa dalle impostazioni di rete per ogni singolo adattatore (Wi-Fi o Ethernet).
Impostazioni → Rete e Internet → Wi-Fi o Ethernet → Proprietà hardware
→ Assegnazione server DNS: Modifica
→ Preferito IPv4 DNS: 1.1.1.1
→ DNS over HTTPS (DoH): Attivo (automatico)
→ Alternativo IPv4 DNS: 1.0.0.1
→ DNS over HTTPS (DoH): Attivo (automatico)
→ SalvaWindows 11 riconosce automaticamente i resolver che supportano DoH quando si inseriscono gli IP di Cloudflare (1.1.1.1), Google (8.8.8.8) e Quad9 (9.9.9.9). Per AdGuard e NextDNS, il loro client app dedicato configura automaticamente DoH senza intervento manuale nel registro di sistema. In alternativa, su Windows 10 e 11 si può usare il software YogaDNS o Simple DNSCrypt per abilitare DoH con qualsiasi resolver.
Linux con systemd-resolved: DoT da riga di comando
# Modifica /etc/systemd/resolved.conf
[Resolve]
DNS=1.1.1.1#cloudflare-dns.com 1.0.0.1#cloudflare-dns.com
DNSSEC=yes
DNSOverTLS=yes
# Riavvia il servizio
sudo systemctl restart systemd-resolved
# Verifica la configurazione attiva
resolvectl status | grep -E "DNS Server|Current DNS|DNSSEC|DNS over TLS"Per router con OpenWRT, il pacchetto https-dns-proxy aggiunge supporto DoH a livello di rete, proteggendo tutti i dispositivi connessi al router senza configurazione individuale. Questa è la soluzione ideale per proteggere smart TV, console di gioco e dispositivi IoT che non supportano configurazione DNS manuale. Quad9 pubblica istruzioni specifiche per OpenWRT nella propria documentazione tecnica.
iOS 14 e successivi: profili di configurazione mobileconfig
iOS non espone un’interfaccia utente per DoH nelle impostazioni di sistema, ma supporta profili di configurazione in formato .mobileconfig. Cloudflare, Quad9 e NextDNS offrono profili scaricabili direttamente dai loro siti ufficiali. Dopo l’installazione (Impostazioni → Generali → VPN e gestione dispositivo → Scaricato profilo → Installa), il profilo applica DoH a livello di sistema per tutte le app, incluse quelle che non usano le API di rete standard.
5 scenari d’uso reali: quale DNS scegliere per ogni contesto
La scelta del resolver ottimale dipende dal profilo d’uso concreto. Questi cinque scenari coprono la maggior parte dei casi incontrati da utenti italiani nel 2026.
Scenario 1: Giornalista o avvocato con dati sensibili. Un professionista che gestisce fonti riservate o documentazione legale privilegiata ha bisogno di anonimato verificato e giurisdizione europea. La scelta ottimale è Quad9: no-profit svizzero fuori dalla giurisdizione USA, audit indipendente confermato, blocco malware attivo contro phishing e C2 di spyware. La latenza aggiuntiva di 2ms rispetto a Cloudflare è irrilevante rispetto ai vantaggi di conformità legale e trust verificato.
Scenario 2: Famiglia con minori. Un genitore vuole proteggere i figli da contenuti inappropriati senza installare software di controllo parentale su ogni dispositivo. La soluzione migliore è AdGuard DNS Family configurato direttamente sul router: blocca annunci, tracker, malware e contenuti per adulti su tutti i dispositivi della rete domestica, incluse SmartTV, console e dispositivi IoT che non supportano app di parental control. Costo: 4,99 euro al mese o 49,99 euro all’anno.
Scenario 3: Sviluppatore web o DevOps. Chi testa applicazioni in produzione, accede a CDN globali e richiede la risoluzione DNS più veloce possibile senza filtri che interferiscano con i domini di staging. La scelta è Cloudflare 1.1.1.1: latenza minima (9,8ms in Europa), nessun filtro di default, supporto ECS per ottimizzare la geolocalizzazione CDN, e la variante 1.1.1.1 con DoH per ambienti dove la cifratura è richiesta dalla policy di sicurezza aziendale. La variante 9.9.9.10 di Quad9 è un’alternativa quando si opera in settori regolamentati che richiedono giurisdizione non americana.
Scenario 4: PMI con 20-50 dipendenti. Un’azienda medio-piccola ha bisogno di protezione malware per tutta la rete senza investire in un gateway DNS enterprise. NextDNS Pro a 19,90 euro l’anno offre dashboard con analytics in tempo reale, blocchi per categorie (streaming, social media, giochi d’azzardo durante l’orario di lavoro), whitelist e blacklist per dominio, e profili separati per reparti diversi. L’installazione si riduce alla modifica del DNS sul router aziendale e alla creazione di un account. Nessun server da gestire, nessun aggiornamento da installare.
Scenario 5: Gamer o streamer su PC. Chi usa il sistema principalmente per gaming e streaming ha bisogno di latenza minima e alta affidabilità. La priorità non è la privacy avanzata ma la velocità di risoluzione per raggiungere i server di gioco e le CDN dei servizi streaming. Cloudflare 1.1.1.1 è la scelta ottimale con 9,8ms medi in Europa e uptime del 99,99%. La differenza di latenza con Google DNS (0,7ms) è trascurabile: entrambi sono scelte valide per il gaming, ma Cloudflare aggiunge una privacy significativamente migliore a parità di prestazioni.
Prezzi a confronto: dal gratuito al piano business
| Provider | Piano Gratuito | Limitazioni Free | Piano Pagamento | Prezzo | Dashboard |
|---|---|---|---|---|---|
| Cloudflare 1.1.1.1 | Illimitato | Nessun filtro annunci; ECS attivo | WARP+ | 4,99€/mese | No |
| Google 8.8.8.8 | Illimitato | Log 18 mesi, no protezioni | Nessuno | Gratuito | No |
| Quad9 9.9.9.9 | Illimitato | No filtro annunci, no dashboard | Nessuno | Gratuito (no-profit) | No |
| AdGuard DNS | Sì (illimitato) | Log 7 giorni, no filtri custom | Personal / Family | 2,99-4,99€/mese | Solo piano paid |
| NextDNS | 1M query/mese | Log 14 giorni, blocco dopo limite | Pro | 1,99€/mese o 19,90€/anno | Sì (anche free) |
Per la maggior parte degli utenti domestici, il piano gratuito di Cloudflare, Google o Quad9 è sufficiente. Il confronto di costo reale si fa tra NextDNS Pro (19,90€/anno) e AdGuard DNS Personal (35,88€/anno): entrambi offrono blocco annunci e analytics, ma NextDNS ha più flessibilità di configurazione mentre AdGuard ha un’interfaccia più semplice per utenti non tecnici.
Un’alternativa gratuita e open-source per chi ha competenze tecniche è Pi-hole su Raspberry Pi: nessun costo mensile, nessun dato verso terze parti, controllo completo. Il trade-off è la necessità di un server sempre acceso, aggiornamenti manuali, e la mancanza di funzionalità DoH/DoT native (richiedono configurazione aggiuntiva). Pi-hole è ideale per chi vuole il massimo controllo e non vuole dipendere da servizi cloud; NextDNS è per chi vuole funzionalità equivalenti senza l’infrastruttura da gestire.
Pro e contro: riepilogo rapido per la decisione finale
Cloudflare 1.1.1.1
Pro: latenza minima (9,8ms EU), audit Cure53, DoH/DoT/DoQ, WARP gratuito, varianti per malware (1.1.1.2) e contenuti adulti (1.1.1.3), 100 milioni di utenti giornalieri. Contro: azienda americana (CLOUD Act), nessun blocco annunci di default, ECS abilitato (riduce privacy verso authoritative server).
Google 8.8.8.8
Pro: uptime eccellente (99,99%), compatibilità universale con qualsiasi dispositivo, 12,4ms globali. Contro: logging fino a 18 mesi, nessun audit pubblico di terze parti, nessuna protezione malware integrata, modello di business orientato alla raccolta dati. Da evitare per qualsiasi uso che richieda privacy.
Quad9 9.9.9.9
Pro: no-profit svizzero fuori CLOUD Act, blocco malware per default (25+ feed), no-logging verificato, DNSSEC e DoQ, conforme GDPR e NIS2. Contro: latenza leggermente superiore a Cloudflare (11,9ms EU vs 9,8ms), nessuna dashboard gratuita, nessun blocco annunci.
AdGuard DNS
Pro: blocco annunci e tracker di default, audit Cure53, giurisdizione UE (Cipro), variante Family con controllo parentale, interfaccia semplice. Contro: latenza più alta (15,2ms EU), log 7 giorni sul piano free, piano premium necessario per dashboard e statistiche avanzate.
NextDNS
Pro: dashboard completa con analytics, centinaia di liste di blocco configurabili, giurisdizione UE (Francia), audit GDPR, opt-out logging su piano paid, 19,90€/anno. Contro: latenza 14,3ms EU, limite 1M query/mese sul piano free (insufficiente per famiglie), configurazione iniziale più complessa rispetto agli altri.
Il verdetto: quale DNS privato scegliere nel 2026
La scelta del DNS privato non è universale: dipende dal profilo di rischio, dal contesto d’uso e dalla disponibilità a pagare. Ecco il verdetto per ogni scenario:
Per la velocità massima senza compromessi: Cloudflare 1.1.1.1. Nessun altro resolver pubblico è più veloce in Europa. La differenza con Google (0,7ms) è irrilevante, ma Cloudflare aggiunge un audit di privacy indipendente, nessun log delle query, e il modello WARP per proteggere anche il traffico non-DNS. È la scelta corretta per il 70% degli utenti domestici e per i team di sviluppo.
Per la massima privacy e giurisdizione non americana: Quad9 9.9.9.9. No-profit svizzero, fuori dal CLOUD Act, audit verificato, blocco malware integrato. La latenza aggiuntiva di 2ms in Europa rispetto a Cloudflare è un costo accettabile per chi tratta dati sensibili, opera in settori regolamentati o vuole escludere qualsiasi rischio legato alla giurisdizione americana. La scelta per giornalisti, avvocati, medici, ricercatori e aziende soggette al GDPR in modo rigoroso.
Per famiglie con minori e reti domestiche: AdGuard DNS (piano gratuito o Family). Blocco annunci e tracker di default senza configurazione client, variante Family con parental control integrato. Funziona su qualsiasi dispositivo connesso al router, incluse SmartTV e console di gioco che non supportano configurazione DNS manuale.
Per PMI e utenti avanzati con esigenze di controllo: NextDNS Pro a 19,90 euro l’anno. Dashboard con analytics, filtri personalizzabili per categorie, profili separati per dispositivi o reparti, opt-out completo dal logging. È il Pi-hole in cloud, senza server da gestire.
Da evitare per uso personale: Google 8.8.8.8. Non per velocità o affidabilità (è eccellente su entrambi), ma per la politica di logging di 18 mesi e l’assenza di qualsiasi audit indipendente. Cambiare DNS da Google a Cloudflare richiede due minuti e migliora la privacy senza alcun compromesso di prestazione misurabile nel 99% dei casi d’uso.
Qualunque sia la scelta, cambiare il resolver DNS dell’ISP con uno qualsiasi dei provider in questa lista rappresenta un miglioramento netto: velocità superiore, cifratura delle query con DoH o DoT, e almeno una politica di privacy documentata. Chi vuole protezione completa può combinare un DNS privato con una VPN no-log (che cifra anche il traffico tra il dispositivo e il resolver stesso) o affidarsi a Tor Browser per i casi in cui l’anonimato della navigazione è critico.
Copertura correlata
Approfondimenti sulla privacy e sicurezza digitale
- Tor vs VPN: 3 Relè vs 1 Tunnel a Confronto [2026]
- ProtonVPN vs Mullvad: 5€ Fissi vs Gratis [2026]
- DuckDuckGo vs Startpage vs Brave Search [2026]
- Brave vs Firefox: 30% più Veloce e Privacy [2026]
- VeraCrypt vs BitLocker: 5 Cifrari vs 1 [2026]
- OpenSSL 3.5 LTS: Chiavi e Certificati in 12 Step [2026]
- Guida alla Privacy Digitale: tutti gli articoli
Domande frequenti (FAQ)
Il DNS 1.1.1.1 di Cloudflare è davvero privato?
Sì, secondo le politiche dichiarate e verificate da un audit Cure53 del 2025. Cloudflare non registra le query DNS e trattiene gli IP solo per 24 ore a scopo antiabuso, poi li elimina definitivamente. Non usa i dati per pubblicità e non li vende a terzi. Essendo un’azienda americana, rimane teoricamente soggetta al CLOUD Act USA, ma i dati conservati per soli 24 ore riducono drasticamente il rischio pratico. Per chi necessita di giurisdizione non americana, Quad9 è l’alternativa consigliata.
È illegale usare un DNS privato in Italia?
No. Cambiare il proprio resolver DNS è legale in Italia e in tutta l’UE. Non viola nessuna norma del GDPR, del Codice delle Comunicazioni Elettroniche o della normativa sulla cybersicurezza. Alcuni ISP potrebbero reclamare che il cambio DNS bypassa il blocco AGCOM su certi siti: questo è una zona grigia legale per quei siti specifici, ma l’uso di DNS privati per proteggere la propria privacy nella navigazione generale è completamente lecito.
Quad9 blocca solo i siti malevoli o anche siti legali per errore?
Quad9 blocca solo i domini classificati come malevoli dai suoi feed di threat intelligence. Non blocca categorie di contenuti legali come adulti, giochi d’azzardo o social media. I falsi positivi esistono ma sono rari, e Quad9 pubblica un modulo di segnalazione per richiedere la rimozione di un dominio legittimo dalla blocklist, con tempi di risposta tipici di poche ore. Se hai bisogno di accedere temporaneamente a un dominio bloccato senza cambiare configurazione, puoi usare la variante senza filtri al resolver 9.9.9.10.
Usando un DNS privato la velocità di navigazione migliorerà?
Nella maggior parte dei casi, sì. I resolver ISP italiani hanno latenze tipiche di 30-60ms. Cloudflare 1.1.1.1 risponde in media a 9,8ms in Europa. Su pagine che caricano risorse da molti domini, la riduzione dei tempi di lookup DNS si traduce in un caricamento percepibilmente più rapido, soprattutto per il first contentful paint e sulle connessioni mobili con latenza già elevata. Il beneficio è meno evidente su connessioni già veloci in fibra con ISP che hanno resolver locali efficienti.
Devo usare sia una VPN che un DNS privato?
Dipende dal modello di minaccia. Una VPN cifra tutto il traffico tra il tuo dispositivo e il server VPN, incluse le query DNS se il provider non ha DNS leak. Un DNS privato (senza VPN) protegge solo le query DNS verso il resolver, ma non cifra il resto del traffico. Se usi già una VPN con il proprio DNS interno, non è necessario configurare un DNS separato. Se non usi una VPN, un DNS privato con DoH o DoT è il primo passo più semplice per ridurre la visibilità del traffico verso l’ISP e i terzi che osservano la rete.
Come verifico che il DNS privato funzioni e non ci siano DNS leak?
Dopo la configurazione, visita 1.1.1.1/help (per Cloudflare) per verificare se DoH o DoT sono attivi. In alternativa, usa il sito dnsleaktest.com per eseguire un test completo: il risultato dovrebbe mostrare solo il resolver che hai configurato e non il resolver dell’ISP. Se appare il DNS del tuo ISP, la configurazione DoH/DoT non è stata applicata correttamente. Su Android, verifica che lo stato sia “Connesso” nelle impostazioni DNS Privato. Su Windows 11, controlla che le impostazioni DoH siano “Attivo” e non “Automatico (non sicuro)”.
Qual è la differenza tra DoH e DoT per la privacy?
Entrambi cifrano le query DNS con TLS, ma con approcci diversi. DoT usa la porta 853 dedicata: è più facile da identificare e bloccare per i firewall aziendali o ISP, ma offre separazione netta tra traffico DNS e HTTPS. DoH usa la porta 443 condivisa con il traffico HTTPS normale: rende le query DNS indistinguibili dal traffico web, più difficili da bloccare o monitorare selettivamente. Per la privacy pura, DoH è superiore perché non consente agli ISP di distinguere facilmente le query DNS dal traffico ordinario. Per ambienti aziendali dove il reparto IT vuole ispezionare il traffico DNS, DoT è più gestibile. DNS over QUIC (DoQ) combina i vantaggi di entrambi aggiungendo la riduzione della latenza tipica di HTTP/3.
