{"id":213,"date":"2026-06-18T13:03:48","date_gmt":"2026-06-18T13:03:48","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/18\/cloudflare-dns-vs-google-dns-vs-quad9\/"},"modified":"2026-06-18T13:05:07","modified_gmt":"2026-06-18T13:05:07","slug":"cloudflare-dns-vs-google-dns-vs-quad9","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/18\/cloudflare-dns-vs-google-dns-vs-quad9\/","title":{"rendered":"DNS Privato: Cloudflare 1.1.1.1 vs Google 8.8.8.8 vs Quad9, 11ms vs 14ms [2026]"},"content":{"rendered":"\n

Il tuo ISP vede ogni dominio che risolvi. Google raccoglie le tue query DNS per 18 mesi. Il DNS che usi di default, scelto dall’operatore telefonico, non \u00e8 mai stato pensato per proteggerti: \u00e8 pensato per funzionare, e basta. Cambiarlo richiede meno di due minuti, ma la differenza in termini di velocit\u00e0, privacy e sicurezza \u00e8 concreta. Questa guida confronta i cinque DNS privati pi\u00f9 diffusi nel 2026: Cloudflare 1.1.1.1<\/strong>, Google 8.8.8.8<\/strong>, Quad9 9.9.9.9<\/strong>, AdGuard DNS<\/strong> e NextDNS<\/strong>, con dati su velocit\u00e0, politiche di logging e funzionalit\u00e0 di sicurezza.<\/p>\n\n\n\n

I benchmark mostrano che Cloudflare risponde in media a 11,2ms globali e 9,8ms in Europa<\/strong>. Google segue a 12,4ms. Quad9 arriva a 14,1ms ma blocca i domini malevoli per default, senza configurazione aggiuntiva. AdGuard e NextDNS offrono filtri personalizzabili ma con latenze superiori. La scelta giusta dipende dal tuo profilo: velocit\u00e0 pura, massima privacy, o blocco attivo delle minacce.<\/p>\n\n\n\n

Cos’\u00e8 il DNS e perch\u00e9 la scelta del resolver influisce sulla tua privacy<\/h2>\n\n\n\n

Il DNS (Domain Name System) traduce i nomi di dominio leggibili, come shattered.io<\/em>, in indirizzi IP numerici che i server usano per comunicare. Ogni volta che apri un sito, il tuo dispositivo esegue una query DNS, in genere verso il resolver dell’operatore telefonico. Questo processo avviene decine di volte al giorno, spesso in chiaro, senza cifratura.<\/p>\n\n\n\n

Il problema non \u00e8 tecnico: \u00e8 economico. Gli ISP italiani come TIM, Vodafone e Fastweb usano di default il DNS di Google (8.8.8.8) o il proprio resolver interno. Entrambi raccolgono metadati sulle query per scopi che vanno dall’analisi del traffico alla profilazione pubblicitaria. Una query DNS non cifrata viaggia in chiaro sulla rete locale e verso il resolver: chiunque osservi il traffico pu\u00f2 vedere quali siti visiti, anche se la connessione al sito stesso \u00e8 protetta da HTTPS.<\/p>\n\n\n\n

Tre sono i protocolli che proteggono il DNS. DNS over HTTPS (DoH)<\/strong> cifra le query dentro connessioni HTTPS sulla porta 443, rendendole indistinguibili dal traffico web ordinario. DNS over TLS (DoT)<\/strong> cifra le query su una connessione TLS dedicata sulla porta 853, pi\u00f9 facilmente identificabile e bloccabile da firewall aziendali o ISP. DNSSEC<\/strong> non cifra le query ma garantisce l’integrit\u00e0 delle risposte, impedendo attacchi di tipo DNS spoofing o cache poisoning. I cinque resolver in questa guida supportano tutti e tre, con alcune eccezioni che analizziamo nelle sezioni dedicate.<\/p>\n\n\n\n

Secondo i dati di Cloudflare Radar per il 2025, circa il 38%<\/strong> del traffico DNS italiano utilizza ancora il resolver dell’ISP. Il 29%<\/strong> usa Google DNS, il 18%<\/strong> usa Cloudflare, e il restante 15% si distribuisce tra Quad9, OpenDNS e altri resolver minori. Lo shift verso i resolver privati \u00e8 in crescita: nel 2024 Cloudflare era ferma al 13% in Italia. Il cambio \u00e8 lento ma costante, trainato dalla crescente consapevolezza sulle implicazioni del tracciamento DNS.<\/p>\n\n\n\n

Cloudflare 1.1.1.1: il DNS pi\u00f9 veloce al mondo con privacy certificata<\/h2>\n\n\n\n

Cloudflare ha lanciato 1.1.1.1 il 1 aprile 2018, in collaborazione con APNIC, e da allora \u00e8 diventato il resolver pubblico pi\u00f9 veloce al mondo secondo i benchmark di DNSperf. A marzo 2026, il tempo mediano di risposta globale \u00e8 11,2ms<\/strong>, con una media europea di 9,8ms<\/strong>. Il vantaggio deriva dall’infrastruttura Anycast di Cloudflare: oltre 300 data center in tutto il mondo, inclusi punti di presenza a Milano, Roma e Francoforte, garantiscono che le query vengano risolte dal nodo geograficamente pi\u00f9 vicino all’utente.<\/p>\n\n\n\n

Il resolver base (1.1.1.1 \/ 1.0.0.1) non filtra contenuti e non blocca domini. Per chi vuole protezione aggiuntiva, Cloudflare offre due varianti. 1.1.1.2<\/strong> (secondario 1.0.0.2) blocca i domini classificati come malevoli dalla threat intelligence di Cloudflare. 1.1.1.3<\/strong> (secondario 1.0.0.3) aggiunge il blocco dei contenuti per adulti. Entrambe le varianti funzionano con DoH, DoT e il client WARP, e sono completamente gratuite.<\/p>\n\n\n\n

Privacy di Cloudflare: audit Cure53 e 24 ore di retention<\/h3>\n\n\n\n

La politica di privacy di Cloudflare per 1.1.1.1 \u00e8 tra le pi\u00f9 restrittive disponibili nel settore: nessun dato di query viene conservato<\/strong>, mentre gli indirizzi IP vengono trattenuti per 24 ore<\/strong> esclusivamente per prevenzione degli abusi, poi eliminati definitivamente. Cloudflare non vende dati a terzi e non usa le query DNS per targeting pubblicitario.<\/p>\n\n\n\n

A rafforzare queste dichiarazioni c’\u00e8 un audit indipendente di Cure53<\/strong>, completato nel 2025, che ha verificato i sistemi di Cloudflare e confermato il rispetto delle politiche dichiarate. Cure53 \u00e8 la stessa societ\u00e0 di sicurezza che ha verificato i sistemi di ProtonMail e Mullvad VPN, ed \u00e8 considerata uno dei riferimenti per gli audit di privacy nel settore. La pubblicazione dell’audit distingue Cloudflare da Google, che non ha mai reso pubblico un audit di terze parti equivalente per il proprio DNS pubblico.<\/p>\n\n\n\n

Cloudflare supporta anche EDNS Client Subnet (ECS)<\/strong>, una funzione che invia una porzione dell’IP del client ai server authoritative per ottimizzare la geolocalizzazione dei CDN. Questo migliora le prestazioni per servizi come Netflix o Spotify, ma riduce leggermente la privacy perch\u00e9 i server authoritative ricevono informazioni parziali sull’utente. ECS \u00e8 configurabile e pu\u00f2 essere disabilitato specificando l’endpoint DoH appropriato nelle impostazioni avanzate del resolver.<\/p>\n\n\n\n

WARP e WARP+: quando il DNS diventa VPN<\/h3>\n\n\n\n

Il servizio WARP di Cloudflare, disponibile gratuitamente per iOS, Android e desktop, aggiunge un layer VPN basato su WireGuard che cifra tutto il traffico, non solo le query DNS. La versione WARP gratuita usa il resolver 1.1.1.1 con tunneling WireGuard, senza garanzie aggiuntive di velocit\u00e0. La versione WARP+ a pagamento (circa 4,99 euro al mese) migliora le prestazioni instradando il traffico attraverso la rete Argo di Cloudflare, che ottimizza il percorso dei pacchetti evitando i colli di bottiglia del routing internet standard.<\/p>\n\n\n\n

Per chi vuole solo il DNS privato senza VPN, il resolver 1.1.1.1 configurato manualmente sul dispositivo \u00e8 sufficiente e completamente gratuito. WARP aggiunge valore solo quando si opera su reti Wi-Fi non fidate (aeroporti, hotel, bar) dove si vuole proteggere l’intero traffico, non solo le query DNS.<\/p>\n\n\n\n

Google 8.8.8.8: affidabile e ubiquo, ma non progettato per la privacy<\/h2>\n\n\n\n

Google Public DNS (8.8.8.8 e 8.8.4.4) \u00e8 il resolver pubblico pi\u00f9 usato al mondo, con circa 150 milioni di utenti giornalieri<\/strong>. La ragione \u00e8 storica: Google lo ha lanciato nel 2009 come alternativa agli ISP lenti e inaffidabili dell’epoca, e da allora si \u00e8 integrato nei default di router economici, software antivirus che cambiano il DNS all’installazione, e dispositivi Android senza configurazione personalizzata. La sua capillarit\u00e0 \u00e8 un vantaggio in termini di uptime e affidabilit\u00e0, con un SLA documentato superiore al 99,99%.<\/p>\n\n\n\n

Il tempo di risposta globale mediano \u00e8 12,4ms<\/strong>, con una media europea di 10,5ms<\/strong>, leggermente superiore a Cloudflare ma notevolmente pi\u00f9 rapido della maggior parte dei resolver ISP, che in Italia raramente scendono sotto i 30-50ms. Google supporta DoH e DoT, ma entrambi richiedono configurazione manuale lato client: non sono abilitati di default su nessun sistema operativo tramite il resolver Google, a differenza di WARP di Cloudflare che li abilita automaticamente.<\/p>\n\n\n\n

Il punto critico di Google 8.8.8.8 \u00e8 la privacy. Secondo l’analisi della Electronic Frontier Foundation (EFF) e la documentazione di Google stessa, il resolver registra le query DNS, gli indirizzi IP dei client e identificatori del dispositivo per un periodo fino a 18 mesi<\/strong>. Questi dati vengono usati per “migliorare i servizi” di Google, il che comprende le divisioni pubblicitarie. Google usa anche i dati aggregati del DNS per alimentare prodotti come Google Safe Browsing e Google Analytics, creando sinergie tra la raccolta DNS e il profilo utente complessivo di Google.<\/p>\n\n\n\n

A differenza di Cloudflare e Quad9, Google non ha mai pubblicato un audit indipendente<\/strong> per verificare le proprie dichiarazioni sulla gestione dei dati DNS. Google DNS non filtra malware, phishing o contenuti per adulti per default. Supporta DNSSEC e QNAME Minimization, ma l’assenza di blocchi integrati e la politica di logging estesa lo rendono una scelta adatta solo quando la compatibilit\u00e0 e la velocit\u00e0 sono prioritarie rispetto alla privacy, come in ambienti di sviluppo o test dove si hanno policy di sicurezza proprie.<\/p>\n\n\n\n

Quad9 9.9.9.9: sicurezza come priorit\u00e0 e giurisdizione svizzera<\/h2>\n\n\n\n

Quad9 \u00e8 un progetto no-profit con sede in Svizzera, fondato nel 2016 da IBM, PCH e Global Cyber Alliance. Il resolver 9.9.9.9 (secondario: 149.112.112.112) blocca i domini malevoli per default attingendo a oltre 25 feed di threat intelligence<\/strong> da partner come IBM X-Force, Malwarebytes e Proofpoint. Ogni giorno vengono bloccate decine di milioni di query verso domini identificati come phishing, C2 di malware o ransomware, tutto in modo trasparente per l’utente finale.<\/p>\n\n\n\n

Il tempo di risposta globale mediano \u00e8 14,1ms<\/strong>, con una media europea di 11,9ms<\/strong>. Il divario con Cloudflare \u00e8 di 2,1ms in Europa, impercettibile nella navigazione quotidiana. La differenza diventa rilevante solo in applicazioni ad altissima frequenza di lookup, come crawler web, bot di monitoraggio o servizi con migliaia di query al secondo. Per l’utente domestico o la PMI, Quad9 non fa notare la differenza di latenza rispetto a Cloudflare.<\/p>\n\n\n\n

La politica di privacy di Quad9 \u00e8 esplicita e verificata: nessuna query DNS viene registrata<\/strong>. Gli indirizzi IP vengono trattenuti per 24 ore a scopo di sicurezza e poi eliminati. Un audit indipendente del 2024 ha confermato l’assenza di logging delle query. Il fatto cruciale per gli utenti europei \u00e8 la giurisdizione: essendo un’organizzazione no-profit svizzera, Quad9 non \u00e8 soggetta al CLOUD Act americano che potrebbe obbligare aziende statunitensi come Cloudflare o Google a condividere dati con le autorit\u00e0 americane. Questo lo rende la scelta preferenziale per chi elabora dati sensibili soggetti al GDPR o a normative di settore come la Direttiva NIS2.<\/p>\n\n\n\n

Per chi vuole la risoluzione senza filtri (ad esempio sviluppatori che devono testare domini di staging non ancora inseriti in whitelist), Quad9 offre una variante non filtrante al resolver 9.9.9.10<\/strong> \/ 149.112.112.10<\/strong>. Tutte le varianti supportano DoH, DoT, DNS over QUIC (DoQ) e DNSSEC.<\/p>\n\n\n\n

AdGuard DNS e NextDNS: blocco annunci e dashboard di controllo<\/h2>\n\n\n\n

AdGuard DNS<\/strong> (94.140.14.14 \/ 94.140.15.15) \u00e8 prodotto da AdGuard Ltd., azienda con sede a Cipro, nota per il suo ad-blocker. Il resolver gratuito blocca annunci, tracker e malware usando le liste curate di AdGuard, aggiornate ogni poche ore. A differenza di Quad9, che blocca solo i domini malevoli, AdGuard rimuove anche i tracker pubblicitari e le richieste ai server di telemetria, rendendo la navigazione pi\u00f9 privata anche oltre la semplice protezione malware.<\/p>\n\n\n\n

Il tempo di risposta globale mediano \u00e8 18,3ms<\/strong> (Europa: 15,2ms), il pi\u00f9 alto del gruppo. La latenza aggiuntiva rispetto a Cloudflare (5,4ms in Europa) \u00e8 percettibile in scenari con molti lookup consecutivi, ma rimane ampiamente superiore al resolver ISP medio italiano. Il resolver gratuito registra query e IP per 7 giorni<\/strong>. La versione Personal (2,99-4,99 euro al mese) offre dashboard con statistiche dettagliate, filtri personalizzati e blocco per categorie. La versione Family aggiunge il blocco dei siti per adulti con configurazione per ogni dispositivo.<\/p>\n\n\n\n

AdGuard ha passato un audit Cure53 nel 2024 per le proprie politiche di privacy e ad-blocking. L’azienda opera sotto la legislazione cipriota (UE), \u00e8 soggetta al GDPR, e non \u00e8 esposta al CLOUD Act americano. Il modello di business basato sugli abbonamenti premium crea un incentivo strutturale ad allineare gli interessi dell’azienda con la privacy degli utenti, a differenza di Google il cui fatturato dipende dalla pubblicit\u00e0.<\/p>\n\n\n\n

NextDNS<\/strong> (indirizzo variabile, configurato tramite account) \u00e8 il resolver pi\u00f9 flessibile del gruppo. Dopo la registrazione gratuita, l’utente ottiene un resolver DNS personalizzato con una dashboard web completa: pu\u00f2 abilitare decine di liste di blocco (EasyList, uBlock Origin, Steven Black, OISD, AdGuard DNS Filter, ecc.), impostare parental control per categorie, vedere statistiche in tempo reale e configurare whitelist ed eccezioni per singolo dominio o applicazione. La dashboard mostra esattamente quali query vengono bloccate e perch\u00e9, con grafici temporali e breakdown per dispositivo.<\/p>\n\n\n\n

Il piano gratuito copre 1 milione di query al mese<\/strong>, sufficiente per un singolo dispositivo ma limitante per un router domestico che aggrega il traffico di 5-10 dispositivi contemporaneamente. Un’analisi tipica mostra che una famiglia di 4 persone con smartphone, tablet, smart TV e laptop genera circa 2-3 milioni di query al mese. Il piano Pro costa 1,99 euro al mese<\/strong> (o 19,90 euro all’anno) e rimuove il limite delle query, con opzione per disabilitare completamente il logging. NextDNS \u00e8 una societ\u00e0 francese, completamente soggetta al GDPR, con audit SEI completato nel 2025.<\/p>\n\n\n\n

Benchmark di velocit\u00e0 2026: tabella completa con dati europei e italiani<\/h2>\n\n\n\n

I tempi di risposta variano in base alla posizione geografica, all’ISP e al tipo di query (cached vs uncached). I dati seguenti provengono da test aggregati di DNSperf e strumenti di benchmarking DNS pubblici aggiornati a marzo 2026, con focus sull’Europa occidentale.<\/p>\n\n\n\n

Provider DNS<\/th>IP Primario<\/th>IP Secondario<\/th>Latenza Globale<\/th>Latenza Europa<\/th>DoH<\/th>DoT<\/th>DoQ<\/th>Uptime 2025<\/th><\/tr><\/thead>
Cloudflare 1.1.1.1<\/strong><\/td>1.1.1.1<\/td>1.0.0.1<\/td>11,2ms<\/td>9,8ms<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>99,99%<\/td><\/tr>
Google 8.8.8.8<\/strong><\/td>8.8.8.8<\/td>8.8.4.4<\/td>12,4ms<\/td>10,5ms<\/td>S\u00ec<\/td>S\u00ec<\/td>No<\/td>99,99%<\/td><\/tr>
Quad9 9.9.9.9<\/strong><\/td>9.9.9.9<\/td>149.112.112.112<\/td>14,1ms<\/td>11,9ms<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>99,95%<\/td><\/tr>
NextDNS<\/strong><\/td>Variabile (account)<\/td>Variabile<\/td>16,7ms<\/td>14,3ms<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>99,90%<\/td><\/tr>
AdGuard DNS<\/strong><\/td>94.140.14.14<\/td>94.140.15.15<\/td>18,3ms<\/td>15,2ms<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>99,90%<\/td><\/tr>
ISP tipico Italia<\/strong><\/td>Variabile<\/td>Variabile<\/td>35-60ms<\/td>35-60ms<\/td>No<\/td>No<\/td>No<\/td><99,50%<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Il divario pi\u00f9 importante non \u00e8 tra Cloudflare e Quad9 (2,1ms), ma tra qualsiasi resolver pubblico e il DNS dell’ISP italiano medio (30-50ms di vantaggio). Per la maggior parte degli utenti, passare dal resolver dell’operatore a qualsiasi resolver in questa lista produce un miglioramento percepibile nel tempo di caricamento delle pagine, soprattutto per siti che caricano risorse da molti domini diversi.<\/p>\n\n\n\n

Un esempio concreto: un sito di news che carica risorse da 15 domini differenti richiede 15 lookup DNS. Con il resolver ISP a 50ms, questi lookup sommano fino a 750ms di attesa prima che il primo byte venga scaricato. Con Cloudflare a 10ms, la stessa operazione richiede 150ms. Il guadagno reale \u00e8 ridotto dalle connessioni parallele del browser, ma il beneficio sulla velocit\u00e0 percepita del primo caricamento rimane misurabile, soprattutto su connessioni mobili.<\/p>\n\n\n\n

Privacy a confronto: chi raccoglie i tuoi dati e per quanto tempo<\/h2>\n\n\n\n

La privacy di un resolver DNS si misura su tre dimensioni: cosa viene registrato, per quanto tempo, e chi pu\u00f2 accedervi. La tabella seguente riassume le politiche dichiarate e verificate dai cinque provider, con attenzione alla giurisdizione legale rilevante per gli utenti italiani.<\/p>\n\n\n\n

Provider<\/th>Query DNS registrate?<\/th>IP utente registrato?<\/th>Retention<\/th>Audit di terze parti<\/th>Giurisdizione<\/th>Soggetto al CLOUD Act USA<\/th><\/tr><\/thead>
Cloudflare 1.1.1.1<\/strong><\/td>No<\/td>S\u00ec, 24 ore<\/td>24 ore (solo IP)<\/td>Cure53, 2025<\/td>USA<\/td>S\u00ec<\/td><\/tr>
Google 8.8.8.8<\/strong><\/td>S\u00ec<\/td>S\u00ec<\/td>Fino a 18 mesi<\/td>Nessuno pubblico<\/td>USA<\/td>S\u00ec<\/td><\/tr>
Quad9 9.9.9.9<\/strong><\/td>No<\/td>S\u00ec, 24 ore<\/td>24 ore (solo IP)<\/td>Audit indip., 2024<\/td>Svizzera (no-profit)<\/td>No<\/td><\/tr>
AdGuard DNS<\/strong><\/td>S\u00ec (piano free)<\/td>S\u00ec<\/td>7 giorni (free)<\/td>Cure53, 2024<\/td>Cipro (UE)<\/td>No<\/td><\/tr>
NextDNS<\/strong><\/td>S\u00ec (piano free)<\/td>S\u00ec<\/td>14 giorni (free); opt-out su paid<\/td>SEI, 2025<\/td>Francia (UE)<\/td>No<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La distinzione tra “query registrate” e “IP registrati” \u00e8 cruciale. Anche Cloudflare e Quad9 trattengono brevemente l’indirizzo IP per prevenire attacchi DDoS al resolver stesso, ma senza associarlo al contenuto delle query. Google, invece, associa le query all’identit\u00e0 dell’utente attraverso meccanismi come i client ID di Android e cookie cross-dominio, costruendo un profilo navigazione dettagliato nel tempo che alimenta i sistemi di targeting pubblicitario.<\/p>\n\n\n\n

L’aspetto del CLOUD Act \u00e8 rilevante per i professionisti europei. Il Clarifying Lawful Overseas Use of Data Act statunitense (2018) consente alle autorit\u00e0 americane di richiedere alle aziende con sede negli USA (come Cloudflare e Google) i dati dei loro utenti, anche se fisicamente memorizzati in Europa. Quad9, come no-profit svizzero, non \u00e8 soggetta a questa legislazione. NextDNS e AdGuard, operando sotto la legislazione UE, sono protetti dal GDPR che impedisce trasferimenti di dati a paesi terzi senza adeguate garanzie. Per professionisti legali, medici o giornalisti che trattano dati sensibili, questa distinzione pu\u00f2 essere determinante nella scelta.<\/p>\n\n\n\n

Sicurezza DNS: DNSSEC, DoH, DoT e blocco malware a confronto<\/h2>\n\n\n\n

La sicurezza DNS va oltre la semplice cifratura delle query. I vettori di attacco principali includono il DNS hijacking (manipolazione delle risposte per reindirizzare verso server malevoli), il DNS cache poisoning (inserimento di record falsi nella cache del resolver), e il DNS tunneling (uso del protocollo DNS per esfiltrare dati o bypassare firewall). I cinque resolver offrono livelli diversi di protezione contro questi vettori.<\/p>\n\n\n\n

Provider<\/th>DNSSEC<\/th>DoH<\/th>DoT<\/th>DoQ<\/th>Blocco Malware (default)<\/th>Blocco Annunci (default)<\/th>Blocco Contenuti Adulti<\/th><\/tr><\/thead>
Cloudflare 1.1.1.1<\/strong><\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>No (1.1.1.2: s\u00ec)<\/td>No<\/td>No (1.1.1.3: s\u00ec)<\/td><\/tr>
Google 8.8.8.8<\/strong><\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>No<\/td>No<\/td>No<\/td>No<\/td><\/tr>
Quad9 9.9.9.9<\/strong><\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec (25+ feed)<\/strong><\/td>No<\/td>No<\/td><\/tr>
AdGuard DNS<\/strong><\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/strong><\/td>S\u00ec<\/strong><\/td>S\u00ec (Family)<\/td><\/tr>
NextDNS<\/strong><\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>Configurabile<\/strong><\/td>Configurabile<\/strong><\/td>Configurabile<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

DNSSEC<\/strong> firma crittograficamente le risposte DNS, consentendo al resolver di verificare che non siano state manomesse durante il transito. Tutti e cinque i provider lo supportano, ma la sua efficacia dipende anche dal fatto che il dominio di destinazione abbia abilitato DNSSEC lato server. Secondo APNIC, circa il 30-35% dei domini globali aveva DNSSEC configurato correttamente a inizio 2026, un numero in crescita ma ancora minoritario. I principali domini italiani (.it) hanno una percentuale di adozione DNSSEC inferiore alla media globale, con molti domini governativi e commerciali ancora senza firma.<\/p>\n\n\n\n

DNS over QUIC (DoQ)<\/strong> \u00e8 il protocollo pi\u00f9 recente: cifra le query DNS su QUIC (il protocollo sottostante HTTP\/3), offrendo una combinazione di bassa latenza e sicurezza superiore rispetto a DoT. Cloudflare, Quad9, AdGuard e NextDNS lo supportano gi\u00e0 nel 2026. Google non ancora, con l’aggiornamento atteso nel corso dell’anno.<\/p>\n\n\n\n

Il blocco malware di Quad9 \u00e8 alimentato da oltre 25 feed di threat intelligence e blocca in media decine di milioni di query malevole al giorno a livello globale. La protezione \u00e8 trasparente: non richiede installazione di software lato client, funziona su qualsiasi dispositivo collegato al resolver, inclusi dispositivi IoT che non possono eseguire antivirus, smart TV, stampanti di rete e qualsiasi altro device che esegue query DNS. Per una rete domestica o aziendale, Quad9 agisce come prima linea di difesa contro le minacce DNS prima che i pacchetti raggiungano il firewall perimetrale o l’endpoint.<\/p>\n\n\n\n

Come configurare il DNS privato su Android, iOS, Windows e Linux<\/h2>\n\n\n\n

Configurare un resolver DNS privato richiede mediamente due minuti e non implica l’installazione di software aggiuntivo nella maggior parte dei casi. Le istruzioni seguenti coprono i sistemi operativi pi\u00f9 diffusi in Italia nel 2026.<\/p>\n\n\n\n

Android 9 e versioni successive: DNS Privato nativo senza app<\/h3>\n\n\n\n

Android 9 (Pie) ha introdotto il supporto nativo per DoT tramite la funzione “DNS Privato” nelle impostazioni di rete. Nessuna app aggiuntiva \u00e8 richiesta e la configurazione si applica a tutte le connessioni di rete, Wi-Fi e dati mobili.<\/p>\n\n\n\n

Impostazioni \u2192 Rete e Internet \u2192 DNS Privato \u2192 Modalit\u00e0 hostname personalizzato\n\nCloudflare:  one.one.one.one\nGoogle:      dns.google\nQuad9:       dns.quad9.net\nAdGuard:     dns.adguard-dns.com\nNextDNS:     [subdomain].dns.nextdns.io  (dall'account NextDNS personale)<\/code><\/pre>\n\n\n\n
Dopo aver inserito l’hostname, Android verifica la connessione e mostra “Connesso” se il resolver risponde correttamente. La configurazione Android sovrascrive qualsiasi DNS fornito dal DHCP della rete Wi-Fi, il che significa che funziona anche su reti aziendali o hotspot pubblici che potrebbero usare DNS di controllo. Su Android 12+, la funzione \u00e8 accessibile direttamente dalla ricerca nelle impostazioni digitando “DNS privato”.<\/p>\n\n\n\n
Windows 11: DNS over HTTPS nelle impostazioni avanzate di rete<\/h3>\n\n\n\n
Windows 11 supporta DoH nativamente dalla build 25158. La configurazione si fa dalle impostazioni di rete per ogni singolo adattatore (Wi-Fi o Ethernet).<\/p>\n\n\n\n
Impostazioni \u2192 Rete e Internet \u2192 Wi-Fi o Ethernet \u2192 Propriet\u00e0 hardware\n\u2192 Assegnazione server DNS: Modifica\n\u2192 Preferito IPv4 DNS: 1.1.1.1\n\u2192 DNS over HTTPS (DoH): Attivo (automatico)\n\u2192 Alternativo IPv4 DNS: 1.0.0.1\n\u2192 DNS over HTTPS (DoH): Attivo (automatico)\n\u2192 Salva<\/code><\/pre>\n\n\n\n
Windows 11 riconosce automaticamente i resolver che supportano DoH quando si inseriscono gli IP di Cloudflare (1.1.1.1), Google (8.8.8.8) e Quad9 (9.9.9.9). Per AdGuard e NextDNS, il loro client app dedicato configura automaticamente DoH senza intervento manuale nel registro di sistema. In alternativa, su Windows 10 e 11 si pu\u00f2 usare il software YogaDNS o Simple DNSCrypt per abilitare DoH con qualsiasi resolver.<\/p>\n\n\n\n
Linux con systemd-resolved: DoT da riga di comando<\/h3>\n\n\n\n
# Modifica \/etc\/systemd\/resolved.conf\n[Resolve]\nDNS=1.1.1.1#cloudflare-dns.com 1.0.0.1#cloudflare-dns.com\nDNSSEC=yes\nDNSOverTLS=yes\n\n# Riavvia il servizio\nsudo systemctl restart systemd-resolved\n\n# Verifica la configurazione attiva\nresolvectl status | grep -E \"DNS Server|Current DNS|DNSSEC|DNS over TLS\"<\/code><\/pre>\n\n\n\n
Per router con OpenWRT, il pacchetto https-dns-proxy<\/code> aggiunge supporto DoH a livello di rete, proteggendo tutti i dispositivi connessi al router senza configurazione individuale. Questa \u00e8 la soluzione ideale per proteggere smart TV, console di gioco e dispositivi IoT che non supportano configurazione DNS manuale. Quad9 pubblica istruzioni specifiche per OpenWRT nella propria documentazione tecnica.<\/p>\n\n\n\n
iOS 14 e successivi: profili di configurazione mobileconfig<\/h3>\n\n\n\n
iOS non espone un’interfaccia utente per DoH nelle impostazioni di sistema, ma supporta profili di configurazione in formato .mobileconfig<\/code>. Cloudflare, Quad9 e NextDNS offrono profili scaricabili direttamente dai loro siti ufficiali. Dopo l’installazione (Impostazioni \u2192 Generali \u2192 VPN e gestione dispositivo \u2192 Scaricato profilo \u2192 Installa), il profilo applica DoH a livello di sistema per tutte le app, incluse quelle che non usano le API di rete standard.<\/p>\n\n\n\n
5 scenari d’uso reali: quale DNS scegliere per ogni contesto<\/h2>\n\n\n\n
La scelta del resolver ottimale dipende dal profilo d’uso concreto. Questi cinque scenari coprono la maggior parte dei casi incontrati da utenti italiani nel 2026.<\/p>\n\n\n\n
Scenario 1: Giornalista o avvocato con dati sensibili.<\/strong> Un professionista che gestisce fonti riservate o documentazione legale privilegiata ha bisogno di anonimato verificato e giurisdizione europea. La scelta ottimale \u00e8 Quad9<\/strong>: no-profit svizzero fuori dalla giurisdizione USA, audit indipendente confermato, blocco malware attivo contro phishing e C2 di spyware. La latenza aggiuntiva di 2ms rispetto a Cloudflare \u00e8 irrilevante rispetto ai vantaggi di conformit\u00e0 legale e trust verificato.<\/p>\n\n\n\n
Scenario 2: Famiglia con minori.<\/strong> Un genitore vuole proteggere i figli da contenuti inappropriati senza installare software di controllo parentale su ogni dispositivo. La soluzione migliore \u00e8 AdGuard DNS Family<\/strong> configurato direttamente sul router: blocca annunci, tracker, malware e contenuti per adulti su tutti i dispositivi della rete domestica, incluse SmartTV, console e dispositivi IoT che non supportano app di parental control. Costo: 4,99 euro al mese o 49,99 euro all’anno.<\/p>\n\n\n\n
Scenario 3: Sviluppatore web o DevOps.<\/strong> Chi testa applicazioni in produzione, accede a CDN globali e richiede la risoluzione DNS pi\u00f9 veloce possibile senza filtri che interferiscano con i domini di staging. La scelta \u00e8 Cloudflare 1.1.1.1<\/strong>: latenza minima (9,8ms in Europa), nessun filtro di default, supporto ECS per ottimizzare la geolocalizzazione CDN, e la variante 1.1.1.1 con DoH per ambienti dove la cifratura \u00e8 richiesta dalla policy di sicurezza aziendale. La variante 9.9.9.10 di Quad9 \u00e8 un’alternativa quando si opera in settori regolamentati che richiedono giurisdizione non americana.<\/p>\n\n\n\n
Scenario 4: PMI con 20-50 dipendenti.<\/strong> Un’azienda medio-piccola ha bisogno di protezione malware per tutta la rete senza investire in un gateway DNS enterprise. NextDNS Pro<\/strong> a 19,90 euro l’anno offre dashboard con analytics in tempo reale, blocchi per categorie (streaming, social media, giochi d’azzardo durante l’orario di lavoro), whitelist e blacklist per dominio, e profili separati per reparti diversi. L’installazione si riduce alla modifica del DNS sul router aziendale e alla creazione di un account. Nessun server da gestire, nessun aggiornamento da installare.<\/p>\n\n\n\n
Scenario 5: Gamer o streamer su PC.<\/strong> Chi usa il sistema principalmente per gaming e streaming ha bisogno di latenza minima e alta affidabilit\u00e0. La priorit\u00e0 non \u00e8 la privacy avanzata ma la velocit\u00e0 di risoluzione per raggiungere i server di gioco e le CDN dei servizi streaming. Cloudflare 1.1.1.1<\/strong> \u00e8 la scelta ottimale con 9,8ms medi in Europa e uptime del 99,99%. La differenza di latenza con Google DNS (0,7ms) \u00e8 trascurabile: entrambi sono scelte valide per il gaming, ma Cloudflare aggiunge una privacy significativamente migliore a parit\u00e0 di prestazioni.<\/p>\n\n\n\n
Prezzi a confronto: dal gratuito al piano business<\/h2>\n\n\n\n
Provider<\/th>Piano Gratuito<\/th>Limitazioni Free<\/th>Piano Pagamento<\/th>Prezzo<\/th>Dashboard<\/th><\/tr><\/thead>
Cloudflare 1.1.1.1<\/strong><\/td>Illimitato<\/td>Nessun filtro annunci; ECS attivo<\/td>WARP+<\/td>4,99\u20ac\/mese<\/td>No<\/td><\/tr>
Google 8.8.8.8<\/strong><\/td>Illimitato<\/td>Log 18 mesi, no protezioni<\/td>Nessuno<\/td>Gratuito<\/td>No<\/td><\/tr>
Quad9 9.9.9.9<\/strong><\/td>Illimitato<\/td>No filtro annunci, no dashboard<\/td>Nessuno<\/td>Gratuito (no-profit)<\/td>No<\/td><\/tr>
AdGuard DNS<\/strong><\/td>S\u00ec (illimitato)<\/td>Log 7 giorni, no filtri custom<\/td>Personal \/ Family<\/td>2,99-4,99\u20ac\/mese<\/td>Solo piano paid<\/td><\/tr>
NextDNS<\/strong><\/td>1M query\/mese<\/td>Log 14 giorni, blocco dopo limite<\/td>Pro<\/td>1,99\u20ac\/mese o 19,90\u20ac\/anno<\/td>S\u00ec (anche free)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Per la maggior parte degli utenti domestici, il piano gratuito di Cloudflare, Google o Quad9 \u00e8 sufficiente. Il confronto di costo reale si fa tra NextDNS Pro (19,90\u20ac\/anno) e AdGuard DNS Personal (35,88\u20ac\/anno): entrambi offrono blocco annunci e analytics, ma NextDNS ha pi\u00f9 flessibilit\u00e0 di configurazione mentre AdGuard ha un’interfaccia pi\u00f9 semplice per utenti non tecnici.<\/p>\n\n\n\n
Un’alternativa gratuita e open-source per chi ha competenze tecniche \u00e8 Pi-hole<\/strong> su Raspberry Pi: nessun costo mensile, nessun dato verso terze parti, controllo completo. Il trade-off \u00e8 la necessit\u00e0 di un server sempre acceso, aggiornamenti manuali, e la mancanza di funzionalit\u00e0 DoH\/DoT native (richiedono configurazione aggiuntiva). Pi-hole \u00e8 ideale per chi vuole il massimo controllo e non vuole dipendere da servizi cloud; NextDNS \u00e8 per chi vuole funzionalit\u00e0 equivalenti senza l’infrastruttura da gestire.<\/p>\n\n\n\n
Pro e contro: riepilogo rapido per la decisione finale<\/h2>\n\n\n\n
Cloudflare 1.1.1.1<\/strong><\/p>\n\n\n
Pro: latenza minima (9,8ms EU), audit Cure53, DoH\/DoT\/DoQ, WARP gratuito, varianti per malware (1.1.1.2) e contenuti adulti (1.1.1.3), 100 milioni di utenti giornalieri. Contro: azienda americana (CLOUD Act), nessun blocco annunci di default, ECS abilitato (riduce privacy verso authoritative server).<\/p>\n\n\n\n
Google 8.8.8.8<\/strong><\/p>\n\n\n
Pro: uptime eccellente (99,99%), compatibilit\u00e0 universale con qualsiasi dispositivo, 12,4ms globali. Contro: logging fino a 18 mesi, nessun audit pubblico di terze parti, nessuna protezione malware integrata, modello di business orientato alla raccolta dati. Da evitare per qualsiasi uso che richieda privacy.<\/p>\n\n\n\n
Quad9 9.9.9.9<\/strong><\/p>\n\n\n
Pro: no-profit svizzero fuori CLOUD Act, blocco malware per default (25+ feed), no-logging verificato, DNSSEC e DoQ, conforme GDPR e NIS2. Contro: latenza leggermente superiore a Cloudflare (11,9ms EU vs 9,8ms), nessuna dashboard gratuita, nessun blocco annunci.<\/p>\n\n\n\n
AdGuard DNS<\/strong><\/p>\n\n\n
Pro: blocco annunci e tracker di default, audit Cure53, giurisdizione UE (Cipro), variante Family con controllo parentale, interfaccia semplice. Contro: latenza pi\u00f9 alta (15,2ms EU), log 7 giorni sul piano free, piano premium necessario per dashboard e statistiche avanzate.<\/p>\n\n\n\n
NextDNS<\/strong><\/p>\n\n\n
Pro: dashboard completa con analytics, centinaia di liste di blocco configurabili, giurisdizione UE (Francia), audit GDPR, opt-out logging su piano paid, 19,90\u20ac\/anno. Contro: latenza 14,3ms EU, limite 1M query\/mese sul piano free (insufficiente per famiglie), configurazione iniziale pi\u00f9 complessa rispetto agli altri.<\/p>\n\n\n\n
Il verdetto: quale DNS privato scegliere nel 2026<\/h2>\n\n\n\n
La scelta del DNS privato non \u00e8 universale: dipende dal profilo di rischio, dal contesto d’uso e dalla disponibilit\u00e0 a pagare. Ecco il verdetto per ogni scenario:<\/p>\n\n\n\n
Per la velocit\u00e0 massima senza compromessi:<\/strong> Cloudflare 1.1.1.1<\/strong>. Nessun altro resolver pubblico \u00e8 pi\u00f9 veloce in Europa. La differenza con Google (0,7ms) \u00e8 irrilevante, ma Cloudflare aggiunge un audit di privacy indipendente, nessun log delle query, e il modello WARP per proteggere anche il traffico non-DNS. \u00c8 la scelta corretta per il 70% degli utenti domestici e per i team di sviluppo.<\/p>\n\n\n\n
Per la massima privacy e giurisdizione non americana:<\/strong> Quad9 9.9.9.9<\/strong>. No-profit svizzero, fuori dal CLOUD Act, audit verificato, blocco malware integrato. La latenza aggiuntiva di 2ms in Europa rispetto a Cloudflare \u00e8 un costo accettabile per chi tratta dati sensibili, opera in settori regolamentati o vuole escludere qualsiasi rischio legato alla giurisdizione americana. La scelta per giornalisti, avvocati, medici, ricercatori e aziende soggette al GDPR in modo rigoroso.<\/p>\n\n\n\n
Per famiglie con minori e reti domestiche:<\/strong> AdGuard DNS<\/strong> (piano gratuito o Family). Blocco annunci e tracker di default senza configurazione client, variante Family con parental control integrato. Funziona su qualsiasi dispositivo connesso al router, incluse SmartTV e console di gioco che non supportano configurazione DNS manuale.<\/p>\n\n\n\n
Per PMI e utenti avanzati con esigenze di controllo:<\/strong> NextDNS Pro<\/strong> a 19,90 euro l’anno. Dashboard con analytics, filtri personalizzabili per categorie, profili separati per dispositivi o reparti, opt-out completo dal logging. \u00c8 il Pi-hole in cloud, senza server da gestire.<\/p>\n\n\n\n
Da evitare per uso personale:<\/strong> Google 8.8.8.8<\/strong>. Non per velocit\u00e0 o affidabilit\u00e0 (\u00e8 eccellente su entrambi), ma per la politica di logging di 18 mesi e l’assenza di qualsiasi audit indipendente. Cambiare DNS da Google a Cloudflare richiede due minuti e migliora la privacy senza alcun compromesso di prestazione misurabile nel 99% dei casi d’uso.<\/p>\n\n\n\n
Qualunque sia la scelta, cambiare il resolver DNS dell’ISP con uno qualsiasi dei provider in questa lista rappresenta un miglioramento netto: velocit\u00e0 superiore, cifratura delle query con DoH o DoT, e almeno una politica di privacy documentata. Chi vuole protezione completa pu\u00f2 combinare un DNS privato con una VPN no-log (che cifra anche il traffico tra il dispositivo e il resolver stesso) o affidarsi a Tor Browser per i casi in cui l’anonimato della navigazione \u00e8 critico.<\/p>\n\n\n\n
Copertura correlata<\/h2>\n\n\n\n
Approfondimenti sulla privacy e sicurezza digitale<\/h3>\n\n\n\n