La mascotte orso polare di NordBastion dietro un podio giudiziario nordico in pietra con un registro aperto che mostra icone di identità barrate e bilance in ottone accanto a lui, lo scudo-N ciano sollevato da una fievole magia ciano

Spiegazione·10 min di lettura · Aggiornato 2026

Hosting VPS no-KYC, spiegato.
Cosa è, cosa non è, e come riconoscere quelli veri.

«No-KYC» è una delle espressioni più abusate nel settore dell'hosting privacy. Questa guida illustra cos'è realmente il KYC, cosa significa no-KYC a ogni livello del rapporto con il cliente, e quattro test concreti che distinguono un host serio sulla privacy da un brand che usa il termine come ornamento.

Capitolo 1

Cosa sia davvero il KYC, e da dove viene.

KYC — Know Your Customer — è un insieme di procedure di verifica dell'identità originariamente codificate nella regolamentazione antiriciclaggio dei servizi finanziari. L'implementazione canonica raccoglie quattro cose: nome legale, indirizzo di residenza, un documento d'identità rilasciato dal governo (passaporto o carta d'identità nazionale), e la prova che il documento appartiene alla persona che lo presenta (il ormai onnipresente «selfie con documento d'identità»). A volte una bolletta o un estratto conto aggiunge la prova dell'indirizzo. L'obbligo dei servizi finanziari è reale, la documentazione è ben definita, e i regolatori che lo applicano (FinCEN negli USA, FCA nel Regno Unito, BaFin in Germania, FINMA in Svizzera, FATF globalmente) verificano la conformità regolarmente.

Ciò che è meno ben definito è come il KYC sia migrato dai servizi finanziari a categorie adiacenti. Il hosting è una di queste. Non esiste uno statuto in Svezia, Finlandia, Norvegia o Islanda che richieda a un'azienda di hosting di applicare KYC ai propri clienti. La pratica si è diffusa per convenzione — principalmente perché gli host che accettano carte di credito ereditano la cultura di prevenzione delle frodi del processore di carte, e perché gli acquisti aziendali si aspettano di essere identificati. Una piccola fetta del mercato del hosting si è consapevolmente allontanata da quella convenzione. Quella fetta è ciò a cui si riferisce il «no-KYC hosting».

La distinzione è importante perché la parola di marketing «anonimo» può riferirsi a diversi livelli, e la rimozione del KYC è solo uno di essi. Un host perfettamente no-KYC che non accetta criptovalute, rifiuta Tor e condivide il suo indirizzo IP con chiunque lo chieda, sta comunque perdendo dati negli altri due livelli. Il vero privacy hosting è uno stack; la rimozione del KYC è un elemento.

Capitolo 2

Perché la maggior parte degli host richiede il KYC. Tre motivi reali.

Motivo 1 — assicurazione contro i chargeback. Gli host pagati con carta subiscono chargeback a tassi non trascurabili — tipicamente 0.5-2% delle transazioni, a volte peggio per gli host economici. Verificare il titolare della carta riduce tale esposizione: se il cliente può dimostrare di essere il legittimo proprietario della carta prima che l'addebito venga compensato, il rischio di chargeback diminuisce. Un host pagato in crypto non ha alcuna esposizione ai chargeback (le transazioni in criptovaluta sono irreversibili), e quindi perde questo intero motivo per chiedere. NordBastion è solo crypto e quindi non ha esposizione ai chargeback da cui difendersi.

Motivo 2 — velocità nella gestione degli abusi. Quando un server viene segnalato per spam, hosting di malware o gestione di infrastrutture di phishing, identificare il proprietario legale rende la chiusura più rapida — l'host può avvisare, sospendere o terminare con documentazione che un tribunale accetterebbe. Un privacy host rinuncia a questo essendo esplicito nella politica di uso accettabile riguardo a cosa causa esattamente una sospensione, e sospendendo per motivi operativi (il server sta inviando spam) anziché legali (l'operatore è identificabile). Stesso risultato, meccanismo diverso.

Motivo 3 — legittimità degli acquisti aziendali. I clienti enterprise si aspettano di essere identificati perché la loro stessa conformità lo richiede. Un fornitore che non chiede è, paradossalmente, più difficile da inserire attraverso l'approvvigionamento aziendale. Un host privacy si auto-esclude da questo segmento — la base clienti è composta da individui, piccoli team e sviluppatori attenti alla privacy, non dall'approvvigionamento delle Fortune 500.

Tutte e tre le ragioni sono legittime per i rispettivi modelli di business. Semplicemente non si applicano a un host pagato in crypto, orientato ai clienti individuali, che pubblica esplicitamente la propria politica d'uso accettabile. Rifiutare il KYC in quelle condizioni è operativamente coerente, non arbitraggio normativo.

Capitolo 3

Compromessi. Cosa si cede.

Il no-KYC non è gratuito. Il compromesso più concreto è il recupero dell'account. Un host KYC può riemettere la password verificando l'identità attraverso i documenti in archivio. Un host no-KYC non può — non c'è nulla in archivio contro cui verificare. Perdere la password (e, se abilitato, il seed TOTP) significa perdere l'account.

Il modello mentale corretto è trattare la password del pannello come si tratta una seed phrase di un wallet di criptovalute: la scriva su carta, la conservi offline, accetti che non esiste un percorso di recupero. Il segreto del 2FA dovrebbe essere sottoposto a backup nello stesso modo (il codice QR TOTP, o la stringa seed di 25 caratteri, annotata al momento della configurazione). Entrambi conservati insieme in una busta sigillata in un cassetto è la configurazione canonica. Perdere entrambi = perdere l'account.

Il secondo compromesso è che alcuni metodi di pagamento non sono disponibili. Bonifico bancario e carta di credito sono esclusi, perché entrambi impongono KYC al cliente alla fonte di finanziamento. La criptovaluta è inclusa. PayPal si trova a disagio nel mezzo — alcuni host no-KYC lo accettano, altri lo rifiutano per il rischio di chargeback e l'esposizione dell'identità. NordBastion non accetta PayPal per entrambi questi motivi.

Il terzo compromesso, più sottile, è psicologico. Un cliente abituato ad aspettarsi «verifichi la sua identità» da ogni relazione commerciale potrebbe trovare una registrazione no-KYC destabilizzante all'inizio — c'è un momento di «aspetti, non ha bisogno del mio nome?» che alcuni nuovi clienti riportano. La destabilizzazione svanisce entro pochi giorni dall'utilizzo del servizio. Al secondo mese, i clienti di solito notano che l'assenza di esposizione dell'identità è a sua volta una forma di comfort.

Capitolo 4

Quattro test per un vero host no-KYC. Ciascuno è indipendente.

Legga il flusso di registrazione

Aprire la pagina di registrazione in una finestra privata e leggere ogni campo del modulo. Se qualche campo richiede il caricamento di un documento, un numero di telefono, o un'affermazione «verifica il tuo nome legale», l'host applica il KYC, indipendentemente da cosa dice il marketing. Il flusso di registrazione è la prova più diretta.

Legga i termini di servizio

Un host serio definisce i limiti d'uso accettabile in modo esplicito e conciso. Un host difensivo si nasconde dietro un elenco di 12 pagine di clausole onnicomprensive vaghe scritte da un avvocato statunitense. La lunghezza e la concretezza sono segnali positivi; la verbosità e la vaghezza sono anti-segnali.

Legga l'informativa sulla privacy

Una vera politica sulla privacy elenca cosa viene raccolto E cosa viene rifiutato. L'elenco «cosa viene rifiutato» è il più difficile da scrivere e il più informativo da leggere — un host che ha ragionato sulla propria minimizzazione dei dati pubblicherà entrambi. Un host che pubblica solo «cosa viene raccolto» non lo ha fatto.

Cercare un warrant canary

Un canary è una dichiarazione che l'host non ha ricevuto una richiesta legale segreta, riaffermata con una cadenza pubblicata e firmata con una chiave pubblica. La sua presenza non è una prova, ma la sua assenza è suggestiva. La sua scomparsa — il canary smette di essere aggiornato — è eloquente. Un host serio ne pubblica uno.

FAQ · No-KYC

Domande, con risposta.

Le otto domande che un cliente scettico si pone prima di fidarsi di una promessa «no-KYC».

Cosa sta per «KYC» e cosa richiede in pratica?

Know Your Customer. L'insieme delle procedure di verifica dell'identità originariamente codificate nella regolamentazione dei servizi finanziari — nome, indirizzo, documento d'identità rilasciato dal governo, a volte un controllo di liveness «selfie con documento d'identità», a volte una bolletta per la prova dell'indirizzo. L'obbligo dei servizi finanziari è reale e si applica a banche, exchange e aziende di money transfer. Il KYC si è diffuso a molte aziende adiacenti per convenzione piuttosto che per legge; le società di hosting sono una di tali classi adiacenti, e una piccola fetta del mercato dell'hosting ha deciso consapevolmente di non applicarlo.

L'hosting VPS no-KYC è davvero legale?

In ogni giurisdizione in cui NordBastion opera — Svezia, Finlandia, Norvegia, Islanda — sì, chiaramente. Una società di hosting non è un istituto finanziario regolamentato; l'obbligo legale di KYC sui propri clienti non si applica. Quello che può essere richiesto all'host è rispondere a richieste legali legittime riguardanti un server specifico, ma in pratica più pochi dati l'host detiene sul proprio cliente in primo luogo, meno ce n'è da consegnare. KYC-free non è quindi una scappatoia normativa; è una postura deliberata di minimizzazione dei dati all'interno di un regime normativo che lo consente.

Perché allora la maggior parte degli host richiede il KYC?

Tre motivi, in ordine approssimativamente decrescente di importanza. (1) Assicurazione contro i chargeback: gli host con pagamento tramite carta vengono colpiti da chargeback fraudolenti a tassi non trascurabili, e la verifica del titolare della carta riduce quell'esposizione. (2) Velocità nella gestione degli abusi: se un server inizia a fare spam o ospitare contenuti illegali, conoscere il proprietario legale rende la chiusura più rapida. (3) Legittimità degli acquisti: i clienti aziendali si aspettano di essere identificati perché la propria conformità lo richiede. Un host privacy-first con pagamento in crypto ha risposte diverse a tutti e tre (nessun chargeback da carta, limiti rigidi nella politica di uso accettabile, auto-esclusione deliberata dal segmento di approvvigionamento aziendale), il che spiega perché il no-KYC è praticabile su piccola scala e non su larga.

Qual è il compromesso per il cliente?

Un host no-KYC generalmente non ha modo di effettuare il recupero dell'account al di là della password e (se abilitato) del 2FA. Non esiste il percorso «verifica la tua identità per reimpostare la password» perché non c'è nessuna identità in archivio. Ciò significa che perdere le credenziali dell'account = perdere l'account. I clienti dovrebbero trattare la password come la seed phrase di un wallet di criptovalute — scriverla su carta, conservarla offline, accettare che non ci sia alternativa. Il compromesso è reale ed è il prezzo della minimizzazione dei dati.

Come si riconosce un vero host no-KYC rispetto a uno solo di marketing?

Quattro domande. (1) Leggere il flusso di registrazione prima di pagare — qualche campo richiede il caricamento di un documento, un numero di telefono o un nome legale? (2) Leggere i termini di servizio — elenca i limiti d'uso accettabile esplicitamente, o si nasconde dietro clausole onnicomprensive vaghe? (3) Leggere la politica sulla privacy — dice cosa viene raccolto E cosa viene rifiutato, o solo cosa viene raccolto? (4) Verificare l'esistenza di un warrant canary pubblicato — la sua assenza è suggestiva. Un host che risponde (1) no, (2) esplicitamente, (3) entrambi gli elenchi, (4) sì, sta facendo il lavoro. Un host che fallisce uno qualsiasi dei quattro sta vendendo il brand e non la sostanza.

No-KYC significa «tutto è permesso»?

No. Ogni host no-KYC serio ha almeno un limite assoluto, scritto esplicitamente. La politica d'uso accettabile di NordBastion ne nomina esattamente uno — materiale di abuso sessuale sui minori — e delinea un piccolo insieme di categorie di comportamento operativo scorretto (spam di massa, staging DDoS deliberato, ecc.) che portano alla sospensione di un cliente. Il punto del no-KYC è rifiutare la raccolta di dati di routine, non abbandonare il giudizio dell'operatore.

Cosa succede se il mio paese richiede ai provider VPS di verificare l'identità del cliente?

Alcuni paesi hanno questo requisito; la maggior parte no. La domanda dal lato cliente non è «il provider è obbligato a verificarmi dalla legge del mio paese» ma «il provider è obbligato a verificarmi dalla legge del paese del provider» — perché è il provider ad applicare la regola. NordBastion è registrata in Estonia e opera da Svezia, Finlandia, Norvegia e Islanda; nessuno di questi impone la verifica dell'identità del cliente ai provider di hosting. Se il suo paese ha regole che si applicano a Lei indipendentemente da chi la ospita, è un problema separato che il provider non può risolvere.

Posso usare un'email falsa alla registrazione?

Può farlo. Molti clienti lo fanno — un indirizzo nuovo da Tutanota, Proton, Cock.li, o qualsiasi provider rispettoso della privacy, utilizzato solo per l'account NordBastion e nient'altro. L'account non diventa meno recuperabile perché l'e-mail è falsa; l'e-mail è solo il canale di reset della password. Se l'account ospita workload critici, tratti l'e-mail come una credenziale cold-storage — un'identità separata che nessun altro può compromettere per accedere al pannello.

Legga le politiche