Quattro giurisdizioni nordiche, per l'hosting.
Statuto per statuto, in linguaggio semplice.
Svezia, Finlandia, Norvegia, Islanda — quattro regimi costituzionali di libertà di stampa, ciascuno con una forma giuridica diversa. Le leggi reali, la giurisprudenza reale, la posizione reale di adesione UE / SEE, e cosa significa ciascuno per un server che vi risiede.
| Sweden | Finland | Norway | Iceland | |
|---|---|---|---|---|
| Bastione | STO.001 | HEL.001 | OSL.001 | RKV.001 |
| Membro UE | Sì (1995) | Sì (1995) | No · SEE | No · SEE |
| Legge costituzionale sulla libertà di stampa | Tryckfrihetsförordningen (1766) | Sananvapauslaki + §12 | §100 Grunnloven (1814) | §73 + IMMI (2010) |
| Divulgazione della fonte | Reato penale | Reato previsto dalla legge | Protezione forte | Protezione prevista dalla legge |
| GDPR | Diretto (UE) | Diretto (UE) | Incorporato nel SEE | Incorporato nel SEE |
| Autorità di regolamentazione | IMY | DPO | Datatilsynet | Persónuvernd |
| Conservazione di massa dei dati | Nessun mandato generale | Nessun mandato generale | Nessun mandato generale | Nessun mandato generale |
Svezia — il più antico regime scritto di libertà di stampa nel mondo.
La Tryckfrihetsförordningen svedese, la Legge sulla Libertà di Stampa, risale al 1766 — più antica degli Stati Uniti. È uno dei quattro atti costituzionali e ha rango superiore alla legge ordinaria. Combinata con la Yttrandefrihetsgrundlagen, la Legge Fondamentale sulla Libertà di Espressione (1991), la Svezia garantisce a editori, giornalisti e alle loro fonti uno scudo scritto e giudiziariamente applicato contro le interferenze statali.
Per un operatore di infrastrutture di comunicazione il fatto rilevante è che la divulgazione di una fonte anonima è essa stessa un reato penale ai sensi della legge svedese — anche quando la polizia chiede informazioni sulla fonte. La soglia che lo stato deve raggiungere per richiedere dati operativi è fissata dalla costituzione, non dalla discrezione di un investigatore. Entrambi i vincoli sopravvivono alla traduzione in un modello di hosting pagato in crypto e senza identità.
La Svezia è nell'UE e applica il GDPR direttamente. L'autorità svedese per la protezione dei dati (IMY) è una delle più assertive in Europa — la minimizzazione dell'Articolo 5 è applicata. La Svezia ospita anche il precedente europeo più famoso per l'hosting di contenuti controversi — Bahnhof ospita WikiLeaks nel bunker Pionen dal 2010 senza interferenze statali riuscite.
Per cosa è più indicato: Clienti che desiderano il più lungo possibile pedigree costituzionale, il regolatore GDPR più severo dei quattro paesi, e il consolidato track record legale relativo all'hosting di discorsi controversi.
Finlandia — silenziosamente il paese più costantemente libero nella stampa.
La Finlandia scrive la protezione della libertà di espressione direttamente nella Costituzione. L'Articolo 12 garantisce a ogni persona la libertà di espressione, il diritto di pubblicare senza interferenza preventiva, e la garanzia che le condizioni dell'esercizio pubblico dell'espressione siano scritte nella legge ordinaria piuttosto che lasciate all'esecutivo. La Sananvapauslaki — la Legge sull'esercizio della libertà di espressione nei media di massa — attua quel diritto costituzionale con il livello di specificità per cui la legislazione finlandese è nota.
Per gli operatori di infrastrutture i due fatti operativi che contano sono: (1) la Sananvapauslaki riconosce una persona responsabile operativa il cui ruolo statutario include la protezione delle fonti, e la divulgazione forzata dell'identità della fonte è un reato statutario; (2) il regime costituzionale vincola la capacità dello stato di richiedere dati all'infrastruttura di comunicazione, rendendo le richieste amministrative di routine meno praticabili rispetto a molte giurisdizioni comparabili.
La Finlandia è nell'UE e applica il GDPR direttamente. L'Ufficio del Garante per la protezione dei dati è conservativo, prescrittivo e pronto a emettere decisioni vincolanti. La Finlandia ha costantemente ottenuto i punteggi più alti nel World Press Freedom Index nell'ultimo decennio — l'ambiente culturale e legale per l'infrastruttura privacy è insolitamente stabile.
Per cosa è più indicato: Clienti che valorizzano la prevedibilità giuridica e un ambiente politicamente tranquillo sopra ogni altra cosa. La Finlandia è la giurisdizione in cui i compromessi sono meglio compresi e i regolatori più espliciti.
Norvegia — SEE, non UE. Una distinzione significativa.
La Norvegia è membro dello Spazio economico europeo ma non dell'Unione europea. La conseguenza pratica è significativa e sottovalutata. La Corte di giustizia dell'Unione europea non ha giurisdizione diretta su un operatore norvegese; gli strumenti secondari solo-UE non incorporati nell'accordo SEE non vincolano la Norvegia; e la Norvegia mantiene un'autorità nazionale indipendente sull'applicazione della protezione dei dati.
Non è una via di fuga legale — la Norvegia ha il GDPR in vigore tramite l'accordo SEE e il Datatilsynet è un'autorità di regolamentazione attiva. Ciò che offre è un secondo forum giuridico sovrano strettamente allineato alle norme UE sulla privacy ma libero dalla legislazione solo-UE che il resto del blocco potrebbe approvare.
Sopra il GDPR incorporato nel SEE si trova l'Articolo 100 della Costituzione norvegese, originariamente redatto nel 1814 e sostanzialmente rivisto nel 2004. Garantisce la libertà di espressione e la protezione delle infrastrutture di comunicazione dall'azione statale arbitraria — scritto sopra la legge ordinaria, nella stessa posizione architetturale degli equivalenti svedese e finlandese.
Per cosa è più indicato: Clienti che desiderano essere all'interno del GDPR incorporato nel SEE ma fuori dalle istituzioni politiche UE e dall'autorità diretta della Corte di giustizia europea. La ragione del «secondo foro sovrano».
Islanda — la dottrina sulla privacy più esplicita d'Europa.
Nel 2010 l'Althingi — il parlamento islandese — ha approvato una risoluzione che indirizza il paese verso il più forte regime combinato per la libertà di espressione, la protezione delle fonti e l'immunità degli host disponibile in qualsiasi singola giurisdizione. Quella risoluzione è l'Icelandic Modern Media Initiative, IMMI. Alcuni dei suoi pilastri sono ora scritti nella legge ordinaria; il resto della dottrina dà forma a come i tribunali e i regolatori islandesi interpretano i casi di comunicazione.
Sopra IMMI si trova l'Articolo 73 della Costituzione islandese, che garantisce la libertà di espressione e vieta la censura preventiva. L'Islanda è membro del SEE ma non dell'UE — il GDPR si applica tramite l'accordo SEE ed è applicato da Persónuvernd, ma la Corte di giustizia europea non ha autorità diretta su un operatore islandese.
L'Islanda non ha mandato statutario per la conservazione di massa dei dati. La legislazione sulla sicurezza nazionale è comparativamente ristretta. Il paese è piccolo, lo stato di diritto è forte, e il consenso politico intorno alla protezione delle infrastrutture di comunicazione è insolitamente duraturo attraverso lo spettro politico. Il famoso precedente storico (la difesa di 1984 Hosting dei contenuti adiacenti a WikiLeaks, il track record di 15 anni di OrangeWebsite) è giurisprudenza locale che nessun'altra giurisdizione del gruppo possiede.
Per cosa è più indicato: Clienti che desiderano il più esplicito avallo ufficiale della postura operativa disponibile in tutta Europa, il GDPR incorporato nel SEE senza la politica UE, e il valore simbolico di gestire infrastrutture sull'isola IMMI.
Quando scegliere quale. Quattro modelli di minaccia, quattro risposte.
Scegliere Stockholm.
La Tryckfrihetsförordningen (1766) più il precedente operativo Bahnhof / WikiLeaks. La più consolidata con ampio margine.
Scegliere Helsinki.
La Finlandia è costantemente la più politicamente tranquilla delle quattro. La Sananvapauslaki ha la formulazione più precisa sul dovere statutario di protezione delle fonti.
Scegliere Oslo.
La Norvegia è solo SEE, quindi il diritto secondario UE non incorporato non si applica e la Corte di giustizia europea non ha autorità diretta. Il Datatilsynet è indipendente.
Scegliere Reykjavík.
IMMI è una risoluzione parlamentare che dirige esplicitamente il paese a essere il regime di privacy combinato più forte in qualsiasi singola giurisdizione. Non esiste altrove una dichiarazione equivalente.
Domande, con risposta.
Otto domande a livello di statuto che un lettore attento pone prima di scegliere un bastione nordico.
Svezia, Finlandia, Norvegia e Islanda sono tutte nell'UE?
Svezia e Finlandia sì, Norvegia e Islanda no. La Svezia è entrata nell'UE nel 1995 e la Finlandia nel 1995. Norvegia e Islanda hanno ripetutamente rifiutato l'adesione all'UE ma hanno aderito allo Spazio Economico Europeo nel 1994 — incorporano la maggior parte del diritto del mercato unico UE incluso il GDPR tramite l'accordo SEE, ma rimangono fuori dalle istituzioni politiche dell'UE e fuori dalla giurisdizione diretta della Corte di Giustizia dell'Unione Europea. L'effetto pratico per il hosting: gli strumenti secondari solo-UE non vincolano Norvegia o Islanda, e la CGUE non ha autorità diretta sugli operatori al loro interno.
Quale delle quattro è la più forte per la libertà di stampa?
Difficile da classificare oggettivamente. La Svezia ha la protezione costituzionale continua più lunga (Tryckfrihetsförordningen dal 1766). L'Islanda ha la dottrina moderna più esplicita (risoluzione parlamentare IMMI 2010). La Finlandia ha la protezione statutaria delle fonti più precisa (Sananvapauslaki). La Norvegia ha la clausola costituzionale più antica (Articolo 100 della costituzione del 1814). Per profili di cliente diversi vincono diversi — vedere la tabella di confronto di seguito.
Il GDPR si applica su ogni server?
Sì. Svezia e Finlandia sono membri dell'UE e applicano il GDPR direttamente. Norvegia e Islanda incorporano il GDPR tramite l'accordo SEE e lo applicano sotto i loro regolatori nazionali (Datatilsynet, Persónuvernd). La conseguenza operativa per NordBastion: la minimizzazione dei dati dell'Articolo 5 è un obbligo legale su ogni bastion, in aggiunta all'impegno dottrinale che già lo richiede.
Le forze dell'ordine del paese X possono imporre l'accesso ai dati di un server nel paese Y?
Tramite assistenza giudiziaria reciproca formale — sì, in linea di principio. In pratica il processo è lento (settimane o mesi per una richiesta MLAT), richiede che l'autorità straniera dimostri la doppia incriminabilità (l'atto deve essere illegale in entrambi i paesi), e passa attraverso i tribunali del paese ricevente che applicano il diritto costituzionale del paese ricevente. Una richiesta del paese X per dati su un server in Svezia viene esaminata ai sensi della legge svedese sulla libertà di stampa prima che si muova qualsiasi dato. Questo è significativamente diverso da una richiesta interna.
Esiste un singolo paese nordico «migliore» per l'hosting?
No, e qualsiasi host che lo affermi sta sopravvalutando. Le quattro giurisdizioni scambiano cose diverse. Svezia e Finlandia sono all'interno dell'UE e della giurisdizione della Corte di giustizia europea ma hanno il più forte statuto scritto di libertà di stampa e la legge di protezione delle fonti. Norvegia e Islanda sono fuori dalla politica UE ma all'interno dello SEE e fuori dall'autorità diretta della Corte di giustizia europea. La scelta giusta dipende da quale compromesso corrisponde al proprio modello di minaccia — e il valore unico di operare su tutti e quattro è che non si deve impegnarsi in un'unica risposta.
Dove è registrata la società operativa di NordBastion?
In Estonia. NordBastion OÜ è una società a responsabilità limitata privata estone. L'Estonia non è una delle quattro giurisdizioni operative ma la sua legge societaria è stata scelta perché la e-Residency estone e il quadro societario sottostante sono ben adatti a un operatore attento alla privacy (completamente digitale, nessun requisito in presenza, registro societario trasparente). I server risiedono fisicamente in Svezia, Finlandia, Norvegia e Islanda indipendentemente da dove è registrata la società operativa.
Cos'è l'IMMI?
L'Icelandic Modern Media Initiative — una risoluzione del 2010 approvata all'unanimità dal parlamento islandese (l'Althingi) che incarica il paese di adottare il regime combinato più forte per la libertà di espressione, la protezione delle fonti e l'immunità degli host disponibile in qualsiasi singola giurisdizione. Diversi pilastri dell'IMMI sono stati successivamente codificati nel diritto ordinario islandese; il resto della dottrina plasma il modo in cui tribunali e autorità di regolamentazione islandesi interpretano i casi di comunicazione. Per un cliente di privacy hosting, l'IMMI è il più esplicito endorsement ufficiale della postura operativa disponibile ovunque in Europa.
Tutti e quattro i paesi nordici hanno un equivalente del warrant canary nella loro legge?
No — il warrant canary è una pratica operativa delle società di hosting, non un'istituzione statutaria. Il quadro legale che rende significativo un canary è la regola per cui un ordine del tribunale di consegnare dati può anche impedire all'operatore di confermare pubblicamente che l'ordine esisteva. In tutti e quattro i paesi nordici questa struttura di clausola-bavaglio esiste, il che significa che l'assenza di un aggiornamento del canary su una cadenza pubblicata è essa stessa un segnale giuridicamente significativo. Il canary di NordBastion viene riaffermato il primo di ogni mese e firmato con la chiave PGP pubblicata; vedere /warrant-canary/.
Stessa linea di prodotti, quattro regimi giuridici.
Ultima revisione · 2026-05-20 · Fonti · testo dello statuto + traduzioni ufficiali del governo
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
What “no KYC” actually means — and what it does not.
XMR end-to-end — wallet, transfer, confirmations, change.
Lightning invoice → paid VPS in under 30 seconds.
SSH keys, ufw, fail2ban, kernel knobs, unattended-upgrades.