Scegliere la giurisdizione di hosting offshore nel 2026 è la singola decisione sulla privacy con la leva più alta che prenderete per un progetto — più importante del sistema operativo, più importante della criptovaluta di pagamento, più importante di Cloudflare davanti al server. Il server si può irrobustire. La moneta si può sostituire. Il paese in cui si trovano fisicamente i vostri dati non può essere cambiato a posteriori. Questa guida scompone la scelta in sei assi, analizza sette giurisdizioni e offre un framework decisionale basato su quattro archetipi reali.
Passate direttamente al selettore interattivo se volete un quiz. Continuate a leggere se volete capire perché risponde nel modo in cui risponde.
I sei assi che contano davvero
La maggior parte degli articoli su "il miglior hosting offshore" confronta i paesi su velocità e uptime, il che è irrilevante ai fini della privacy. Quello di cui avete davvero bisogno è una lettura chiara su sei fattori legali e operativi concreti.
1. Conservazione obbligatoria dei dati
Alcuni paesi obbligano per legge i provider di hosting, gli ISP o entrambi, a conservare i metadati di connessione per un periodo minimo. La Direttiva NIS2 dell'UE (in vigore dall'ottobre 2024) ha rafforzato gli obblighi di notifica degli incidenti di sicurezza in tutti e 27 gli Stati membri, senza però ripristinare il regime di conservazione generale che la Corte di Giustizia UE aveva dichiarato invalido con la sentenza Digital Rights Ireland del 2014. Nel 2026, la conservazione generalizzata è illegale a livello UE — ma la normativa dei singoli Stati membri varia, e alcuni paesi extra-UE impongono finestre di conservazione di 6 o 12 mesi agli operatori contigui alle telecomunicazioni.
2. Esposizione ai trattati MLAT
Un Mutual Legal Assistance Treaty è un accordo bilaterale che consente alle forze dell'ordine di un paese di acquisire prove detenute in un altro. Il più rilevante per i clienti di lingua inglese è l'insieme statunitense: circa 70 MLAT attivi, con assenze notevoli (Panama non ha un MLAT con gli USA per materia penale; quello della Russia è stato sospeso nel 2022). Le richieste MLAT richiedono tipicamente da 6 a 12 mesi di lavorazione e necessitano della doppia incriminazione — la condotta oggetto di indagine deve essere un reato anche nel paese ricevente.
3. GDPR e altre leggi di tutela della privacy
Per le giurisdizioni UE/SEE ottenete la copertura del GDPR per impostazione predefinita — ovvero un chiaro canale di accesso per gli interessati, un termine di notifica delle violazioni di 72 ore e un'autorità di controllo a cui rivolgervi. La Svizzera replica questo con la legge federale sulla protezione dei dati revisionata (revLPD, in vigore dal settembre 2023). Al di fuori di questi ambiti, l'Islanda applica la versione SEE del GDPR; Panama, Moldova e Russia non lo fanno.
4. Tempi di rimozione dei contenuti
Con quale rapidità può un terzo — titolare di copyright, governo straniero, controparte in un procedimento civile — ottenere la rimozione di un contenuto da un server in quel paese? In Islanda e Svizzera è necessario un ordine del tribunale, che può richiedere settimane. In Stati UE cooperativi con gli USA possono bastare giorni. In Panama, Russia e Moldova, le richieste MLAT di rimozione vengono abitualmente archiviate o respinte.
5. Qualità dell'infrastruttura
Capacità di rete, disponibilità di IPv4, maturità nella mitigazione DDoS e sicurezza fisica dei datacenter variano considerevolmente. Svizzera e Paesi Bassi guidano su questo asse. Moldova e Panama sono utilizzabili ma più limitate. La Russia è grande ma è rimasta sempre più isolata dai principali provider di transit occidentali dal 2022.
6. Resistenza alla censura
Il governo locale esercita pressioni sul vostro host per rimuovere contenuti? L'iniziativa IMMI islandese (risoluzione parlamentare approvata nel 2010, implementazione in corso) rende l'Islanda una delle giurisdizioni con la più forte libertà di espressione in Europa. La neutralità svizzera, unita all'elevato standard costituzionale sulle limitazioni alla libertà di parola, la pone al secondo posto. I Paesi Bassi hanno inasprito le misure sugli estremismi negli ultimi tre anni. La Russia censura pesantemente i contenuti politici interni ma ignora tipicamente le pressioni legali occidentali.
Sette giurisdizioni, a confronto
Di seguito uno snapshot delle sette giurisdizioni presenti sulla nostra pagina delle location. Ogni voce è sintetica — per il diritto sottostante leggete le pagine specifiche per paese.
| Paese | Conservazione dati | MLAT con USA | Ambito GDPR | Velocità rimozione | Ideale per |
|---|---|---|---|---|---|
| Islanda | Nessuna per hosting | Sì (1996) | Equivalente SEE | Lenta (ordine del tribunale) | Giornalismo, leak, libertà di espressione |
| Panama | Nessuna | No | Nessuna | Molto lenta | Massima resistenza alle rimozioni |
| Moldova | Nessuna applicata | Sì (2014) | Solo nazionale | Lenta | No-KYC budget, enforcement ridotto |
| Romania | Nessuna (sentenza 2014) | Sì (2009) | GDPR pieno | Media | Compliance UE + tutela privacy |
| Svizzera | 6 mesi solo telecom | Sì (1977) | revLPD (equiv. GDPR) | Lenta (ordine del tribunale) | Stabilità, livello finance |
| Paesi Bassi | Nessuna per host | Sì (1981) | GDPR pieno | Rapida | Peering EU ad alte prestazioni |
| Russia | 1 anno (Yarovaya) | Sospeso 2022 | Nessuna | Praticamente nulla per richieste occidentali | Massima distanza legale da USA/UE |
Romania: la sentenza del 2014 che conta ancora
Nel luglio 2014, la Corte Costituzionale rumena (Decisione n. 440/2014) ha annullato il recepimento nazionale della Direttiva UE sulla conservazione dei dati — mesi prima che la Corte di Giustizia UE facesse lo stesso in Tele2/Watson. Nel 2026 la Romania non ha alcun obbligo generale di conservazione dei dati per host o ISP, pur essendo a pieno titolo uno Stato membro UE con copertura GDPR. Questa combinazione — floor di privacy UE + assenza di conservazione + energia economica + ampia disponibilità di IPv4 — spiega perché Bucarest è diventata uno dei principali hub di hosting offshore in Europa.
Svizzera: privacy attraverso il processo, non l'assenza di legge
Le revisioni svizzere della BÜPF (Legge sulla sorveglianza della posta e delle telecomunicazioni) nel 2018 hanno ampliato ciò che i gestori telecom possono essere obbligati a conservare — ma i puri provider di hosting esulano dal suo ambito. Combinato con la revLPD dal 2023 e con il divieto costituzionale di perquisizioni senza mandato, la Svizzera offre privacy attraverso un processo lento, costoso e supervisionato giudizialmente, piuttosto che tramite l'inesistenza giuridica della norma.
Islanda e IMMI
Il parlamento islandese ha approvato una risoluzione nel 2010 (l'Icelandic Modern Media Initiative) indicando al governo di adottare leggi all'avanguardia mondiale sulla tutela dei whistleblower, delle fonti e della libertà di espressione. L'attuazione è stata incrementale — il 2026 è l'anno in cui si attende un atto consolidato definitivo — ma la realtà operativa è che i tribunali islandesi rifiutano da oltre un decennio le richieste di rimozione estere che contrastano con le norme domestiche sulla libertà di espressione.
Framework decisionale: scegliere per archetipo
Privilegiare eccessivamente un singolo asse produce risultati peggiori rispetto a una scelta ponderata su tutti e sei. Ecco quattro archetipi comuni con la giurisdizione corrispondente.
Archetipo 1: il giornalista
Siete un reporter o gestite una piattaforma whistleblower. La minaccia è la rimozione tramite pretesto copyright, cause per diffamazione o pressioni di Stati esteri. Scegliete l'Islanda — protezioni legali IMMI, floor di privacy SEE, processo di rimozione lento, tribunali solidi. Seconda scelta: Svizzera.
Archetipo 2: il sysadmin / SRE
Gestite l'infrastruttura per una piccola azienda o una ONG che semplicemente non vuole che i propri dati siano soggetti alla giurisdizione dei tribunali statunitensi. Minaccia: subpoena MLAT, discovery civile. Scegliete la Romania — GDPR pieno, nessuna conservazione, costo contenuto, peering UE, stabile. Seconda scelta: Paesi Bassi.
Archetipo 3: l'operatore crypto
Gestite un nodo self-custodial, un payment processor o un backend DeFi. Minaccia: spedizioni di pesca regolamentari, strisciamento KYC in stile exchange. Scegliete Panama o Moldova — nessun MLAT o MLAT debole, nessun regolatore di privacy nativo, host non regolamentati. Seconda scelta: Islanda.
Archetipo 4: l'editore di contenuti
Gestite un forum, una bacheca immagini o una grande community con aree grigie legate al copyright. Minaccia: flood DMCA, notifiche di rimozione ripetute. Scegliete la Russia — per la massima distanza legale. Seconda scelta: Panama. Se avete bisogno di pubblici europei e transit più veloce, Moldova è un compromesso percorribile.
Cosa non ottimizzare
Alcuni errori ricorrenti in quasi tutti gli articoli sul "miglior offshore" che sono per lo più irrilevanti.
Latenza
La differenza tra un server a Bucarest e uno a Reykjavík è di 30–80ms per gli utenti europei — rilevante per i bot di trading, irrilevante per blog, mail, endpoint VPN, build host e quasi tutto il resto. Non sacrificate la giurisdizione per 50ms.
"Bulletproof"
Linguaggio di marketing. Non esiste un host che ignori ogni legge ovunque. Ogni operatore legittimo si conforma agli ordini del tribunale nella propria giurisdizione; la questione è quali ordini si applicano. Chi vi vende un vero "bulletproof" o sta ignorando vettori di abuso noti (CSAM, malware attivo) oppure è esso stesso la minaccia.
Stabilità della valuta
Irrilevante quando si paga in crypto. L'host quota in USD, voi pagate in BTC/XMR/ecc. La volatilità della valuta locale è un problema dell'host.
Checklist operativa
Una volta scelto il paese, verificate questi punti prima di impegnarvi:
- Proprietà dell'ASN locale. Il provider di hosting dovrebbe possedere (o avere un contratto di locazione a lungo termine su) spazio IP attribuito a quel paese, senza transitare attraverso un upstream USA/UK che detiene i rapporti di peering effettivi.
- Datacenter fisico, non rivenditore. Se il vostro provider rivende capacità da un cloud basato negli USA, i tribunali statunitensi possono fare pressione sull'upstream indipendentemente da quanto dice il vostro contratto.
- AUP coerente con la giurisdizione. Se l'AUP di un host panamense assomiglia a quello di AWS, lo applicherà come AWS.
- Checkout nativo crypto. Un host che richiede verifica KYC prima di accettare Bitcoin ha di fatto importato l'esposizione MLAT dalla porta sul retro. Verificate il flusso di pagamento prima di iscrivervi.
- Leggete il transparency report. O notate la sua assenza. Un host che non ne ha mai pubblicato uno in cinque anni sta nascondendo o molte rimozioni o molta cooperazione.
Per mappare il vostro threat model specifico su un paese in modo interattivo, eseguite il nostro selettore di giurisdizione in 7 domande. Per confrontare i sei assi fianco a fianco, consultate tutte le location. Per approfondimenti specifici per giurisdizione: hosting DMCA-ignored, hosting offshore e hosting no-KYC. Per il livello operativo che complementa la giurisdizione, leggete VPS vs dedicated e confronto pagamenti crypto.