ExpressVPN ha comunicato di aver rimosso tutti i server fisici in India. La software house è stata costretta a prendere questa drastica decisione perché a fine mese entrerà in vigore la direttiva del CERT-In che obbliga i fornitori dei servizi online a conservare i dati degli utenti per almeno cinque anni. È possibile ancora utilizzare un indirizzo IP indiano attraverso i server virtuali.
Legge indiana incompatibile con le VPN
In base alle nuove regole approvate dal CERT-In (Indian Computer Emergency Response Team), tutti i service provider (non solo le VPN) devono segnalare gli incidenti di sicurezza (data breach, attacchi ransomware e altri) entro sei ore dalla loro rilevazione. Devono inoltre conservare i dati degli utenti, tra cui nome, indirizzo email e indirizzo IP reale. Queste informazioni potrebbero essere richieste in caso di indagini su eventuali reati e in nome della sicurezza nazionale.
ExpressVPN ha dichiarato che la direttiva è incompatibile con lo scopo delle VPN, ovvero la protezione della privacy. La legge, che entrerà in vigore il 27 giugno, potrebbe anche aprire le porte a potenziali abusi. Pertanto ExpressVPN “si rifiuta di partecipare ai tentativi del governo indiano di limitare la libertà di Internet“.
La software house adotta una stringente politica no-log, quindi non registra le attività dell’utente, la cronologia di navigazione, la destinazione del traffico, gli indirizzi IP, la durata delle sessioni e altri dati. ExpressVPN utilizza inoltre la tecnologia TrustedServer: i server funzionano solo su RAM e non viene scritto nessun dato su SSD o hard disk. Ciò significa che per rispettare la legge indiana dovrebbe essere modificata l’intera infrastruttura.
Gli utenti possono ancora scegliere server che assegnano un indirizzo IP indiano e quindi accedere ad Internet come se fossero in India, ma si tratta di server virtuali che si trovano fisicamente a Singapore e nel Regno Unito.