VPN Sicure per Accesso Remoto: WireGuard vs OpenVPN per PMI
Confronto tecnico tra WireGuard e OpenVPN per PMI italiane: performance, sicurezza, facilità di gestione e qual è la scelta migliore per il tuo server.
Lo smart working è diventato strutturale, ma per molti sysadmin italiani è diventato un incubo. Laptop lenti, connessioni che cadono, dipendenti frustrati che chiedono "perché internet va piano quando accendo la VPN?".
Se la tua azienda usa ancora protocolli vecchi come PPTP (bucabile in minuti) o si affida a soluzioni consumer per l'accesso remoto, non stai solo sacrificando la produttività: stai violando i requisiti di sicurezza base della nuova Direttiva NIS2.
Dal Re al Nuovo Standard: OpenVPN vs WireGuard
Per quasi vent'anni, OpenVPN è stato lo standard indiscusso. Sicuro, flessibile, open source. Ma come ogni tecnologia "legacy", inizia a mostrare i segni del tempo. È basato su un codice complesso (>100.000 righe) e "pesante" per le CPU, soprattutto sui router o cellulari.
Poi è arrivato WireGuard.
Nato nel 2015 e integrato direttamente nel kernel di Linux nel 2020, WireGuard è stato scritto con un obiettivo: essere semplice, veloce e auditable. Con sole 4.000 righe di codice, presenta una superficie di attacco minuscola rispetto ai giganti del passato.
Confronto Tecnico: I Numeri non Mentono
Abbiamo testato la differenza di performance in uno scenario reale: un dipendente in 4G che accede ai file sul server aziendale.
| Caratteristica | OpenVPN (TCP) | WireGuard (UDP) | Vincitore |
|---|---|---|---|
| Velocità Throughput | ~250 Mbps | ~850 Mbps | WireGuard |
| Latenza (Ping) | +15/20 ms | +2/3 ms | WireGuard |
| Tempo Connessione | 2-5 secondi | <100ms (istantaneo) | WireGuard |
| Roaming (WiFi ↔ 4G) | La connessione cade e riparte | Trasparente (mantiene sessione) | WireGuard |
Il vantaggio del Roaming è cruciale per i dipendenti mobili. WireGuard gestisce il cambio di indirizzo IP client nativamente. Se un commerciale esce dall'ufficio (Wi-Fi) e sale in auto (4G), la chiamata VoIP o il download del file non si interrompe. Con OpenVPN, la sessione cade e deve rinegoziare (spesso chiedendo di nuovo la password).
VPN "Consumer" vs VPN Aziendale
Molte PMI confondono "avere una VPN" con "usare NordVPN/ExpressVPN". Facciamo chiarezza:
- VPN Consumer: Serve a nascondere la tua identità su internet (es. per sembrare connesso dagli USA).
- VPN Aziendale (Site-to-Site o Client-to-Site): Serve a estendere la rete sicura dell'ufficio verso l'esterno. Ti permette di lavorare da casa come se fossi seduto alla scrivania, con lo stesso IP statico e le stesse policy di sicurezza.
Per la compliance NIS2, serve la seconda.
Sicurezza Accessi: MFA e Zero Trust
Non date mai per scontato che chi ha le chiavi della VPN sia davvero il vostro dipendente. Se un laptop viene rubato con la configurazione VPN salvata, il ladro è dentro la rete.
Per questo, SecBox Shield integra nativamente l'autenticazione a due fattori (2FA/MFA) sopra il tunnel WireGuard. Anche con il certificato corretto, senza approvazione sul telefono, il tunnel non passa traffico.
La crittografia di WireGuard si basa su primitive moderne — Noise Protocol Framework, Curve25519, ChaCha20, Poly1305 — che garantiscono segretezza in avanti (Perfect Forward Secrecy) e resistenza agli attacchi noti. Non ci sono cipher suite da configurare: il protocollo è opinionated per design, eliminando la possibilità di downgrade attack.
Configurazione per le PMI: L'Approccio SecBox
Configurare WireGuard "a mano" su Linux richiede la generazione di coppie di chiavi pubblica/privata per ogni device e la modifica di file di configurazione testuali. Un incubo gestionale per chi ha 20+ dipendenti.
SecBox rende WireGuard enterprise-ready con tre elementi chiave:
- Dashboard Centralizzata: Vedi chi è connesso in tempo reale, da quale IP, con quale device.
- Onboarding via QR Code: Il dipendente scarica l'app ufficiale WireGuard, inquadra il QR Code inviato via email cifrata, ed è connesso. Tempo totale: 30 secondi.
- Kill Switch immediato: Se un dipendente lascia l'azienda, revochi l'accesso con un click e le sue chiavi vengono invalidate globalmente — nessuna configurazione da rimuovere manualmente su ogni device.
Quando OpenVPN ha ancora senso
Nonostante WireGuard vinca su quasi tutti i fronti, OpenVPN rimane valido in scenari specifici:
- Ambienti con Deep Packet Inspection restrittivi: Alcune reti aziendali o paesi bloccano il traffico UDP. OpenVPN in modalità TCP su porta 443 è praticamente indistinguibile dal traffico HTTPS.
- Compatibilità legacy: Se avete appliance hardware datate che supportano solo OpenVPN, la migrazione ha un costo che va valutato.
- Audit trail consolidato: Chi ha investito anni in log analysis su OpenVPN può preferire la continuità.
Per tutte le nuove installazioni PMI, la raccomandazione tecnica è WireGuard.
Conclusione
La VPN aziendale non è un "nice to have" ma un requisito tecnico esplicito della Direttiva NIS2 per chiunque acceda alle risorse aziendali da remoto. La scelta tra WireGuard e OpenVPN non è ideologica: è una decisione di ingegneria basata su performance, semplicità di gestione e superficie di attacco.
WireGuard vince su tutti e tre i fronti per le PMI italiane nel 2026.