Vai al contenuto principale
50% di sconto tutti i piani, tempo limitato. A partire da $2.48/mo
16 min left
Sicurezza e rete

Le migliori soluzioni VPN auto-ospitate, i loro pro e contro, casi d'uso e dettagli di nicchia

J Di Jonas 16 min di lettura
Best self-hosted VPN solutions guide: WireGuard, Tailscale, Hiddify compared by use case

"VPN self-hosted" significa tre cose diverse per tre pubblici diversi, e la maggior parte degli articoli a elenco fallisce perché li tratta come una cosa sola. Un utente che tiene alla privacy e vuole sostituire un servizio VPN commerciale con il proprio nodo di uscita non sta risolvendo lo stesso problema di un team di ingegneri di quattro persone che collega un home lab ad AWS. Gli strumenti si sovrappongono, ma lo strumento giusto per un lavoro è raramente lo strumento giusto per un altro.

Questa guida è strutturata attorno a quella divisione. Tre casi d'uso, tre raccomandazioni principali e i compromessi onesti che ognuno comporta. Qui non ci sono procedure di configurazione. Una volta individuato lo strumento giusto per il tuo lavoro, seguono i link alle guide complete di configurazione.

La versione breve

  • Per la privacy personale come tuo nodo di uscita, distribuisci WireGuard su un piccolo VPS in una giurisdizione non Five Eyes. WireGuard Easy aggiunge un'interfaccia web se la desideri. OpenVPN solo quando la tua rete blocca UDP.
  • Per una mesh di team che collega laptop, home lab e VPC cloud, Tailscale è la risposta pragmatica per la maggior parte dei team. Usa Headscale o Netmaker solo se possedere il control plane fa parte del tuo modello di minaccia.
  • Per gli utenti in ambienti internet restrittivi, Hiddify Manager è attualmente la risposta migliore. WireGuard e OpenVPN, da soli, non sopravvivono alla deep packet inspection.
  • Un VPS con 1 vCPU e 512 MB gestisce un server WireGuard personale con margine in abbondanza. Il collo di bottiglia è la banda, non la potenza di calcolo.

Quando l'auto-hosting di una VPN ha davvero senso

Comparison of self-hosted VPN versus commercial VPN: one exit IP you control versus thousands of shared IPs

Una VPN commerciale ti offre migliaia di IP di uscita condivisi e zero manutenzione. Una VPN self-hosted ti offre esattamente un IP, una sola posizione e la piena responsabilità del server. Sono prodotti diversi, nonostante il modo in cui vengono spesso commercializzati.

L'auto-hosting è la scelta giusta quando una delle seguenti condizioni è vera:

  • Vuoi ridurre al minimo il numero di soggetti che possono vedere il tuo traffico non cifrato. Con una VPN commerciale, può il provider. Con una VPN self-hosted, puoi soltanto tu.
  • Hai bisogno di una giurisdizione specifica. Francoforte per l'esposizione al GDPR. Sydney per testare servizi australiani con restrizioni geografiche. La Svizzera per una legislazione sulla protezione dei dati più rigorosa (quando la disponibilità lo consente). I provider commerciali lo offuscano; l'auto-hosting lo rende esplicito.
  • Stai collegando l'infrastruttura di un team, non solo instradando la navigazione personale.
  • Ti trovi in un ambiente di censura in cui le VPN commerciali sono esse stesse bloccate.

L'auto-hosting è la scelta sbagliata quando vuoi la massima diversità di IP per lo streaming, quando non vuoi gestire un server Linux, o quando il tuo modello di minaccia è puramente "impedire al mio ISP di vendere i dati della mia navigazione". Per il terzo caso, il DNS cifrato insieme al browser che già usi svolge la maggior parte del lavoro.

C'è una limitazione che vale la pena nominare subito, perché emerge in molte discussioni oneste sulle VPN self-hosted. WireGuard, per progettazione, conserva l'ultimo indirizzo IP rilevato di ogni peer nello stato del kernel. Un provider VPN commerciale può dichiarare "nessun log", ma non hai modo di verificarlo. Chi fa self-hosting può verificarlo, e la verifica ti dirà che il kernel sa davvero da quale IP si è connesso il tuo telefono questa mattina. La mitigazione non consiste nell'ignorare la cosa; consiste nel ruotare le chiavi, eliminare lo stato del kernel a intervalli pianificati e accettare il compromesso.

Caso d'uso 1: nodo di uscita per la privacy personale

Verdetto rapido: WireGuard su un piccolo VPS in una giurisdizione non Five Eyes. WireGuard Easy se vuoi un'interfaccia web senza la riga di comando. OpenVPN solo quando UDP è bloccato sulla rete da cui ti connetti.

WireGuard: la scelta predefinita

WireGuard exit node diagram: a VPS in a non-Five-Eyes jurisdiction routing encrypted traffic

WireGuard è la risposta giusta per il caso d'uso del nodo di uscita per la privacy.

Il protocollo usa il framework Noise per lo scambio di chiavi e completa un handshake in un solo round trip. OpenVPN usa TLS, che richiede più round trip ed espone più metadati nel processo. L'overhead di latenza di WireGuard è in genere di da 1 a 3 millisecondi in aggiunta alla connessione sottostante. OpenVPN aggiunge dal 20 al 30 percento di overhead di latenza in condizioni comparabili.

Dati di throughput da un benchmark del 2025 sottoposto a revisione paritaria su di MDPI Computers rivista: circa 210 Mbps con WireGuard contro 110 Mbps con OpenVPN nelle stesse condizioni di VM con tunnel TCP. Su hardware bare-metal con il modulo del kernel abilitato, WireGuard puro raggiunge circa 8 Gbps su hardware di classe gigabit; lì il limite è la scheda di rete, non il protocollo.

Il codebase è di circa 4,000 righe. Quello di OpenVPN è molte volte più grande. Un codebase ridotto non è di per sé sicurezza, ma rende pratici gli audit. WireGuard è stato sottoposto ad audit; è arrivato nel kernel Linux mainline nella versione 5.6 ed è l'impostazione predefinita nella maggior parte delle distribuzioni.

La configurazione è un file di testo di 12 righe. Non c'è motivo perché sia più complicata di così. La procedura completa di configurazione è documentata sul nostro blog, che copre l'installazione dei pacchetti, la generazione delle chiavi, la configurazione dei peer e le regole del firewall.

Un VPS economico e semplice gestisce un server WireGuard personale con banda in abbondanza. Il collo di bottiglia sarà la tua connessione internet domestica, non il server. Per la maggior parte dei lettori, un VPS economico è più che sufficiente per far funzionare la propria configurazione WireGuard.

Consiglio degli esperti: WireGuard registra nello stato del kernel l'ultimo indirizzo IP rilevato di ogni peer. Per una privacy davvero senza log, accettalo e ruota le chiavi, oppure elimina lo stato del kernel a intervalli pianificati. Non far finta che la limitazione non esista. La nota tecnica sulla privacy di WireGuard di Proton VPN riconosce questo aspetto nella propria implementazione.

WireGuard con un'interfaccia web

Se gestire i peer dalla riga di comando non ti attira, vale la pena conoscere due wrapper.

WireGuard Easy è un container Docker che espone un pannello di amministrazione web. Genera le configurazioni dei peer, stampa i codici QR per i client mobile e archivia tutto in un unico volume di configurazione. La configurazione è rapida. È adatto all'uso personale e ai piccoli nuclei domestici.

WGDashboard è un'alternativa più pesante. Più peer supportati, più funzionalità amministrative, più tempo di configurazione. Ne vale la pena se gestisci più di 20 peer; altrimenti WireGuard Easy è sufficiente.

Quando OpenVPN ha ancora un suo spazio

OpenVPN non è obsoleto. Sopravvive in due scenari specifici.

Il primo sono le reti restrittive che bloccano UDP. WireGuard funziona solo su UDP, per progettazione. Le reti aziendali, il WiFi degli hotel e alcuni operatori mobili bloccano tutto il traffico UDP tranne il DNS. OpenVPN può funzionare su TCP sulla port 443, il che lo aiuta a passare attraverso molti firewall restrittivi. Se ti connetti regolarmente da reti che ti ostacolano su UDP, OpenVPN è la soluzione di ripiego.

Il secondo è l'ampio supporto per i client legacy. Esistono client OpenVPN per ogni sistema operativo che ha funzionato negli ultimi quindici anni, comprese piattaforme che WireGuard non prende di mira. Se il tuo pubblico include telefoni più vecchi o appliance, la compatibilità di OpenVPN è più ampia.

OpenVPN Access Server aggiunge un'interfaccia di amministrazione web sopra il protocollo ed è gratuito per due connessioni simultanee. Oltre le due connessioni, la licenza è per utente. Pritunl è una terza opzione che aggiunge una dashboard di amministrazione comparabile sia per OpenVPN sia per WireGuard, senza licenza per utente. Per l'uso personale, il piano gratuito di OpenVPN AS è sufficiente. Per i piccoli team che hanno scartato Tailscale, Pritunl è la scelta più pulita. La procedura completa di installazione di OpenVPN puro è trattata nel nostro articolo su come installare OpenVPN su VPS.

Scegliere una posizione

A questa scala la giurisdizione conta più del throughput. Se parte del tuo motivo per fare self-hosting è ridurre l'esposizione agli accordi di condivisione di intelligence, il raggruppamento rilevante è l'alleanza Five Eyes (US, UK, Canada, Australia, Nuova Zelanda) e i suoi partner estesi. Francoforte e Amsterdam sono scelte comuni non Five Eyes in Europa. Dubai è interessante se il tuo traffico è nella regione del Medio Oriente. Svizzera e Singapore hanno framework di protezione dei dati più rigorosi, ma sono spesso esauriti presso i provider più piccoli.

Se WireGuard fa al caso tuo, il nostro VPS WireGuard con un clic ti fa saltare il processo di configurazione e si installa in pochi minuti.

Caso d'uso 2: rete mesh per team

Verdetto rapido: Tailscale per la maggior parte dei team. Headscale o Netmaker se hai bisogno di possedere il control plane. La mesh WireGuard pura solo se hai meno di 10 nodi e pazienza.

Tre ingegneri da remoto, un home lab, un server di staging su AWS e una VM di database in un rack in colocation. Le cinque macchine devono comunicare tra loro senza esporre port pubbliche. Nessuna di esse ha un IP pubblico stabile. Due si trovano dietro un Carrier-Grade NAT.

Questo è un problema che la mesh WireGuard non è stata progettata per risolvere in modo elegante su larga scala.

Perché la mesh WireGuard pura diventa un problema su larga scala

Chart showing quadratic growth in WireGuard peer config pairs as node count increases from 5 to 20

Una mesh richiede che ogni peer conosca ogni altro peer. Il formato di configurazione di WireGuard riflette direttamente questo aspetto: ogni peer ha una sezione [Peer] per ogni nodo con cui comunica. Cinque nodi significano che ogni file di configurazione ha quattro blocchi [Peer], e il numero totale di configurazioni da mantenere nella mesh è N per (N meno 1) diviso 2.

Con cinque nodi, sono 10 coppie di connessione. Con 10 nodi, 45. Con 20, 190. La crescita è quadratica. Aggiungere un singolo nodo a una mesh di 20 nodi richiede di aggiornare 20 file di configurazione e riavviare 20 daemon. Rimuovere una chiave richiede lo stesso.

Esistono strumenti come wg-meshconf e Netmaker per automatizzare tutto questo.

Tailscale: una raccomandazione onesta per la maggior parte dei team

Tailscale è davvero abbastanza buono per la maggior parte dei team. Il control plane è ospitato da Tailscale, il data plane è peer-to-peer diretto e il piano gratuito copre 100 devices. La configurazione richiede meno di cinque minuti. L'attraversamento NAT funziona nella maggior parte degli ambienti di rete senza configurazione. Le ACL sono gestite centralmente.

L'avvertenza onesta: il control plane è una dipendenza da terze parti. Tailscale distribuisce le chiavi WireGuard che collegano i tuoi dispositivi. Se il server di coordinamento di Tailscale viene compromesso, in linea di principio un aggressore potrebbe inserirsi nella mesh. Tailscale pubblica una documentazione dettagliata sul modello di minaccia che riconosce questo aspetto e utilizza i tailnet lock e l'attestazione dei nodi per rafforzare la protezione contro tale rischio. Per la maggior parte dei team, questa dipendenza è accettabile. Per i team il cui modello di minaccia include aggressori statali o requisiti normativi rigorosi sui metadati di coordinamento, non lo è.

Il data plane di Tailscale aggira i server dell'azienda quando possibile. Quando il peer-to-peer diretto fallisce, il traffico ricade sui server relay DERP di Tailscale, che sono limitati a circa 5 Mbps. Se due dei tuoi nodi finiscono sempre su DERP a causa di problemi di NAT, il limite del relay diventa il collo di bottiglia.

Consiglio degli esperti: se il tuo ISP domestico usa il Carrier-Grade NAT, non puoi accettare connessioni in entrata da casa. Tailscale e Headscale gestiscono questo automaticamente tramite hole-punching e fallback su DERP. WireGuard puro richiede un VPS raggiungibile pubblicamente come relay, con il nodo domestico che funge da client che avvia le connessioni in uscita.

Headscale: quando hai bisogno di possedere il control plane

Architecture diagram comparing Tailscale hosted control plane, self-hosted Headscale, and Netmaker coordination layers

Headscale è una reimplementazione open source del server di coordinamento di Tailscale. Il client ufficiale di Tailscale si connette a Headscale anziché ai server ospitati da Tailscale, e l'esperienza per l'utente è simile. Ma ha un compromesso cruciale: gestisci il control plane tu stesso, il che significa che uptime, aggiornamenti e patch di sicurezza sono un tuo problema.

A Headscale manca parte della rifinitura di Tailscale. La configurazione delle ACL avviene tramite YAML e CLI, non tramite un'interfaccia web. Occasionalmente emergono casi limite di MagicDNS che il client ufficiale gestisce silenziosamente nella versione ospitata. Il progetto è ben mantenuto, gira in produzione presso le organizzazioni che ne hanno bisogno ed è adatto ai team il cui modello di minaccia o postura di conformità richiede un coordinamento self-hosted.

La manutenzione di Headscale è un lavoro continuo. Se preferisci alleggerirti di questo onere, un Linux VPS con uno SLA di uptime del 99,95% e supporto 24/7 gestisce il carico di lavoro del controller senza l'onere della reperibilità. Il controller in sé è leggero perché gestisce solo il coordinamento; il traffico effettivo della mesh è peer-to-peer.

Netmaker

Netmaker è un livello di coordinamento alternativo che gira sopra WireGuard anziché reimplementare Tailscale. La differenza architetturale è significativa: quando il peer-to-peer diretto fallisce, Netmaker può instradare attraverso nodi relay self-hosted senza il limite di 5 Mbps che il DERP di Tailscale impone. Per le mesh di team che hanno bisogno di un throughput costante anche in caso di fallimenti NAT, questo è importante.

L'esperienza di sviluppo di Netmaker è più ruvida di quella di Tailscale. La community edition gira su un singolo VPS e supporta i casi d'uso che hanno la maggior parte dei piccoli team. La commercial edition di Netmaker aggiunge funzionalità enterprise ma non rientra in questa discussione.

Il nostro VPS Netmaker con un clic include un'installazione rapida su un'infrastruttura veloce.

Caso d'uso 3: aggirare la censura

Verdetto rapido: Hiddify Manager per gli ambienti con censura attiva. Outline per le regioni più semplici. WireGuard e OpenVPN non sopravvivono alla deep packet inspection. Non distribuirli come strumenti anti-censura.

Il traffico di WireGuard è identificabile dalla sua struttura di pacchetti UDP, quindi può essere bloccato. Il problema non è che la crittografia di WireGuard sia debole. La crittografia va bene. Il problema è che i pacchetti cifrati assomigliano a una VPN, e la censura moderna ispeziona la forma dei pacchetti, la temporizzazione e le impronte di protocollo, non solo il contenuto del payload.

Una VPN self-hosted come unico strumento anti-censura fallirà in qualsiasi ambiente con deep packet inspection attiva. L'approccio giusto è una categoria diversa di strumento: traffico che imita la normale navigazione web abbastanza bene da impedire al censore di distinguerlo dal vero traffico HTTPS verso un sito web reale.

Questa categoria invecchia più velocemente del resto di questa guida. I censori si adattano. I protocolli vengono bloccati. Nuovi metodi di offuscamento, come REALITY e Hysteria2, sono emersi negli ultimi due anni e i prossimi due ne porteranno altri. La logica di selezione, che consiste nell'abbinare il livello di offuscamento all'ambiente di censura, è duratura. Lo strumento specifico che funziona oggi nel tuo paese potrebbe non funzionare tra sei mesi. Il repository GitHub e l'issue tracker di Hiddify sono il posto in cui controllare lo stato attuale prima di distribuire.

Hiddify Manager: attualmente la risposta migliore

Hiddify Manager admin panel showing protocol rotation options: REALITY, Hysteria2, Shadowsocks-2022, V2Ray, and WireGuard fallback

Hiddify Manager è un meta-strumento. Non è di per sé un singolo protocollo VPN; è un livello di amministrazione che distribuisce, gestisce e ruota più di 20 protocolli anti-censura sottostanti su un singolo VPS. La release Hiddify v12 di febbraio 2026 supporta:

  • Reality (XTLS su VLESS)
  • Hysteria2
  • Shadowsocks-2022 con le varianti TLS
  • V2Ray e Xray con i trasporti WS, gRPC e H2
  • WireGuard come fallback

Il pannello di amministrazione web gestisce la gestione degli utenti, i limiti di traffico e l'instradamento dei protocolli per singolo utente.

La funzione di rotazione dei protocolli è la parte che conta nella pratica: quando un protocollo comincia a fallire in un determinato paese, l'amministratore sposta gli utenti su un altro senza ridistribuire il server. Questa è la differenza operativa tra Hiddify e uno stack a protocollo singolo.

Due note sui protocolli che vale la pena capire prima della distribuzione. Reality è attualmente lo stato dell'arte per l'evasione dal fingerprinting TLS. Imita una vera connessione HTTPS verso un vero sito web pubblico (scelto dall'operatore, in genere un sito ad alto traffico come cloudflare.com), e un censore che ispeziona l'handshake vede quella che sembra una normale connessione verso quel sito. Hysteria2 è un protocollo basato su UDP con offuscamento integrato che si comporta bene su reti con perdita di pacchetti; è più veloce delle alternative basate su TCP quando la rete è instabile, il che descrive la maggior parte delle connessioni consumer negli ambienti con restrizioni.

Il marketplace di Cloudzy offre anche un'immagine Hiddify con un clic sulla stessa infrastruttura VPS Linux, distribuibile in pochi minuti.

La selezione della posizione per questo caso d'uso differisce dai casi d'uso legati alla privacy. Evita gli US e i principali punti di uscita dell'UE quando servi utenti in regioni con un alto livello di rilevamento. Tra le buone opzioni ci sono Dubai, Francoforte, Amsterdam e Singapore, che offrono un'ampia copertura geografica.

V2Ray, Xray, Shadowsocks: il livello sottostante

V2Ray e il suo fork Xray sono la famiglia di protocolli che Hiddify incapsula. Se Hiddify è troppa astrazione e vuoi distribuire un singolo protocollo con configurazione manuale, V2Ray o Xray direttamente è la strada da seguire. Il compromesso è operativo: gestisci da solo il daemon, il certificato TLS, la configurazione dell'offuscamento e le modalità di guasto. La maggior parte dei lettori sarà servita meglio da Hiddify.

Shadowsocks è più vecchio. Il protocollo originale funziona ancora in molti ambienti, ma viene rilevato sempre più spesso dalla DPI moderna. Shadowsocks-2022 ha aggiunto miglioramenti agli stream cipher che chiudono alcune classi di rilevamento, ma da solo non affronta gli attacchi di fingerprinting del protocollo. È ragionevole come una delle opzioni all'interno di una distribuzione Hiddify, meno ragionevole come strumento autonomo nel 2026.

Outline: regioni più semplici

Outline è il wrapper di Jigsaw attorno a Shadowsocks con un'interfaccia di amministrazione intuitiva. Nel 2026 è passato alla Outline Foundation come progetto indipendente. Outline è una scelta ragionevole per gli utenti in ambienti in cui la censura è meno aggressiva, dove il semplice offuscamento di classe Shadowsocks funziona ancora e dove chi effettua la distribuzione non è tecnico e vuole un'esperienza preconfezionata. Hiddify copre più terreno nella maggior parte degli ambienti.

Confronto affiancato

Strumento Ideale per Configurazione Throughput Attraversamento del firewall Requisito minimo di VPS Modello di fiducia
WireGuard Nodo di uscita personale Basso ~210 Mbps in tunnel, ~8 Gbps kernel bare-metal Solo UDP; bloccato da alcune reti 12 MB RAM Self-hosted; controlli tutte le chiavi
WireGuard Easy Personale, interfaccia web preferita Basso Come WireGuard Solo UDP 512 MB RAM Self-hosted
OpenVPN AS Reti con UDP bloccato Medio ~110 Mbps in tunnel TCP 443 sembra HTTPS 1 GB RAM Self-hosted; 2 connessioni gratuite
Pritunl Dashboard OpenVPN/WG per piccoli team Medio Paragonabile al protocollo sottostante UDP o TCP 2 GB RAM Self-hosted; nessun costo per utente
Tailscale La maggior parte dei team Molto bassa P2P diretto quasi a velocità di linea; DERP limitato a 5 Mbps Attraversamento NAT automatico Nessuno richiesto (control plane ospitato) Control plane ospitato
Headscale Team che necessitano di un control plane self-hosted Medio Come Tailscale Attraversamento NAT automatico 1 GB RAM Completamente self-hosted
Netmaker Mesh di team, senza limite DERP Medio Throughput di classe WireGuard Attraversamento NAT tramite relay self-hosted 1 GB RAM Completamente self-hosted
Hiddify Manager Anti-censura, regioni restrittive Medio (interfaccia web) Dipende dal protocollo Evasione dalla DPI tramite REALITY, Hysteria2, ecc. 1 GB RAM Self-hosted

Scegli prima il caso d'uso

La decisione viene prima dello strumento.

  • Distribuisci WireGuard quando il tuo caso d'uso è la privacy personale come tuo nodo di uscita.
  • Usa Tailscale se il tuo caso d'uso è collegare le macchine di un team, a meno che possedere il control plane non faccia parte del tuo modello di minaccia, nel qual caso opta per Headscale o Netmaker.

Gli strumenti non sono intercambiabili; la modalità di fallimento derivante dall'usarne uno per un altro caso d'uso è reale.

Qualunque sia la strada applicabile, la parte difficile della distribuzione e della manutenzione rimane. Il marketplace di Cloudzy ha distribuzioni con un clic per ogni strumento trattato sopra. La parte difficile è abbinare lo strumento al modello di minaccia. Quella parte viene prima di qualsiasi pulsante di distribuzione.

Domande frequenti

Dovrei usare WireGuard o OpenVPN per la mia VPN self-hosted?

WireGuard in quasi tutti i casi. È più veloce, ha una latenza inferiore, è incluso nel kernel Linux ed è molto più semplice da configurare. Usa OpenVPN solo quando devi attraversare firewall che bloccano UDP (configurato sulla port TCP 443) o quando hai bisogno di un ampio supporto per client legacy che WireGuard non prende ancora di mira.

Tailscale è davvero self-hosted?

No. Il data plane di Tailscale è peer-to-peer, ma il control plane (distribuzione delle chiavi, coordinamento dell'identità) è ospitato da Tailscale. Per molti team, il control plane ospitato di Tailscale è accettabile; la domanda è se il tuo modello di minaccia lo tratti come una dipendenza che puoi accettare.

Qual è la dimensione minima di VPS per far funzionare una VPN self-hosted?

512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.

Posso usare WireGuard se il mio ISP domestico usa CGNAT?

Non come server verso cui avvii connessioni dall'esterno. Il Carrier-Grade NAT impedisce del tutto le connessioni in entrata verso il tuo IP domestico. Due strade per aggirarlo: noleggiare un piccolo VPS come relay raggiungibile pubblicamente, con il tuo dispositivo domestico che si connette verso l'esterno; oppure usare Tailscale o Headscale, che gestiscono l'attraversamento NAT tramite hole-punching automaticamente. Entrambi funzionano; l'approccio VPS ti dà un IP stabile, l'approccio Tailscale ti dà una mesh.

Share

Altro dal blog

Continua a leggere.

Pronto a distribuire? Da 2,48 $/mese.

Cloud indipendente, dal 2008. AMD EPYC, NVMe, 40 Gbps. Rimborso entro 14 giorni.