Hai un vecchio portatile che raccoglie polvere in un cassetto. Forse era il tuo laptop di lavoro qualche anno fa, forse l’hai comprato con buone intenzioni e poi sostituito. In ogni caso, dentro c’è ancora abbastanza potenza per diventare qualcosa di molto più utile: il tuo server privato.

In questa serie di articoli ti insegniamo a costruirlo da zero — con strumenti open-source, un’architettura pensata per la sicurezza e abbastanza semplicità da poterlo gestire anche senza un background tecnico avanzato. Prima di scrivere una riga di configurazione, però, dobbiamo capire cosa stiamo costruendo e perché.

Perché fare self-hosting nel 2026

La risposta breve è: perché i tuoi dati non appartengono a Google, Microsoft o Dropbox.

Ogni volta che usi un servizio cloud gratuito, stai pagando con qualcosa di più prezioso del denaro: i tuoi file, le tue email, le tue password, le tue abitudini. I fornitori di servizi cloud sanno quando ti svegli, cosa cerchi, con chi comunichi e quanto spendi. Non è fantascienza — è il modello di business su cui si reggono miliardi di dollari di fatturato pubblicitario.

Il self-hosting è la risposta pratica a questo problema. Invece di affidarti a un server in California che non hai mai visto e che non puoi controllare, gestisci i tuoi servizi su un computer che sta in casa tua. Sei tu il proprietario dei dati. Sei tu l’amministratore. Nessun terzo ha accesso, nessuno può leggere le tue email, nessuno può vendere il tuo profilo.

Certo, richiede un po’ di lavoro iniziale. Ma molto meno di quanto pensi — e questa serie è pensata proprio per accompagnarti passo dopo passo.

L’architettura: due zone, due livelli di accesso

Prima di scegliere quale software installare, dobbiamo pensare all’architettura. Un server mal configurato è peggio di nessun server: espone dati sensibili a chiunque sappia dove cercare.

Il nostro setup è diviso in due zone ben separate.

La zona privata è accessibile solo attraverso la VPN. Qui vivono i servizi che non devono mai essere raggiungibili da internet: il password manager, il pannello di controllo Docker, l’accesso SSH, le dashboard di monitoring. Nessuna porta aperta su internet, superficie d’attacco praticamente nulla. Se non sei connesso alla VPN, quei servizi non esistono per il mondo esterno.

La zona pubblica è quella che il mondo può vedere. Qui puoi ospitare il tuo sito web, il tuo server mail, la webmail. Il traffico passa attraverso un reverse proxy che gestisce HTTPS automaticamente — niente certificati da rinnovare a mano, niente configurazioni arcane.

La regola pratica è semplice: attivi la VPN e tutto funziona. Spegni la VPN e il tuo password manager torna invisibile. È un modello di sicurezza che funziona anche se sei un utente normale, non un sistemista.

Lo stack: cosa installeremo e perché

Tutto open-source, tutto verificabile, tutto controllato da te.

WireGuard + wg-easy è la nostra VPN. WireGuard è il protocollo VPN più moderno e sicuro disponibile oggi — codice semplice, crittografia eccellente, performance alte. wg-easy aggiunge un’interfaccia web semplice e la possibilità di generare QR code per connettere i tuoi dispositivi in trenta secondi. È la prima cosa che installeremo, perché da quel momento in poi ogni operazione di amministrazione passerà dalla VPN.

Vaultwarden è il password manager self-hosted, compatibile al 100% con Bitwarden. Vive nella zona privata, non è mai raggiungibile senza VPN, e ti permette di smettere di fidarti di LastPass o 1Password. Se non sai dove tenere le tue password, la risposta è qui.

Nginx Proxy Manager è il nostro reverse proxy per la zona pubblica. Ha un’interfaccia grafica, gestisce i certificati HTTPS in automatico tramite Let’s Encrypt e ti permette di esporre servizi su internet con la giusta configurazione di sicurezza — senza toccare file di configurazione a mano.

Mailcow è il mail server completo. È la parte più delicata dell’intero setup (lo diciamo chiaramente: la posta elettronica self-hosted richiede attenzione), ma Mailcow è la scelta più solida se vuoi qualcosa che puoi amministrare senza impazzire. Include interfaccia web, gestione di più domini, antispam e tutto quello che serve per configurare correttamente SPF, DKIM e DMARC.

L’ordine di installazione conta

Se sbagli l’ordine, ti complichi la vita. Questo è il percorso che seguiremo nella serie:

  1. WireGuard — prima di tutto. Da questo momento, l’amministrazione del server passa dalla VPN.
  2. Vaultwarden — subito dopo. Valore immediato, sicurezza immediata, e ti dà la soddisfazione di vedere il primo servizio funzionare.
  3. Nginx Proxy Manager — il gateway verso internet. DNS, HTTPS, siti web.
  4. Mailcow — quando la base è solida. Mail, SPF/DKIM/DMARC, backup.

Nelle prossime uscite affronteremo ogni passaggio in dettaglio: dall’installazione di Ubuntu Server sul portatile alla configurazione del DNS, dai primi comandi Docker alla gestione dei certificati SSL.

Conclusione

Un vecchio portatile, una connessione internet e qualche ora di lavoro: è tutto quello che serve per smettere di affidare i tuoi dati a qualcun altro. Non è un progetto per esperti — è un percorso pensato per chi vuole riprendere il controllo, un passo alla volta. Nel prossimo articolo iniziamo dal principio: scegliere l’hardware giusto e installare Ubuntu Server. Benvenuto nel self-hosting.

Approfondimenti e strumenti menzionati: