ExpressVPN è stata fondata nel 2009 e opera sotto la giurisdizione delle Isole Vergini Britanniche, che non prevedono leggi obbligatorie sulla conservazione dei dati. Nel settembre 2021, Kape Technologies ha acquisito la società per 936 milioni di dollari — la più grande acquisizione nella storia delle VPN. La storia di Kape è centrale per valutare ExpressVPN: la società ha operato come Crossrider dal 2011 al 2018, gestendo una piattaforma che iniettava annunci nelle estensioni del browser. Symantec ha segnalato il software Crossrider come malware e Google lo ha identificato come distributore di applicazioni potenzialmente indesiderate. Il principale azionista di Kape, Teddy Sagi, ha scontato una pena detentiva per frode sui titoli negli anni '90. Kape possiede anche CyberGhost, PIA, ZenMate e, in modo particolarmente rilevante, i siti di recensioni vpnMentor e WizCase — che ora collocano le VPN di Kape nelle posizioni di testa delle loro classifiche.
La controversia su Daniel Gericke ha aggiunto un ulteriore livello. Assunto come CIO nel dicembre 2019, Gericke aveva precedentemente lavorato al Progetto Raven — un'operazione di sorveglianza del governo degli Emirati Arabi Uniti che prendeva di mira cittadini statunitensi, giornalisti stranieri e attivisti per i diritti umani utilizzando exploit zero-click. È stato multato di 335.000 dollari dal DOJ nell'ambito di un accordo di deferred prosecution. ExpressVPN ha riconosciuto di essere a conoscenza di fatti chiave prima di assumerlo, sostenendo che il suo background avversariale migliorasse la sicurezza difensiva. Edward Snowden ha pubblicamente messo in discussione il giudizio dell'azienda. Gericke ha lasciato nel luglio 2023.
Sullo sfondo di questa proprietà aziendale, l'infrastruttura di sicurezza tecnica di ExpressVPN è genuinamente impressionante. TrustedServer funziona interamente in RAM senza hard disk — ogni riavvio carica un'immagine del sistema operativo aggiornata e firmata crittograficamente, e i server subiscono cicli di aggiornamento settimanali che cancellano tutti i dati precedenti. Questa architettura è stata verificata da PwC (2019), Cure53 (2022) e KPMG (2022, 2023, 2025). La politica di assenza di log ha ricevuto una validazione nel mondo reale nel 2017, quando le autorità turche hanno sequestrato un server fisico durante un'indagine per omicidio e non hanno recuperato alcun dato degli utenti.
Il protocollo Lightway, sviluppato internamente e reso open-source su GitHub, è stato riscritto da C a Rust nel 2025 per garantire la sicurezza della memoria. Lightway Turbo, introdotto lo stesso anno, utilizza il tunneling multi-lane e l'offload del canale dati a livello kernel per raggiungere velocità fino a 1.479 Mbps su Windows — sebbene questa funzionalità sia attualmente disponibile solo su Windows. Il Lightway standard raggiunge 200-300 Mbps nei test indipendenti, competitivo ma più lento di NordLynx di NordVPN nella maggior parte dei confronti diretti.
La crittografia post-quantistica che utilizza ML-KEM (lo standard NIST) è implementata per impostazione predefinita su entrambi i protocolli Lightway e WireGuard, rendendo ExpressVPN uno dei primi provider a distribuire la protezione PQ su più protocolli. Il supporto a WireGuard è stato aggiunto nell'agosto 2025 insieme all'integrazione post-quantistica.
La rete di server comprende oltre 3.000 server in più di 105 paesi e oltre 160 località. ExpressVPN aggira in modo affidabile la censura in Cina, Iran, Emirati Arabi Uniti, Russia e Arabia Saudita — una capacità critica di cui molti concorrenti sono sprovvisti. Lo sblocco dello streaming è costantemente il più efficace del settore, con accesso confermato a oltre 20 librerie Netflix, Disney+, Prime Video, BBC iPlayer, Hulu, HBO Max e DAZN.
Un significativo problema di sicurezza è stato la perdita DNS nel split tunneling di Windows (CVE-2024-25728), presente dal maggio 2022 al febbraio 2024 — 21 mesi durante i quali le richieste DNS aggiravano il tunnel VPN quando il split tunneling era abilitato. ExpressVPN stima che meno dell'1% degli utenti Windows sia stato interessato. La risposta ha incluso due analisi delle cause originarie, un penetration test commissionato a Nettitude e la disabilitazione temporanea del split tunneling fino alla risoluzione del problema.
I prezzi sono stati ristrutturati nel settembre 2025 in tre livelli: Basic (2,44 dollari al mese con piani biennali, 10 connessioni), Advanced (4,49 dollari al mese, aggiunge gestore di password e monitoraggio dell'identità) e Pro (7,49 dollari al mese, aggiunge IP dedicato). Il prezzo mensile rimane il più alto del settore a 12,99 dollari. Le opzioni di pagamento includono carte di credito, PayPal, Bitcoin, Apple Pay e Google Pay con una garanzia di rimborso di 30 giorni.
Le assenze degne di nota includono il port forwarding (non disponibile su alcun server), il routing multi-hop e le app client open-source — solo la libreria core di Lightway è pubblica. Il split tunneling non è disponibile su iOS. Queste lacune si avvertono in modo più acuto considerando il prezzo premium di ExpressVPN.
ExpressVPN ha proattivamente rimosso tutti i server fisici dall'India nel giugno 2022 piuttosto che conformarsi al mandato di conservazione dei dati CERT-In, passando a server virtuali a Singapore e nel Regno Unito per gli indirizzi IP indiani. I rapporti sulla trasparenza mostrano 529 richieste governative nel 2025 e 2,44 milioni di reclami DMCA — con zero dati divulgati in nessun caso.
L'azienda ha perseguito le certificazioni ISO 27001, 9001 e 18295, con ISO 27701 (privacy) e ISO 42001 (IA) previste per il 2026. Un livello gratuito EventVPN lanciato nel novembre 2025 funziona su infrastrutture premium con protezione post-quantistica e assenza di log — un contrasto notevole rispetto alla maggior parte delle offerte VPN gratuite.