Što je VPN bez zapisa (no-logs)? Revidirani pružatelji, neovisna izvješća i kako razlikovati pravu tvrdnju od marketinga
VPN bez zapisa je usluga koja ne bilježi ni promet ni DNS ili metapodatke o povezivanju koji bi mogli identificirati korisnika. Tvrdnja vrijedi samo ako je neovisni revizor pregledao stvarnu infrastrukturu. Evo kako prepoznati razliku.
Što "bez zapisa" zapravo znači
VPN bez zapisa je pružatelj koji obećava da neće bilježiti promet, DNS upite, IP adrese ni vremenske oznake povezivanja koji bi se mogli povezati s pojedinim korisnikom. Sam pojam 'bez zapisa' nema pravnu definiciju. Koristi ga svaka VPN naslovnica. Tvrdnja postaje smislena tek kada neovisni revizor pregleda stvarnu flotu poslužitelja i konfiguraciju — i izvješće se objavi. Od 2026. svih pet velikih plaćenih VPN-ova koje obrađujemo (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) objavilo je neovisne revizije.
Što objavljene revizije zapravo pokrivaju
Najnovija revizija Mullvada potječe od Cure53 i provedena je od 3. do 14. lipnja 2024. (četvrta revizija ukupno, druga s Cure53). Riječ je o infrastrukturnoj reviziji koja pokriva jedan OpenVPN i jedan WireGuard poslužitelj iz Mullvadove produkcijske flote. Proton VPN prošao je četiri uzastopne revizije bez zapisa od tvrtke Securitum (2022., 2023., 2024., 2025.). NordVPN je prošao šest neovisnih provjera bez zapisa prema standardu ISAE 3000: PwC 2018., PwC 2020., Deloitte 2022., 2023., 2024., 2025. Trust Center ExpressVPN-a navodi 23 objavljene revizije, posljednja je treća KPMG revizija bez zapisa (2025.) te revizije Cure53/Praetorian o ponovnom pisanju protokola Lightway u jeziku Rust (rujan–listopad 2024.). Surfshark ima revizije bez zapisa tvrtke Deloitte iz 2023. i 2025. prema standardu ISAE 3000.
Kako izgleda prava tvrdnja o nepostojanju zapisa
Tri signala razlikuju pravu tvrdnju bez zapisa od marketinga. Prvo: objavljeno izvješće treće strane — ne blog-objava u obliku priopćenja za medije, nego PDF za preuzimanje ili stranica Trust Centra s imenom i datumom revizora. Drugo: opseg revizije koji uključuje infrastrukturu (konfiguraciju na razini poslužitelja), a ne samo klijentsku aplikaciju. Treće: idealno, stvarni test putem sudskog naloga. Urede Mullvada 18. travnja 2023. pretražila je švedska policija na temelju naloga za pretragu koji je proizašao iz njemačkog zahtjeva za pravnu pomoć; Mullvad je događaj javno dokumentirao, a policija je otišla bez korisničkih podataka jer podaci traženi nalogom nisu postojali na poslužiteljima (prema Mullvadovoj blog-objavi o nalogu za pretragu). PureVPN je pak 2017. u slučaju kibernetičkog uhođenja Ryana Lina dostavio zapise o povezivanju FBI-u — unatoč svojem ranijem marketingu 'bez zapisa'. Slučaj je kanonski protuprimjer marketinške tvrdnje koju je oborila stvarna pravna prisila.
Nadležnost je manje važna od onoga što pružatelj pohranjuje
VPN marketing puno gradi na nadležnosti. Obavještajni savezi 5 / 9 / 14 Eyes (SAD, UK, Kanada, Australija, Novi Zeland + Danska, Francuska, Nizozemska, Norveška + Njemačka, Belgija, Italija, Švedska, Španjolska) stvarni su, i VPN registriran u Švedskoj ili Nizozemskoj potpada pod njih. No pružatelj u nadležnosti izvan Eyes saveza koji vodi zapise o povezivanju gori je od pružatelja bez zapisa na bilo kojoj lokaciji. Mullvad (Švedska, unutar 14 Eyes) i Proton VPN (Švicarska, izvan Eyes) oba su revidirani; pretraga Mullvada pokazuje da konfiguracija bez zapisa vrijedi više od zastave na karti.
Kako čitati revizijsko izvješće
Otvorite izvješće i obratite pozornost na tri stvari. (1) Opseg — opisuje li izvješće što je revizor pregledao, uključujući koje poslužitelje, koje protokole i koje razdoblje? Općenite formulacije poput 'pregledali smo politiku' bez pojedinosti slabije su od 'pregledali smo VPN konfiguracijske datoteke i konfiguracije poslužitelja'. (2) Metoda — Securitumova izvješća za Proton opisuju provjeru konfiguracije na licu mjesta i razgovore sa zaposlenicima; Deloitteova izvješća za NordVPN pozivaju se na ISAE 3000 (međunarodni standard za revizijske angažmane); Cure53-ova izvješća o Mullvadu opisuju sigurnosno testiranje bijele kutije na produkcijskim poslužiteljima. (3) Nalazi — svaka revizija nešto pronađe. Cure53-ova revizija Mullvada iz lipnja 2024. pronašla je dva problema (jedan nizak, jedan srednji); Praetorianova revizija Lightwaya iz 2024. pronašla je dva problema niskog rizika. Postojanje nalaza nije loše — potpuni izostanak bilo kakvih nalaza bio bi sumnjiv. Presudni su ozbiljnost i otklanjanje.
Što treba zanemariti
Zanemarite općenite ljestvice 'najprivatnijih VPN-ova' koje ne otkrivaju svoju metodologiju. Zanemarite pružatelje čija je 'revizija' pismo male konzultantske tvrtke koja nikada nije pregledala poslužitelje. Zanemarite VPN stranice za usporedbu koje ne povezuju samo izvješće — izvješće ima datum i stranu koja ga objavljuje; ako ga stranica ne povezuje, tvrdnja je neprovjerljiva. Zanemarite nadležnost kao primarni signal. Jedini pouzdani signal je objavljeni opseg revizije te, gdje postoji, povijest slučajeva pravne prisile.
Izvori
Mullvad revizija: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Pretraga Mullvada 2023.: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton revizije: protonvpn.com/blog/no-logs-audit. NordVPN revizije: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark revizija: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/slučaj Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Svi URL-ovi dohvaćeni 2026-04-30.