Jurisdição de VPN explicada: 5 / 9 / 14 Eyes, a operação na Mullvad e o caso dos registros da PureVPN
O marketing de VPN dá muita ênfase à jurisdição. Os dois eventos de cooperação judicial mais bem documentados — a operação na Mullvad em 2023 e a cooperação da PureVPN com o FBI em 2017 — mostram que o que o provedor armazena importa mais do que a bandeira do país.
O que significa de fato 5 / 9 / 14 Eyes
Os 5 Eyes são um acordo de compartilhamento de inteligência de sinais entre EUA, Reino Unido, Canadá, Austrália e Nova Zelândia, com origens no acordo UKUSA do pós-Segunda Guerra Mundial. Os 9 Eyes acrescentam Dinamarca, França, Países Baixos e Noruega. Os 14 Eyes acrescentam Alemanha, Bélgica, Itália, Suécia e Espanha. O marketing de VPN popularizou a ideia de que uma VPN registrada em qualquer um desses 14 países está em risco porque seu governo anfitrião poderia obrigá-la a entregar dados e compartilhar esses dados com a aliança mais ampla. A afirmação é parcialmente verdadeira — esses governos de fato têm estruturas legais para solicitações de dados — mas não é a história completa.
Onde estão sediadas as grandes VPNs auditadas
Mullvad: Gotemburgo, Suécia (no 14 Eyes). A entidade operadora da NordVPN, Nordvpn S.A.: Panamá (fora dos Eyes). Proton VPN: Plan-les-Ouates, Genebra, Suíça (fora dos Eyes; a Suíça também está fora da UE e da estrutura de solicitações legais dos EUA). A entidade operadora da ExpressVPN, Express VPN International Ltd.: Ilhas Virgens Britânicas (fora dos Eyes). Surfshark B.V.: Países Baixos (no 9 Eyes). Duas das cinco — Mullvad e Surfshark — estão em jurisdições dos Eyes; três estão fora. Todas as cinco publicaram auditorias de no-logs.
A operação na Mullvad em 2023: o que de fato aconteceu
Em 18 de abril de 2023, seis agentes do Departamento de Operações Nacionais (NOA) da Suécia chegaram ao escritório da Mullvad em Gotemburgo com um mandado de busca, com a intenção de apreender computadores contendo dados de clientes. O mandado havia sido emitido em 17 de fevereiro de 2023 em cooperação jurídica internacional com as autoridades alemãs. A Mullvad documentou o evento publicamente no mesmo dia em mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Segundo o relato da Mullvad e a cobertura subsequente, a polícia saiu sem apreender nada porque os dados que o mandado buscava não existiam nos servidores. O histórico de auditorias da Mullvad pela Cure53 (a mais recente: 4ª auditoria de infraestrutura, junho de 2024) documenta a configuração de servidor sem registros que produziu esse desfecho. A implicação: a jurisdição importou — a operação aconteceu — mas a postura operacional de privacidade foi o fator decisivo.
A cooperação da PureVPN com o FBI em 2017: o inverso
Em outubro de 2017, o FBI usou registros de conexão da PureVPN para identificar Ryan Lin, um homem de 24 anos de Massachusetts, em um extenso caso de cyberstalking. O marketing da PureVPN antes do caso enfatizava uma afirmação de no-logs. A declaração juramentada do FBI (citada em petições do Departamento de Justiça e na cobertura da imprensa convencional em bleepingcomputer.com e outros) documentou que a PureVPN havia, de fato, retido registros de conexão que incluíam o endereço IP residencial do cliente no início da sessão, e que esses registros foram suficientes para identificar Lin por meio de suas sessões de VPN. O caso é o exemplo inverso canônico: uma afirmação de marketing contradita pelo que o provedor de fato armazenava, e a jurisdição do provedor (Hong Kong — fora dos Eyes) não protegeu os dados, porque os dados existiam e eram responsivos a uma solicitação legal dos EUA.
O que a jurisdição prevê e o que não prevê
A jurisdição é um fator de risco real quando uma solicitação governamental é feita. Um provedor em uma jurisdição do 14 Eyes com uma estrutura de cooperação jurídica com o país solicitante pode ser obrigado a entregar os dados que possui. Mas a jurisdição não prevê o que o provedor possui. Um provedor sem registros no 14 Eyes (Mullvad) não tem nada a entregar; um provedor que mantém registros em uma jurisdição fora dos Eyes (PureVPN por volta de 2017) tem. Os eventos da Mullvad e da PureVPN, em conjunto, estabelecem que a variável preditiva é a prática operacional — verificada por auditoria — e não a bandeira do país.
O que pesar em 2026
Três fatores preveem desfechos reais de privacidade de forma mais confiável do que a jurisdição isoladamente. (1) Escopo e atualidade da auditoria — a auditoria publicada mais recente cobre a configuração no nível do servidor e foi feita nos últimos 24 meses? (2) Clientes de código aberto — os aplicativos de desktop e móvel são publicados como código aberto? A Mullvad e a Proton VPN publicam seus clientes no GitHub. (3) Resposta documentada a um evento real de coação jurídica — a Mullvad tem um (a operação de 2023), a PureVPN tem o inverso (o caso de 2017). A maioria dos provedores não tem nenhum dos dois. Aplique a jurisdição como critério de desempate, uma vez satisfeitos os três primeiros, e não como fator principal.
Fontes
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (com citações ao acordo UKUSA original). Operação na Mullvad em 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Histórico de auditorias da Mullvad: mullvad.net/en/blog/tag/audits. Caso PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Jurisdição da NordVPN: nordvpn.com/blog/jurisdiction. Jurisdição da Proton VPN: protonvpn.com/features/swiss-based. Trust da ExpressVPN: expressvpn.com/trust. Trust da Surfshark: surfshark.com/trust-center. Todas as URLs acessadas em 2026-04-30.