O que é uma VPN sem registros (no-logs)? Provedores auditados, relatórios independentes e como diferenciar uma afirmação real do marketing
Uma VPN sem registros é aquela que não grava tráfego, DNS ou metadados de conexão capazes de identificar um usuário. A afirmação só importa quando um auditor independente inspeciona a infraestrutura de fato. Veja como reconhecer.
O que "sem registros" realmente significa
Uma VPN sem registros é um provedor que se compromete a não gravar tráfego, consultas DNS, endereços IP ou marcações de horário de conexão que possam ser vinculados a um usuário individual. A própria expressão 'sem registros' não tem definição legal. Toda página inicial de VPN a utiliza. A afirmação só se torna significativa quando um auditor independente inspeciona a frota de servidores e a configuração de fato — e o relatório é publicado. Em 2026, todas as cinco grandes VPNs pagas que abordamos (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) publicaram auditorias independentes.
O que as auditorias publicadas de fato cobrem
A auditoria mais recente da Mullvad é da Cure53, realizada de 3 a 14 de junho de 2024 (sua quarta auditoria no total, a segunda com a Cure53). É uma auditoria de infraestrutura que cobre um servidor OpenVPN e um servidor WireGuard da frota de produção da Mullvad. A Proton VPN passou por quatro auditorias consecutivas de no-logs da Securitum (2022, 2023, 2024, 2025). A NordVPN passou por seis avaliações independentes de garantia de no-logs sob a ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. O Trust Center da ExpressVPN lista 23 auditorias publicadas, mais recentemente uma terceira auditoria de no-logs da KPMG (2025) e auditorias da Cure53/Praetorian sobre a reescrita em Rust do protocolo Lightway (set–out 2024). A Surfshark tem auditorias de no-logs da Deloitte em 2023 e 2025 sob a ISAE 3000.
Como é uma afirmação real de no-logs
Três sinais separam uma afirmação real de no-logs do marketing. Primeiro, um relatório publicado de terceiros — não um post de blog de comunicado à imprensa, mas um PDF para download ou uma página de trust center com o nome e a data do auditor. Segundo, um escopo de auditoria que inclua a infraestrutura (configuração no nível dos servidores), não apenas o aplicativo cliente. Terceiro, idealmente, um teste real de ordem judicial. Os escritórios da Mullvad foram revistados pela polícia sueca em 18 de abril de 2023 sob um mandado emitido a partir de um pedido alemão de cooperação jurídica; a Mullvad documentou o evento publicamente e a polícia saiu sem apreender dados de clientes, porque os dados que o mandado buscava não existiam nos servidores (conforme o post da Mullvad sobre o mandado de busca). A PureVPN, por outro lado, forneceu registros de conexão ao FBI em 2017 no caso de cyberstalking de Ryan Lin, apesar de seu marketing anterior de 'sem registros' — o caso é o exemplo inverso canônico de uma afirmação de marketing contradita por uma coação jurídica real.
A jurisdição importa menos do que aquilo que o provedor armazena
O marketing de VPN dá muita ênfase à jurisdição. Os acordos de compartilhamento de inteligência 5 / 9 / 14 Eyes (EUA, Reino Unido, Canadá, Austrália, Nova Zelândia + Dinamarca, França, Países Baixos, Noruega + Alemanha, Bélgica, Itália, Suécia, Espanha) são reais, e uma VPN registrada na Suécia ou nos Países Baixos está dentro do escopo. Mas um provedor em uma jurisdição fora dos Eyes que mantém registros de conexão é pior do que um provedor sem registros em qualquer lugar. A Mullvad (Suécia, no 14 Eyes) e a Proton VPN (Suíça, fora dos Eyes) são ambas auditadas; a operação na Mullvad demonstra que uma configuração sem registros importa mais do que uma bandeira no mapa.
Como ler um relatório de auditoria
Abra o relatório e procure por três coisas. (1) Escopo — o relatório descreve o que o auditor analisou, incluindo quais servidores, quais protocolos, qual intervalo de datas? Uma linguagem genérica de 'auditamos a política' sem detalhes é mais fraca do que 'examinamos arquivos de configuração da VPN e configurações dos servidores'. (2) Método — os relatórios da Securitum para a Proton descrevem revisão de configuração no local e entrevistas com a equipe; os relatórios da Deloitte para a NordVPN citam a ISAE 3000 (o padrão internacional de trabalhos de asseguração); os relatórios da Cure53 para a Mullvad descrevem testes de segurança em caixa branca (white-box) em servidores de produção. (3) Achados — toda auditoria encontra algo. A auditoria da Mullvad pela Cure53 em junho de 2024 encontrou dois problemas (um baixo, um médio); a auditoria do Lightway pela Praetorian em 2024 encontrou dois problemas de baixo risco. A presença de achados não é ruim — a ausência de qualquer achado seria suspeita. O que importa é a gravidade e a correção.
O que ignorar
Ignore rankings genéricos de 'VPN mais privada' que não divulgam sua metodologia. Ignore provedores cuja 'auditoria' é uma carta de uma pequena consultoria que nunca olhou os servidores. Ignore sites de comparação de VPN que não vinculam o relatório de fato — o relatório tem uma data e uma parte responsável pela publicação; se um site não o vincula, a afirmação é não verificável. Ignore a jurisdição como sinal principal. O único sinal confiável é o escopo da auditoria publicada mais, quando existe, o histórico de casos de coação jurídica.
Fontes
Auditoria Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Operação policial na Mullvad em 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Auditorias Proton: protonvpn.com/blog/no-logs-audit. Auditorias NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trust Center da ExpressVPN: expressvpn.com/trust. Auditoria Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. Caso PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Todas as URLs acessadas em 2026-04-30.