Jurisdicția VPN explicată: 5 / 9 / 14 Eyes, razia Mullvad și cazul jurnalelor PureVPN
Marketingul VPN face mare caz de jurisdicție. Cele două evenimente de cooperare judiciară cel mai bine documentate — razia Mullvad din 2023 și cooperarea PureVPN cu FBI din 2017 — arată că ceea ce stochează furnizorul contează mai mult decât steagul țării.
Ce înseamnă de fapt 5 / 9 / 14 Eyes
5 Eyes este un acord de partajare a informațiilor de tip signals-intelligence între SUA, Marea Britanie, Canada, Australia și Noua Zeelandă, cu origini în acordul UKUSA de după al Doilea Război Mondial. 9 Eyes adaugă Danemarca, Franța, Țările de Jos și Norvegia. 14 Eyes adaugă Germania, Belgia, Italia, Suedia și Spania. Marketingul VPN a popularizat ideea că un VPN înregistrat în oricare dintre aceste 14 țări este expus riscului, deoarece guvernul gazdă l-ar putea obliga să predea date și să partajeze acele date cu alianța mai largă. Afirmația este parțial adevărată — acele guverne au cadre juridice pentru cereri de date — dar nu este toată povestea.
Unde își au sediul VPN-urile majore auditate
Mullvad: Göteborg, Suedia (în 14 Eyes). Entitatea operatoare a NordVPN, Nordvpn S.A.: Panama (în afara Eyes). Proton VPN: Plan-les-Ouates, Geneva, Elveția (în afara Eyes; Elveția este de asemenea în afara UE și a cadrului de cereri juridice al SUA). Entitatea operatoare a ExpressVPN, Express VPN International Ltd.: Insulele Virgine Britanice (în afara Eyes). Surfshark B.V.: Țările de Jos (în 9 Eyes). Două dintre cele cinci — Mullvad și Surfshark — se află în jurisdicții Eyes; trei sunt în afara. Toate cinci au publicat audituri no-logs.
Razia Mullvad din 2023: ce s-a întâmplat de fapt
Pe 18 aprilie 2023, șase ofițeri ai Departamentului Național de Operațiuni (NOA) din Suedia au sosit la biroul Mullvad din Göteborg cu un mandat de percheziție, cu intenția de a confisca computere care conțineau date ale clienților. Mandatul fusese emis pe 17 februarie 2023 în cooperare juridică internațională cu autoritățile germane. Mullvad a documentat public evenimentul în aceeași zi la mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Conform relatării Mullvad și relatărilor ulterioare, poliția a plecat fără a confisca nimic, deoarece datele căutate prin mandat nu existau pe servere. Istoricul auditurilor Cure53 ale Mullvad (cel mai recent: al 4-lea audit de infrastructură, iunie 2024) documentează configurația de server no-logs care a produs acest rezultat. Implicația: jurisdicția a contat — razia s-a întâmplat — dar postura operațională de confidențialitate a fost factorul decisiv.
Cooperarea PureVPN cu FBI din 2017: inversul
În octombrie 2017, FBI a folosit jurnalele de conexiune VPN de la PureVPN pentru a-l identifica pe Ryan Lin, un bărbat de 24 de ani din Massachusetts, într-un caz amplu de cyberstalking. Marketingul PureVPN anterior cazului accentuase o afirmație no-logs. Declarația sub jurământ a FBI (citată în dosarele DoJ și în relatările de presă de la bleepingcomputer.com și altele) a documentat că PureVPN păstrase, de fapt, jurnale de conexiune care includeau adresa IP de acasă a clientului la începutul sesiunii și că acele jurnale au fost suficiente pentru a-l identifica pe Lin prin sesiunile sale VPN. Cazul este exemplul invers canonic: o afirmație de marketing contrazisă de ceea ce furnizorul a stocat efectiv, iar jurisdicția furnizorului (Hong Kong — în afara Eyes) nu a izolat datele, deoarece datele existau și răspundeau unei cereri juridice din SUA.
Ce prezice și ce nu prezice jurisdicția
Jurisdicția este un factor de risc real atunci când se formulează o cerere guvernamentală. Un furnizor dintr-o jurisdicție 14 Eyes cu un cadru de cooperare juridică cu țara solicitantă poate fi obligat să predea datele pe care le deține. Dar jurisdicția nu prezice ce deține furnizorul. Un furnizor no-logs din 14 Eyes (Mullvad) nu are nimic de predat; un furnizor care păstrează jurnale dintr-o jurisdicție non-Eyes (PureVPN în jurul anului 2017) are. Evenimentele Mullvad și PureVPN împreună stabilesc că variabila predictivă este practica operațională — verificată prin audit — nu steagul țării.
Ce să cântărești în 2026
Trei factori prezic rezultatele reale privind confidențialitatea mai fiabil decât jurisdicția singură. (1) Domeniul de aplicare și recența auditului — acoperă cel mai recent audit publicat configurația la nivel de server și se încadrează în ultimele 24 de luni? (2) Clienți open-source — sunt aplicațiile pentru desktop și mobil publicate ca open source? Atât Mullvad, cât și Proton VPN își publică clienții pe GitHub. (3) Răspuns documentat la un eveniment real de constrângere juridică — Mullvad are unul (razia din 2023), PureVPN are inversul (cazul din 2017). Majoritatea furnizorilor nu au niciunul. Aplică jurisdicția ca factor de departajare odată ce primii trei sunt îndepliniți, nu ca factor principal.
Surse
5 / 9 / 14 Eyes: en.wikipedia.org/wiki/Five_Eyes (cu citări la acordul UKUSA original). Razia Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Istoricul auditurilor Mullvad: mullvad.net/en/blog/tag/audits. Cazul PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Jurisdicție NordVPN: nordvpn.com/blog/jurisdiction. Jurisdicție Proton VPN: protonvpn.com/features/swiss-based. Trust ExpressVPN: expressvpn.com/trust. Trust Surfshark: surfshark.com/trust-center. Toate URL-urile accesate la 2026-04-30.