Ce este un VPN fără jurnale (no-logs)? Furnizori auditați, rapoarte independente și cum să deosebești o afirmație reală de marketing
Un VPN fără jurnale este unul care nu înregistrează traficul, DNS-ul sau metadatele de conexiune care ar putea identifica un utilizator. Afirmația contează doar atunci când un auditor independent a inspectat infrastructura reală. Iată cum poți să-ți dai seama.
Ce înseamnă de fapt "fără jurnale"
Un VPN fără jurnale este un furnizor care se angajează să nu înregistreze traficul, interogările DNS, adresele IP sau marcajele temporale de conexiune care ar putea fi legate de un utilizator individual. Cuvântul „no-logs” în sine nu are nicio definiție juridică. Fiecare pagină principală de VPN îl folosește. Afirmația devine semnificativă doar atunci când un auditor independent a inspectat flota reală de servere și configurația — iar raportul este publicat. Începând cu 2026, toate cele cinci VPN-uri plătite majore pe care le acoperim (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) au publicat audituri independente.
Ce acoperă de fapt auditurile publicate
Cel mai recent audit Mullvad este realizat de Cure53, desfășurat între 3 și 14 iunie 2024 (al patrulea audit per total, al doilea cu Cure53). Este un audit de infrastructură care acoperă un server OpenVPN și unul WireGuard din flota de producție a Mullvad. Proton VPN a trecut patru audituri no-logs consecutive Securitum (2022, 2023, 2024, 2025). NordVPN a trecut șase evaluări independente de asigurare no-logs conform ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Trust Center-ul ExpressVPN listează 23 de audituri publicate, cel mai recent fiind un al treilea audit no-logs KPMG (2025) și auditurile Cure53/Praetorian ale rescrierii în Rust a protocolului Lightway (sept.–oct. 2024). Surfshark are audituri no-logs Deloitte în 2023 și 2025 conform ISAE 3000.
Cum arată o afirmație reală de tip no-logs
Trei semnale separă o afirmație reală no-logs de marketing. Primul, un raport publicat de o terță parte — nu o postare de blog tip comunicat de presă, ci un PDF descărcabil sau o pagină de trust-center cu numele auditorului și data. Al doilea, un domeniu de audit care include infrastructura (configurația la nivel de server), nu doar aplicația client. Al treilea, ideal, un test real cu ordin judecătoresc. Birourile Mullvad au fost percheziționate de poliția suedeză pe 18 aprilie 2023 în baza unui mandat emis ca urmare a unei cereri germane de cooperare juridică; Mullvad a documentat public evenimentul, iar poliția a plecat fără a confisca date ale clienților, deoarece datele căutate prin mandat nu existau pe servere (conform postării de blog a Mullvad despre mandatul de percheziție). PureVPN, în schimb, a furnizat jurnale de conexiune către FBI în 2017 în cazul de cyberstalking Ryan Lin, în ciuda marketingului său anterior „fără jurnale” — cazul este exemplul canonic invers al unei afirmații de marketing contrazise de o constrângere juridică reală.
Jurisdicția contează mai puțin decât ce stochează furnizorul
Marketingul VPN face mare caz de jurisdicție. Acordurile de partajare a informațiilor 5 / 9 / 14 Eyes (SUA, Marea Britanie, Canada, Australia, Noua Zeelandă + Danemarca, Franța, Țările de Jos, Norvegia + Germania, Belgia, Italia, Suedia, Spania) sunt reale, iar un VPN înregistrat în Suedia sau în Țările de Jos intră în sfera lor de aplicare. Dar un furnizor dintr-o jurisdicție non-Eyes care păstrează jurnale de conexiune este mai rău decât un furnizor no-logs de oriunde. Mullvad (Suedia, în 14 Eyes) și Proton VPN (Elveția, în afara Eyes) sunt ambele auditate; razia Mullvad demonstrează că o configurație fără jurnale contează mai mult decât un steag pe hartă.
Cum se citește un raport de audit
Deschide raportul și caută trei lucruri. (1) Domeniul de aplicare — descrie raportul ce a examinat auditorul, inclusiv ce servere, ce protocoale, ce interval de date? Limbajul generic de tipul „a auditat politica” fără specificuri este mai slab decât „a examinat fișierele de configurare VPN și configurațiile serverelor”. (2) Metoda — rapoartele Securitum pentru Proton descriu revizuirea configurației la fața locului și interviurile cu personalul; rapoartele Deloitte pentru NordVPN citează ISAE 3000 (standardul internațional pentru misiunile de asigurare); rapoartele Cure53 pentru Mullvad descriu testarea de securitate de tip white-box pe serverele de producție. (3) Constatările — fiecare audit găsește ceva. Auditul Cure53 al Mullvad din iunie 2024 a găsit două probleme (una scăzută, una medie); auditul Praetorian Lightway din 2024 a găsit două probleme cu risc scăzut. Prezența constatărilor nu este un lucru rău — absența oricărei constatări ar fi suspectă. Ceea ce contează este gravitatea și remedierea.
Ce să ignori
Ignoră clasamentele generice de tipul „cel mai privat VPN” care nu își dezvăluie metodologia. Ignoră furnizorii al căror „audit” este o scrisoare de la o mică firmă de consultanță care nu a privit niciodată serverele. Ignoră site-urile de comparare VPN care nu fac trimitere la raportul real — raportul are o dată și o parte care l-a publicat; dacă un site nu îl leagă, afirmația este neverificabilă. Ignoră jurisdicția ca semnal principal. Singurul semnal de încredere este domeniul de aplicare al auditului publicat plus, acolo unde există, istoricul cazurilor de constrângere juridică.
Surse
Audit Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Razia Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Audituri Proton: protonvpn.com/blog/no-logs-audit. Audituri NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trust Center ExpressVPN: expressvpn.com/trust. Audit Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. Cazul PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Toate URL-urile accesate la 2026-04-30.