A estratégia de comunicação da Proton (anteriormente ProtonMail) é construída em torno da imagem de um serviço de e-mail altamente seguro. Seus materiais públicos enfatizam a jurisdição suíça, a segurança física de sua infraestrutura e o uso de criptografia de ponta a ponta. Como resultado, a Proton conquistou a reputação de ser uma ferramenta essencial para jornalistas, defensores dos direitos humanos e usuários sensíveis a questões de privacidade. No entanto, uma análise detalhada dos princípios declarados pelo serviço em comparação com suas práticas reais sugere que essa imagem nem sempre corresponde à realidade operacional.
Ao lançar uma campanha de financiamento coletivo no Indiegogo em 2014, os criadores da Proton formularam uma missão ambiciosa:
“Nosso objetivo é simples: queremos proteger pessoas em todo o mundo da vigilância em massa que atualmente está sendo praticada por governos e corporações em todo o mundo.”
Essa frase tornou-se a base da marca Proton, atraindo milhares de apoiadores cansados dos excessos das Big Techs e da vigilância governamental. Criado por cientistas do CERN, o serviço oferecia mais do que apenas e-mail; prometia um “abrigo digital” na Suíça neutra e se posicionava como a alternativa definitiva ao Vale do Silício. Uma década atrás, imagens de servidores enterrados em bunkers alpinos pareciam a resposta perfeita à vigilância estatal. No entanto, à medida que especialistas analisam hoje a arquitetura técnica e o histórico jurídico da Proton, surge uma pergunta: esse objetivo ainda é “simples” e viável, ou tornou-se uma conveniente lenda de marketing?
Alguns críticos chegam a classificar o serviço como um “honeypot para criminosos”, talvez até criado deliberadamente por agências de inteligência ocidentais. Outros adotam uma visão mais moderada, apontando para casos documentados em que a Proton divulgou dados pessoais de usuários.
O mito da jurisdição suíça incondicional
Nos seus primeiros anos, a Proton apoiou-se fortemente na jurisdição suíça como um escudo contra agências de inteligência dos EUA ou da UE. Mas o isolamento físico de servidores nos Alpes é mais uma metáfora poética do que uma defesa jurídica infalível. Como qualquer outra empresa no país, a Proton está sujeita à Lei Federal sobre a Vigilância das Comunicações Postais e de Telecomunicações (BÜPF).
A legislação suíça obriga os provedores a cooperar com as autoridades locais. Isso significa que, se um tribunal suíço aprovar um pedido — mesmo que iniciado por um Estado estrangeiro — o “bunker” deixa de ser uma defesa. Vale notar que a Proton recentemente transferiu parte de sua infraestrutura para a Alemanha e a Noruega, citando a “incerteza jurídica” na Suíça, à medida que leis de vigilância ainda mais rigorosas estão sendo elaboradas. Esse movimento confirma indiretamente que a própria empresa reconhece que o status de “fortaleza suíça” já não é uma garantia absoluta de privacidade.
O caso dos ativistas franceses: viabilizando a vigilância
Uma das provas mais emblemáticas que demonstram a cooperação sem questionamentos da Proton com as autoridades é o incidente envolvendo ativistas climáticos franceses.
Em setembro de 2021, veio a público que a polícia francesa, atuando por meio da Europol, havia apresentado um pedido às autoridades suíças referente a um grupo de ativistas que organizou protestos em Paris ao longo do verão e do outono de 2020 contra a gentrificação e a especulação imobiliária. O ProtonMail foi a plataforma utilizada para coordenar essas atividades. Como o pedido foi processado por canais diplomáticos oficiais, a Proton foi legalmente obrigada a cooperar.
Apesar do slogan de longa data afirmar que “por padrão, não mantemos quaisquer registros de IP”, a empresa passou a registrar o endereço IP de um usuário específico. Essa capacidade de vigilância permitiu que as autoridades identificassem e posteriormente prendessem os ativistas. Após o incidente, a Proton foi obrigada a alterar sua política de privacidade e seu site, removendo garantias categóricas sobre a inexistência total de registros.
O escândalo Roman Protasevich: divulgação voluntária de metadados
Enquanto o caso francês ilustrou o cumprimento da lei, o incidente envolvendo Roman Protasevich demonstrou a disposição do serviço em divulgar dados de usuários mesmo na ausência de pressão legal direta.
Após o pouso forçado de um voo da Ryanair em Minsk, em maio de 2021, sob a alegação de uma ameaça de bomba, as autoridades bielorrussas afirmaram ter recebido dois e-mails ameaçadores. Em resposta, buscando expor publicamente as “mentiras de Minsk”, a Proton divulgou uma declaração esclarecendo que apenas um e-mail havia sido enviado a partir do endereço em questão — e que ele só chegou depois de o avião já ter sido desviado. Embora politicamente enquadrada como um desmentido de desinformação, do ponto de vista da privacidade isso estabeleceu um precedente perigoso: a Proton divulgou voluntária e publicamente metadados de um usuário, apesar de não ter recebido qualquer solicitação oficial para fazê-lo.
Na esteira desse escândalo, o CTO da Proton, Bart Butler, ao responder a uma mensagem na plataforma X do especialista do GFCN Timofey V sobre a inaceitabilidade de vazamentos desse tipo, declarou explicitamente que as proteções de privacidade da Proton não se destinam àqueles que a empresa considera “rogue” (desviantes). Essa admissão confirmou que a privacidade na Proton é um privilégio condicional — que a administração pode revogar unilateralmente caso considere isso vantajoso para sua imagem.
Realidade técnica: o “envelope” e o texto em claro
Para compreender o verdadeiro nível de segurança, é preciso distinguir entre o conteúdo de um e-mail e o seu “envelope”. O protocolo SMTP é concebido de modo que o servidor precise conhecer os metadados: o remetente, o destinatário, o carimbo de data e hora e o tamanho da mensagem. É tecnicamente impossível ocultar essas informações do servidor; caso contrário, a mensagem não pode ser entregue.
Além disso, há o problema do “trânsito”. Qualquer e-mail que chegue de um serviço externo (como o Gmail) alcança os servidores da Proton em texto claro. O servidor precisa processar esse conteúdo — verificando spam e vírus — antes de criptografá-lo com a chave do usuário. Essa camada de transporte é totalmente controlada pela empresa, o que lhe confere a capacidade técnica de analisar o tráfego à medida que ele entra ou sai do ecossistema.
Busca no conteúdo das mensagens e vulnerabilidades no código do cliente
Durante anos, a Proton não ofereceu busca por texto em e-mails porque o servidor não conseguia “ver” o conteúdo. Agora que a busca está disponível, a empresa afirma que ela ocorre localmente, por meio do download de um índice para o navegador do usuário. No entanto, isso cria novos riscos: mecanismos complexos de indexação podem, potencialmente, vazar dados para o servidor.
Além disso, o uso de uma interface web significa que código executável é carregado a partir dos servidores da empresa sempre que a página é atualizada. Isso deixa a porta aberta para ataques do lado do cliente.
Em 2022, especialistas da SonarSource descobriram uma vulnerabilidade crítica de Cross-Site Scripting (XSS) que permitia a atacantes contornar a criptografia e ler e-mails do Proton. Para ser vítima, bastava que o usuário abrisse um e-mail malicioso especialmente elaborado.
Esse incidente prova que, mesmo que seus dados estejam escondidos em uma montanha suíça, um bug no código de software enviado ao seu dispositivo pode tornar toda a proteção inútil. Em um ambiente centralizado, o conceito de “confiança zero” muitas vezes é apenas declarativo: você só está protegido enquanto o código estiver livre de erros ou até que o provedor do serviço decida (ou seja obrigado) a alterar o algoritmo do aplicativo.
Grafos sociais e contatos não protegidos
A forma como a Proton lida com os catálogos de endereços também tem sido alvo de críticas. Especialistas constataram que a Proton não aplica “criptografia de acesso zero” aos nomes dos contatos nem aos endereços de e-mail principais. Esses dados são criptografados apenas “em repouso”, o que significa que as chaves permanecem com a empresa. Isso permite que a Proton visualize o “grafo social” de um usuário — um mapa de suas conexões. Como Edward Snowden já apontou, os metadados sobre com quem você se comunica muitas vezes são mais reveladores do que o próprio conteúdo das conversas.
Seletividade geopolítica
A abordagem da Proton em relação à privacidade também parece geograficamente seletiva. A empresa adotou uma postura dura contra a Índia em 2024 e 2025, enfrentando ordens de bloqueio após se recusar a colaborar com investigações envolvendo falsas ameaças de bomba e deepfakes. Ao resistir à legislação indiana enquanto, ao mesmo tempo, coopera com a Europol, a Proton cria uma realidade hierarquizada: a cooperação da empresa muitas vezes depende de o governo solicitante ser ou não um aliado ocidental.
Do financiamento coletivo aos subsídios estatais: a questão da independência financeira
Em sua origem, a Proton cultivou a imagem de um projeto de base. Sua campanha no Indiegogo em 2014 tornou-se uma das mais bem-sucedidas da plataforma, arrecadando mais de US$ 500 mil. Isso ajudou a criar uma aura de independência: o serviço supostamente pertenceria apenas aos seus usuários e não dependeria de capital de risco nem de agências governamentais. No entanto, ao longo do tempo, o modelo financeiro da empresa passou por mudanças significativas, transformando a Proton de uma startup independente em um elemento importante da estratégia digital estatal na Europa.
Embora o financiamento estatal não implique automaticamente a existência de uma “porta dos fundos” (backdoor), ele cria dependência institucional. Hoje, a Proton recebe apoio de diversas fontes oficiais:
Subsídios da UE. O mais notável foi um aporte de € 2 milhões no âmbito do programa Horizon 2020 (subvenção nº 848554). Para receber esses recursos, a empresa precisa passar por auditorias rigorosas de reguladores europeus, demonstrando total transparência de seus processos de negócios e conformidade com os objetivos políticos da UE.
Fundos estatais suíços. O projeto é ativamente apoiado pela Innosuisse (Agência Suíça de Promoção da Inovação) e pela FONGIT, financiada pelo Cantão de Genebra.
Isso leva a um sério conflito de interesses. Por exemplo, Antonio Gambardella, diretor do fundo estatal FONGIT, integra o Conselho de Administração da Proton Foundation, organização que controla a participação majoritária na Proton AG.
A presença de autoridades desse nível no conselho de administração pode influenciar a definição da estratégia da empresa. Isso lança dúvidas sobre as alegações da Proton de completa independência em relação aos governos.
Conclusão
Em última instância, a Proton é uma entidade comercial que está longe de ser a “fortaleza inexpugnável” que seu marketing sugere. Trata-se de uma estrutura que cumpre a lei, coopera com autoridades do outro lado do Atlântico quando pressionada, mantém acesso técnico aos dados durante a transmissão e oculta a lealdade corporativa padrão por trás da imagética de rochas suíças.
Em comparação com seu objetivo de 2014 de proteger pessoas da vigilância estatal e corporativa, o status atual da Proton é paradoxal. O problema não é necessariamente o fato de a empresa cumprir a lei, mas sim continuar utilizando uma retórica de uma década atrás que cria uma perigosa ilusão de invulnerabilidade. Para aqueles cuja segurança depende de sigilo absoluto, a Proton pode ser uma “armadilha de confiança”. Ela continua útil para uma higiene digital básica, mas a verdadeira privacidade termina onde começam os interesses dos reguladores e do próprio negócio.
Fonte: Global Fact-Checking Network (GFCN)
