Regras CERT-In de VPN, quatro anos depois
Em abril de 2022 o Indian Computer Emergency Response Team — CERT-In — emitiu uma diretiva que reestruturou o mercado de VPN da Índia. Foi reportado como repressão à privacidade. Foi mais especificamente um requisito de conformidade que vários provedores escolheram não cumprir. Quatro anos depois, o mercado de VPN indiano ainda opera em torno das consequências.
Podemos escrever sobre isso honestamente porque nunca tivemos servidores na Índia em primeiro lugar. As grandes marcas ocidentais — NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad — tinham servidores na Índia e tiveram que escolher em meados de 2022. A maioria escolheu sair fisicamente. Eles não andaram ansiosos por publicar posts intitulados "Saímos da Índia" desde então.
Isto é o que aconteceu de fato, o que mudou desde então, e como pensar a respeito.
O que o CERT-In de fato exige
A diretiva de abril de 2022 é curta. Aplica-se a provedores de VPN, provedores de cloud e operadores de data center com infraestrutura na Índia. Os requisitos relevantes:
- Cinco anos de retenção de KYC do cliente. Campos exigidos: nome, endereço, telefone, e-mail, IP alocado ao cliente, período de contrato, método de pagamento e propósito declarado de uso da VPN. Esse último é incomum — a maioria dos regimes de retenção pergunta o que era o serviço, não para que ele foi usado.
- Reporte de incidente em seis horas. Qualquer incidente de cibersegurança tem que ser reportado ao CERT-In em até seis horas da identificação. Para comparação, o GDPR da UE exige 72 horas.
- Logs sincronizados ao horário indiano (NTP-sincronizado a servidores NIC ou NPL).
- Logs mantidos por 180 dias para logs gerais de sistema/rede (separado da retenção de KYC do cliente de 5 anos).
A diretiva entrou em vigor em 27 de junho de 2022. Penalidades por não conformidade chegam a um ano de prisão para diretores de empresa sob a Seção 70B(7) da IT Act, mais multas pecuniárias.
Por que a maioria dos provedores reputados se recusou a cumprir
O requisito de retenção era estruturalmente incompatível com um compromisso de no-logs.
Uma VPN no-logs, em sua forma honesta, não mantém registros que conectam um cliente às suas conexões, tráfego ou destinos. NordVPN, ExpressVPN, Mullvad, Proton e Surfshark têm feito marketing pesado em compromissos no-logs e a maioria teve auditorias de terceiros para respaldar isso. A diretiva CERT-In exigia que mantivessem exatamente os tipos de registros que passaram anos construindo infraestrutura para não manter.
As opções deles eram: (1) cumprir, logar clientes indianos por cinco anos e silenciosamente abandonar a alegação no-logs para essa base de clientes; (2) remover fisicamente sua infraestrutura indiana para que a diretiva não se aplicasse mais; ou (3) recusar conformidade e aceitar exposição legal.
A maioria escolheu a opção 2.
- ExpressVPN removeu servidores indianos em 2 de junho de 2022 — antes da diretiva entrar em vigor.
- NordVPN removeu servidores indianos em 26 de junho de 2022, um dia antes do prazo.
- Surfshark removeu servidores indianos em 27 de junho de 2022.
- ProtonVPN removeu servidores indianos no início de 2023 após inicialmente tentar uma alternativa.
- Mullvad removeu servidores indianos e nunca adicionou substitutos virtuais.
- IPVanish e Private Internet Access também retiraram infraestrutura física.
O que eles não pararam de fazer foi oferecer "IPs indianos" para seus clientes. Eles passaram para arranjos de servidor virtual: um servidor fisicamente localizado em Cingapura (mais comum), Holanda ou Londres, configurado com um endereço IP indiano roteado via arranjo de peering para que o tráfego pareça vir da Índia. NordVPN adicionou sua primeira localização Índia virtual em janeiro de 2024, hospedada fisicamente em Cingapura. ExpressVPN e Surfshark seguiram padrões similares.
Esse é um compromisso de produto real. Um IP indiano virtual não tem as mesmas características de um servidor de fato em Mumbai ou Bangalore — o perfil de latência é diferente, a reputação do bloco de IP pode diferir e o caminho de roteamento atravessa um link internacional. Para a maioria dos casos de uso a diferença é imperceptível. Para cargas de trabalho sensíveis a latência que exigem servidor indiano (alguns jogos online, certas interações bancárias regulamentadas), importa.
Os provedores que cumpriram — mantendo servidores físicos indianos e logando clientes conforme a diretiva — são em sua maioria marcas menores e agregadores menos escrutinados. Não vamos nomear; o ponto é que "usa servidores indianos" não é mais um sinal de qualidade no ambiente pós-2022, é uma flag de conformidade.
Janeiro de 2025: remoções de app stores
Uma segunda onda de execução chegou quase três anos depois.
No fim de 2024 / início de 2025, o Indian Cyber Crime Coordination Centre (I4C), sob o Ministério do Interior, ordenou que Apple e Google removessem aplicativos de VPN específicos da App Store indiana e do Google Play. A ordem inicialmente mirou 14 apps, segundo reportagem da Internet Freedom Foundation (IFF) e do MediaNama.
Cinco remoções foram confirmadas na imprensa até 3 de janeiro de 2025:
- Cloudflare 1.1.1.1 (tecnicamente um app de DNS-e-WARP, mas inclui um túnel VPN WireGuard grátis)
- Hide.me VPN
- PrivadoVPN
- Touch VPN
- X-VPN
As grandes marcas comerciais — NordVPN, ExpressVPN, Surfshark, Proton, Mullvad, Private Internet Access — não estavam na lista de remoções confirmadas naquela data. Seus apps continuaram disponíveis nas app stores indianas.
A base legal era a Seção 69A da IT Act lida em conjunto com as Information Technology (Procedure and Safeguards for Blocking for Access of Information by Public) Rules, 2009. A IFF observou publicamente que a ordem foi emitida sem procedimentos padrão de transparência e sem dar aviso aos usuários afetados.
A proibição de VPN no distrito de Doda (maio de 2025)
Em maio de 2025, a administração do distrito de Doda em Jammu & Caxemira emitiu uma ordem sob a Seção 163 do Bharatiya Nagarik Suraksha Sanhita (BNSS, o novo código de processo penal que substituiu o CrPC) proibindo uso de VPN no distrito por dois meses. A razão declarada foi preocupação de segurança relacionada a comunicações específicas de militantes.
Esta foi a primeira ação de execução em nível regional indiano que mirou o uso de VPN por indivíduos, não conformidade do provedor. O escopo geográfico foi um distrito. A duração foi dois meses. No fim de 2025 a ordem não havia sido renovada nem estendida a outros distritos.
Não é, por si só, evidência de execução anti-VPN mais ampla. É evidência de que autoridades indianas usaram a Seção 163 BNSS com esse propósito ao menos uma vez, e esse padrão pode em princípio ser repetido em outras áreas sensíveis a segurança.
O que isso significa para escolher uma VPN em 2026
Algumas coisas seguem do acima, e são em sua maioria diferentes do que as listicles vão te contar.
1. "Tem servidores na Índia" não é mais critério de seleção útil
Pré-2022 era sinal positivo: latência mais baixa, roteamento mais simples, às vezes caminho um pouco mais rápido para conteúdo indiano. Pós-2022 está correlacionado com conformidade ao mandato de log de 5 anos. Um provedor reputado no-logs não terá servidores físicos na Índia em 2026. Se um provedor faz marketing de servidores indianos, a pergunta a fazer é se são virtuais (fisicamente em outro lugar) ou físicos (sujeitos à retenção CERT-In).
2. Servidores indianos virtuais geralmente estão de boa
Se seu caso de uso é "quero IP indiano para acessar JioHotstar/Netflix Índia/banco indiano", IP indiano virtual de provedor no-logs funciona para a vasta maioria desses cenários. Serviços de streaming não distinguem materialmente entre servidor físico em Mumbai e IP indiano virtual roteado via Cingapura. Sites de banco indianos se importam com o IP, não com a localização física subjacente.
As exceções são reais, mas estreitas: jogos em tempo real que exigem servidor indiano onde latência para servidor físico em Cingapura é alta demais; certas plataformas de trading regulamentadas que exigem origem-de-conexão de data center doméstico.
3. As grandes marcas saíram, mas não são as únicas
Várias marcas menores tomaram a mesma decisão silenciosamente. A pergunta de produto não é "qual VPN big-brand funciona na Índia" mas "quais provedores operando hoje têm compromisso estrutural com no-logs que não é minado por nenhuma localização ativa de servidor que operem". O conjunto de respostas inclui as grandes marcas ocidentais, mais várias menores — incluindo Fexyn.
4. Esteja ciente da segunda onda
As remoções de app store de janeiro de 2025 miraram apps de VPN gratuitos ou freemium com má reputação de segurança. As grandes marcas comerciais não foram afetadas. Mas a direção regulatória é de restrição incremental, e o precedente de Doda mostra que execução contra usuário individual agora está legalmente disponível onde autoridades escolham buscar. Se você mora ou viaja para uma região com preocupações elevadas de segurança, ter uma VPN já instalada antes de chegar é mais útil que tentar baixar uma por uma conexão potencialmente sob throttling depois.
5. O usuário final em sua maioria não é parte regulada
O CERT-In regula operadores de infraestrutura. A proibição de Doda é o único caso conhecido de usuários individuais sendo alvejados. O usuário indiano de VPN padrão não é parte regulada e não enfrenta carga de conformidade direta. O provedor que você escolhe, no entanto, escolheu sua própria postura quanto à diretiva — e essa escolha é a parte que afeta você.
Como o Fexyn se encaixa
O Fexyn não opera nenhum servidor na Índia. Nossa infraestrutura está em Frankfurt, Helsinki, Chipre e Ashburn. Servimos IPs indianos da forma que todo provedor reputado no-logs faz — via servidores virtuais fisicamente localizados fora da Índia.
Esse é o trade-off que toda a indústria reputada de VPN fez em 2022. Não somos únicos em fazê-lo; somos únicos principalmente em estarmos dispostos a escrever sobre isso.
Especificamente:
- Não logamos histórico de navegação, queries DNS nem conteúdo de tráfego.
- Emitimos certificados de curta duração de 24 horas a partir de uma PKI Vault, então a vida de qualquer credencial comprometida é limitada.
- Nosso preço para a Índia é Tier 4 — $2,99/mês — entre as taxas publicadas mais baixas de qualquer provedor reputado.
- O trial grátis de 7 dias não exige cartão antes. Pagamento por cartão via Visa/Mastercard indiano funciona via Stripe; UPI ainda não é suportado. Pagamento em cripto está disponível como alternativa.
Se você quer o resumo de página de país com os passos práticos de setup, está em VPN para Índia.
Uma nota mais ampla
As diretivas CERT-In de 2022 foram caracterizadas em parte da cobertura de imprensa ocidental como repressão à privacidade. A caracterização mais precisa é racionalização regulatória num país com problema sério de cibercrime e agenda de soberania tecnológica em desenvolvimento. A maioria dos requisitos de retenção de dados e reporte de incidentes tem precedente internacional bem-estabelecido.
A incompatibilidade específica com modelos de negócio de VPN no-logs é consequência real, mas é consequência do compromisso no-logs ser difícil de manter sob qualquer regime de retenção — não falha indiana única. Várias outras jurisdições (Rússia em 2017 com as leis Yarovaya, Belarus em 2015, Paquistão com o licenciamento CVAS-Data de 2025) produziram dinâmicas similares de saída de provedores.
A versão honesta, quatro anos depois: a Índia não ficou mais hostil a usuários de VPN. Tornou-se uma jurisdição onde provedores reputados de VPN operam sem servidores locais. Essa é uma mudança menor do que as manchetes de listicle sugeriram. Também é uma mudança que os provedores mais afetados em geral evitaram comentar, motivo pelo qual este post existe.
Experimente o Fexyn grátis por 7 dias — preço Tier 4, sem cartão exigido para o trial.