O governo da Índia confirmou em 3 de julho de 2026 que está a redigir um novo enquadramento legal para regular os fornecedores de VPN, que passarão a ser obrigados a abrir um escritório físico no país, nomear um responsável de conformidade local e armazenar dados dos assinantes - incluindo nomes, moradas e endereços IP - durante cinco anos. Funcionários de empresas que não cumprirem podem enfrentar sanções penais, incluindo prisão.
O que a nova lei de VPN de 2026 da Índia exigiria
Segundo autoridades citadas pela imprensa indiana, o enquadramento proposto espelha as Information Technology Rules de 2021, que já obrigam as grandes plataformas de redes sociais a nomear um Chief Compliance Officer e um Nodal Contact Person como linha direta com as autoridades. Aplicado às VPN, o mesmo modelo exigiria que os fornecedores:
- Registem uma entidade local e mantenham um escritório físico dentro da Índia.
- Nomeiem um responsável de conformidade como ponto de contacto do governo.
- Conservem os registos dos assinantes por cinco anos, incluindo nome completo, morada, dados de contacto e endereços IP.
- Entreguem os registos quando solicitado, com responsabilidade penal individual para os funcionários - incluindo eventual prisão - em caso de incumprimento.
A diretiva de 2022 que os fornecedores simplesmente ignoraram
Esta não é a primeira tentativa da Índia. Em 2022, a equipa indiana de resposta a emergências informáticas (CERT-In) emitiu uma diretiva quase idêntica, com prazo inicial fixado para 27 de junho de 2022, mais tarde adiado para 25 de setembro de 2022. A resposta dos maiores nomes do setor foi direta: Proton VPN, NordVPN, ExpressVPN e Surfshark retiraram todos os seus servidores físicos da Índia em vez de cumprir, redirecionando os utilizadores indianos através de servidores virtuais em Singapura e noutros locais. A Proton VPN classificou a diretiva como uma "lei de vigilância em massa invasiva" e afirmou não ter qualquer intenção de a cumprir.
Por que as autoridades dizem ser necessário reforçar a aplicação da lei às VPN
As autoridades indianas apontam para o forte aumento nas ordens de bloqueio de sites como prova de que o tráfego anonimizado está cada vez mais difícil de controlar: os órgãos governamentais emitiram mais de 24.000 ordens de bloqueio em 2025, mais do dobro das mais de 12.000 emitidas em 2024. Segundo as autoridades, uma parcela crescente do conteúdo bloqueado continua acessível precisamente porque os fornecedores de VPN não mantêm registos para entregar - e, em muitos casos, não têm sequer servidores sob jurisdição indiana. Estima-se que cerca de metade dos 800 milhões de utilizadores de internet da Índia use VPN pelo menos ocasionalmente, o que as autoridades descrevem como um fator que anula as ordens de bloqueio a nível nacional.
O momento também surge após um verdadeiro teste de stress à procura de VPN na Índia. Quando o país bloqueou o Telegram em junho de 2026, no âmbito de uma repressão mais ampla à mensagem cifrada, um pico de novos registos diários em VPN expôs milhões de novos utilizadores a aplicações VPN gratuitas com publicidade predatória - um aumento que os reguladores citam agora como prova de que o uso de VPN na Índia se tornou suficientemente comum para exigir supervisão formal.
O que acontece se os fornecedores voltarem a recusar
Se a história se repetir, o desfecho mais provável é o mesmo que a Índia já viu em 2022: em vez de abrir um escritório local, expor um responsável de conformidade a possível ação penal e registar cinco anos de atividade dos utilizadores, os grandes fornecedores de VPN sem registos simplesmente retirariam novamente a infraestrutura física da Índia e continuariam a servir os utilizadores indianos a partir de servidores alojados no estrangeiro. Isso mantém o acesso a VPN tecnicamente disponível, mas empurra o mercado ainda mais para fornecedores dispostos a operar numa zona cinzenta legal - muitas vezes as mesmas aplicações gratuitas de baixa qualidade financiadas pela publicidade agressiva de que os utilizadores indianos se queixaram durante o bloqueio do Telegram.
O mercado indiano de VPN não é estranho a incidentes de segurança que tornam as ferramentas de privacidade mais urgentes, não menos. Um ataque de ransomware ao fabricante Bajaj Auto em junho de 2026 mostrou o quão exposta pode estar a infraestrutura VPN corporativa mesmo dentro de grandes empresas indianas com muitos recursos - um lembrete de que o debate sobre a regulação de VPN se desenrola num contexto de violações reais, não de riscos hipotéticos.