É muito complicado para o STF proibir e fiscalizar o uso de VPNs para acessar o X. Por esse motivo, a primeira decisão de Alexandre de Moraes ordenava que a Apple e o Google retirassem de suas lojas de aplicativos ferramentas como Proton VPN, ExpressVPN, NordVPN, Surfshark, TOTALVPN, Atlas VPN e Bitdefender VPN, que poderiam ser facilmente empregadas para esse fim.
As VPNs são amplamente utilizadas por tribunais, ministérios públicos, polícias, empresas e pessoas físicas como meio de acesso a recursos corporativos ou redes privadas a partir de conexões menos seguras ou redes abertas, como as de aeroportos, hotéis e restaurantes. Recomendo que as utilizem quando se conectarem à Internet por meio de um Wi-Fi público. As VPNs criptografam o tráfego entre o usuário e o servidor VPN, ocultando o IP de origem. Nem mesmo o seu provedor de internet pode afirmar com certeza se você acessou ou não determinada plataforma; ele apenas saberá que você acessou uma VPN.
Ocorre que os serviços de VPN podem ou não coletar logs de uso (incluindo sites visitados) ou de conexão. Muitos provedores se limitam a registrar os dados da conexão necessários à tarifação, desconsiderando as atividades do usuário.
Não seria trivial ao STF emitir uma ordem genérica a essas empresas, a maioria sediada no exterior, obrigando-as a fornecer a relação de usuários que utilizaram VPNs para acessar o X. Tal medida, aliás, não alcançaria uma parte dos "infratores", já que não é difícil construir a própria VPN ou — por conta e risco — utilizar VPNs alternativas e menos colaborativas com as autoridades. Além disso, o emprego da técnica conhecida como Onion over VPN, que combina o uso de VPN com a rede Tor, pode adicionar uma camada extra de criptografia, escondendo a navegação até mesmo do provedor de VPN.
Na minha opinião, a primeira decisão monocrática sobre a suspensão do X, que, incidentalmente, inviabilizaria o uso de VPN em dispositivos móveis, revela as dificuldades operacionais aqui apontadas. Essa medida não se sustentaria sem comprometer gravemente a Segurança da Informação de um modo geral e, provavelmente por isso, já foi reconsiderada nesse aspecto.
