Внутри «швейцарской крепости» Proton: реальная анонимность или красивая декорация?

Коммуникационная стратегия Proton (ранее ProtonMail) выстроена вокруг образа высокозащищённого сервиса для работы с электронной почтой. В публичных материалах акцент делался на швейцарскую юрисдикцию, физическую защищённость инфраструктуры и использование технологий сквозного шифрования. Благодаря этому Proton получил репутацию решения, ориентированного на журналистов, правозащитников и пользователей, чувствительных к вопросам приватности. Однако более детальный анализ заявленных принципов и практик работы сервиса показывает, что сформированный имидж не во всех аспектах совпадает с фактическими условиями его функционирования.

Упор на образы серверов в скалах и физическую неприступность бункеров, блог ProtonMail, октябрь 2015 года

В 2014 году, запуская краудфандинговую кампанию на платформе Indiegogo, создатели Proton сформулировали свою миссию предельно амбициозно:

«Наша цель проста: мы хотим защитить людей во всем мире от массовой слежки, которую сегодня осуществляют правительства и корпорации по всему миру».

Скриншот краудфандинговой компании ProtonMail 2014 года с сайта indiegogo.com: «Наша цель проста: мы хотим защитить людей во всем мире от массовой слежки, которую сегодня осуществляют правительства и корпорации по всему миру».

Эта фраза стала фундаментом бренда и привлекла тысячи сторонников, уставших от тотального контроля ИТ-гигантов. Сервис, созданный учеными из ЦЕРНа, предлагал не просто почту, а «цифровое убежище» в нейтральной Швейцарии, позиционировался как ультимативная альтернатива ИТ-гигантам Кремниевой долины. Образы серверов в скалах и физическая неприступность бункеров десятилетие назад казались идеальным ответом на государственную слежку. Однако сегодня, анализируя техническую архитектуру и правовую историю Proton, эксперты всё чаще задаются вопросом: осталась ли эта цель по-прежнему «простой» и выполнимой, или она превратилась в удобную маркетинговую легенду?

Одни называют сервис «приманкой для преступников», намеренно созданной спецслужбами США или ЕС. Другие более нейтрально описывают кейсы раскрытия персональных данных пользователей со стороны Proton.

Миф о безусловной швейцарской юрисдикции

На заре своего существования Proton активно эксплуатировал тему швейцарской юрисдикции как некоего щита, защищающего данные от спецслужб США или ЕС. Но физическая изоляция серверов в Альпах — это скорее красивая метафора, чем реальная юридическая защита. Как и любая другая компания в этой стране, Proton подчиняется Федеральному закону о надзоре за почтовой и электросвязью (BÜPF).

Швейцарские законы обязывают провайдеров сотрудничать с местными властями. Это означает, что если швейцарский суд одобряет запрос (даже если он инициирован иностранным государством), «бункер» перестает быть защитой. Примечательно, что в последнее время Proton начал переносить часть инфраструктуры в Германию и Норвегию, ссылаясь на «правовую неопределенность» в самой Швейцарии, где готовятся еще более жесткие законы о слежке. Это косвенно подтверждает, что даже сама компания признает: статус «швейцарской крепости» больше не является абсолютной гарантией приватности.

Дело французских активистов: включение слежки

Одним из самых резонансных доказательств того, что Proton беспрекословно сотрудничает с властями, стал инцидент с французскими климатическими активистами.

Изображение предполагаемого полицейского отчета, в котором содержатся предоставленные ProtonMail данные активистов

В сентябре 2021 года стало известно, что французская полиция через Европол направила запрос швейцарским властям в рамках дела о группе активистов, которая занималась организацией акций протеста в Париже летом и осенью 2020 года против джентрификации и спекуляций с недвижимостью. Для организации этой деятельности использовалась почта ProtonMail. Поскольку запрос был оформлен через официальные дипломатические каналы, Proton был обязан подчиниться.

Изображение с сайта arstechnica.com, заявление об отсутствии протоколирования IP-адреса на главной странице ProtonMail до скандала 2021 года и измененный текст после указанных событий

Несмотря на многолетний слоган «Мы не храним IP-логи по умолчанию», компания начала протоколирование IP-адреса конкретного пользователя. Эта «кнопка слежки» позволила властям идентифицировать и арестовать активистов. После этого инцидента Proton был вынужден изменить политику конфиденциальности и текст на своем сайте, удалив категоричные обещания о полном отсутствии логов.

Скандал с Романом Протасевичем: инициативное раскрытие метаданных

Если французское дело показало работу по закону, то инцидент с Романом Протасевичем продемонстрировал готовность сервиса раскрывать данные пользователей даже без прямого юридического давления.

Изображение письма с сайта thedailybeast.com, «Мы, солдаты Хамас, требуем прекращения огня в Секторе Газа. Мы требуем, чтобы ЕС прекратили поддерживать войну в Израиле. Мы знаем, что участники Дельфийского экономического форума возвращаются 23 мая на рейсе FR4978. В этом самолете бомба. Если не выполните наши требования, она взорвется 23 мая над Вильнюсом.»

После принудительной посадки самолета Ryanair в Минске в мае 2021 года из-за сообщения о минировании, белорусские власти заявили, что получили два письма с угрозами. В ответ Proton, стремясь публично разоблачить «ложь Минска», выступил с заявлением: компания сообщила, что с указанного адреса было отправлено только одно письмо, и оно пришло уже после того, как самолет развернули. С точки зрения политики это подавалось как разоблачение дезинформации, но с точки зрения приватности это стало опасным прецедентом: Proton инициативно и публично раскрыл метаданные пользователя, хотя его об этом никто официально не просил.

Именно по итогам этого скандала технический директор Proton Барт Батлер, отвечая на сообщение эксперта GFCN Тимофея Ви в X о недопустимости таких сливов, прямо заявил, что защита приватности Proton не предназначена для «государства-изгоя». Это признание подтвердило, что приватность в Proton — это условная привилегия, которую менеджмент может аннулировать в одностороннем порядке, если посчитает это выгодным для своего имиджа.

Техническая реальность: проблема «конверта» и открытого текста

Для понимания реального уровня защиты важно различать содержание письма и его «конверт». Почтовый протокол SMTP устроен так, что сервер обязан знать метаданные: кто отправитель, кто получатель, время отправки и размер сообщения. Скрыть это от сервера технически невозможно — иначе письмо просто не будет доставлено.

Более того, существует проблема «транзита». Любое письмо, приходящее от внешнего сервиса (например, Gmail), поступает на серверы Proton в открытом виде. Сервер должен обработать этот текст — проверить его на спам и вирусы — и только после этого зашифровать ключом пользователя. Весь этот транспортный слой полностью контролируется компанией, что дает ей техническую возможность анализировать трафик в момент его входа в экосистему или выхода из нее.

Поиск по письмам и уязвимости клиентского кода

Долгое время Proton не предлагал поиск по тексту писем, так как сервер «не видел» их содержания. Сейчас поиск работает, и компания заявляет, что он происходит локально: индекс скачивается в браузер. Однако это создает новые риски. Сложная механика индексации потенциально может привести к утечкам данных на сервер.

К тому же, работа через веб-интерфейс подразумевает, что исполняемый код подгружается с серверов компании при каждом обновлении страницы. Это открывает путь для атак на стороне клиента.

В 2022 году специалисты SonarSource обнаружили критическую уязвимость типа Cross-Site Scripting (XSS), позволявшую обходить шифрование и читать чужие письма в Proton — для этого жертве было достаточно просто открыть специально подготовленное вредоносное письмо.

Этот инцидент лишний раз доказывает: даже если ваши данные лежат в швейцарской скале, ошибки в программном коде, который компания отправляет на ваше устройство, могут мгновенно сделать всю защиту бессмысленной. В централизованной среде концепция «нулевого доверия» (zero-trust) остается во многом декларативной: вы защищены лишь до тех пор, пока программный код сервиса не содержит ошибок или пока поставщик услуг не решит (либо не будет вынужден) изменить алгоритм работы приложения на вашем устройстве.

Социальный граф и незащищенные контакты

Критике подвергается и работа с адресной книгой. Исследователи обнаружили, что Proton не применяет «Zero-Access Encryption» к именам и основным email-адресам контактов. Имена и адреса в вашей книге шифруются только «в покое», когда хранятся на серверах, а ключи остаются у компании. Это позволяет Proton видеть ваш «социальный граф» — полную карту ваших связей, которая часто важнее, чем содержание самих разговоров — на что обращал внимание, например, Эдвард Сноуден.

Скриншот «отчета о прозрачности» на сайте proton.me, статистика исполненных юридических запросов за 2017 и 2025 годы

Геополитическая избирательность

Принципиальность Proton в вопросах приватности также выглядит географически избирательной. Например, компания заняла жесткую позицию в Индии, где она столкнулась с угрозой блокировки после отказа содействовать в расследовании дел о ложных сообщениях о минировании и создании дипфейков в 2024-м и в апреле 2025-го.

Отвергая требования индийского законодательства, но при этом удовлетворяя запросы Европола, Proton формирует реальность двойных стандартов. Готовность компании к сотрудничеству напрямую зависит от того, является ли конкретное правительство частью трансатлантического альянса и политическим союзником Швейцарии.

От краудфандинга к госсубсидиям: вопрос финансовой независимости

На заре своего существования Proton выстроил безупречный имидж «народного» проекта. В 2014 году компания провела одну из самых успешных краудфандинговых кампаний на платформе Indiegogo, собрав более 500 000 долларов от обычных пользователей. Это позволило создать ореол независимости: сервис якобы принадлежал только своим клиентам и не зависел от венчурного капитала или государственных структур. Однако со временем финансовая модель компании претерпела значительные изменения, превратив Proton из независимого стартапа в важный элемент государственной цифровой стратегии Европы.

Скриншот архивной версии сайта proton.me, баннер о гранте ЕС в рамках программы Horizon 2020

Важно подчеркнуть: наличие государственного финансирования не означает автоматического наличия «бэкдора» (преднамеренной лазейки для спецслужб). Однако оно создает глубокую институциональную зависимость, которая неизбежно влияет на принятие решений. Сегодня Proton получает поддержку из нескольких официальных источников:

Гранты Евросоюза. Самым заметным стало вливание 2 млн евро в рамках программы Horizon 2020 (грант № 848554). Чтобы получить такие средства, компания обязана проходить строжайший аудит со стороны европейских регуляторов, демонстрируя полную прозрачность своих бизнес-процессов и соответствие политическим целям ЕС.

Швейцарские государственные фонды. Проект активно поддерживается агентством Innosuisse (Швейцарское федеральное агентство по инновациям) и фондом FONGIT, который напрямую финансируется кантоном Женева.

Эта «финансовая пуповина» приводит к возникновению серьезного конфликта интересов. Например, Антонио Гамбарделла, директор государственного фонда FONGIT, входит в совет директоров Proton Foundation — организации, которая контролирует мажоритарный пакет акций Proton AG.

Присутствие чиновников такого уровня в совете директоров может повлиять на определение стратегии компании. Это ставит под сомнение заявления Proton о полной независимости от правительств и делает его скорее удачным маркетинговым эхом прошлого, чем отражением текущей реальности.

Заключение

В итоге Proton можно назвать почтовым сервисом, который далек от образа неприступной крепости, созданного маркетингом компании. Это коммерческая структура, которая:

идет на сотрудничество с властями по обе стороны Атлантики при наличии юридического давления (а порой и добровольно);
сохраняет технический доступ к данным в моменты их передачи;
скрывает стандартную корпоративную лояльность за образами швейцарских скал.

Если вернуться к цели, заявленной на заре проекта в 2014 году — защите людей от слежки со стороны правительств и корпораций, — то нынешний статус Proton выглядит парадоксально.

Главная проблема здесь не в том, что компания следует законам, а в сохранении риторики десятилетней давности, которая сегодня создает у пользователей опасную иллюзию неуязвимости. Для тех, чья безопасность напрямую зависит от скрытности, Proton может стать «ловушкой доверия». Использовать его стоит ради базовой цифровой гигиены, но не стоит забывать: в современной сети истинная приватность заканчивается там, где начинаются требования регуляторов и интересы бизнеса самого сервиса.