Den korta versionen: det finns tre ärliga kategorier av "gratis" VPN. (1) Begränsad gratisnivå från en riktig betalleverantör (Proton, Windscribe, TunnelBear) — subventionerad av betalande kunder, avsiktligt begränsad så att storkonsumenter uppgraderar, affärsmodellen är rättfram. (2) Gratis-i-ett-syfte-VPN (företag, universitet, inbäddat i en annan produkt) — betalas av en organisation som vill ha dig i sitt nätverk, affärsmodellen är vad moderprodukten säljer. (3) Gratis-som-monetisering-VPN — VPN-leverantören ÄR företaget, och de tjänar pengar på dig. Den tredje kategorin är där dokumenterad skada historiskt har förekommit: enheten-som-exitnod-botnet-modeller, vidareförsäljning till datahandlare, annonsinjicering, medföljande skadlig programvara. De två första kan vara utmärkta. Den tredje har orsakat merparten av "är det osäkert att använda VPN"-rubrikerna. Det här är fältguiden för att skilja dem åt.
Upplysning i förväg: Casper's Cloak är en betald VPN-tjänst. Vi har ett kommersiellt intresse av ämnet. Därför fokuserar det här inlägget på verifierbara, dokumenterade historiska incidenter — fakta du kan kontrollera mot originalkällor — snarare än vaga "gratis är dåligt"-varningar. Syftet är inte att skrämma dig från gratis-VPN; det är att hjälpa dig välja en vars affärsmodell du faktiskt förstår.
Vad "gratis" faktiskt kostar leverantören att leverera
Konkreta siffror, eftersom det är här resten av analysen utgår ifrån. En blygsam VPN-leverantör med 1 000 servrar i 30 länder betalar:
- Serverhosting: 40–150 USD/server/månad beroende på region (Västeuropa, USA-öst billigt; APAC, Latinamerika, Afrika dyrt) → minst 40 000–150 000 USD/månad.
- Bandbredd: dominerande kostnad. En VPN-exit genererar mer trafik än nästan alla andra arbetsbelastningar — en typisk användare förbrukar 50–200 GB/månad, leverantörer kör på 80%+ utnyttjandegrad. Bandbreddsfakturor överstiger serverfakturor i stor skala.
- Missbrukshantering: någons heltidsjobb är att svara på DMCA-anmälningar, hostingleverantörers klagomål om missbruk, betalningsförmedlares frågor och enstaka brev från brottsbekämpande myndigheter. Det är icke-frivilligt och blir dyrt i stor skala.
- Ingenjörsarbete: underhåll av protokollstack (WireGuard, OpenVPN), klientappar för iOS/macOS/Windows/Linux/Android, granskningar, säkerhetssvar.
För att en leverantör ska kunna driva 1 000+ servrar, anställa ett riktigt driftteam, låta sig granskas årligen och ta 0 kr — måste pengarna komma någonstans ifrån. Den ärliga frågan är: varifrån? De tre mönstren nedan täcker ungefär allt vi dokumenterat i verkligheten.
Mönster 1 — Begränsad gratisnivå från en betalleverantör (vanligtvis okej)
Den renaste varianten. Leverantören säljer en betalprodukt till de flesta av sina användare och erbjuder en avsiktligt begränsad gratisnivå som marknadsföringstratt. Begränsningar har vanligtvis en av tre former:
- Bandbreddsbegränsning (Windscribe: 10 GB/månad gratis; TunnelBear: 2 GB/månad gratis). Storkonsumenter når gränsen och uppgraderar, eller slutar använda tjänsten. Gratisanvändare kostar leverantören mindre än de är värda som tratt.
- Serverlokationsbegränsning (Proton Free: 3 länder; ProtonVPN Plus: 110+). Gratisnivån räcker för "jag vill att min trafik är krypterad på ett fientligt WiFi"; betalnivån krävs för att streama från andra länder.
- Funktionsbegränsning (ingen streaming, ingen torrenting, färre samtidiga anslutningar). Samma logik som serverlokationsbegränsningarna.
Hur du verifierar att leverantören tillhör denna kategori: (a) de har en uppenbar, transparent betalnivå med riktiga kunder (titta på antalet betyg i deras appbutik, inte bara betyget i sig); (b) deras integritetspolicy är tydlig med att de inte loggar eller säljer trafikdata, och de har helst publicerat en extern granskning som bekräftar det; (c) de är ett riktigt företag med namngivna chefer och känd jurisdiktion; (d) de tjänar det mesta av sina pengar på betalabonnemang, vilket de oftast redovisar i marknadsföringsmaterial.
Mönster 2 — Gratis-i-ett-syfte-VPN (beror på syftet)
Gratis för att någon annan vill att du använder det. Tre underfall:
Webbläsareinbäddade VPN (Opera VPN, Brave Firewall + VPN, Cloudflare WARP). Moderbolaget har en annan affärsmodell — sälja annonser, sälja enterprisetjänster, sälja DNS — och VPN:et finns för att differentiera webbläsaren. Dessa är vanligtvis ärliga om sin räckvidd: Opera VPN är en gratis krypterad proxy, inte ett riktigt VPN (skyddar bara trafik i webbläsaren), och de säger det uttryckligen. Cloudflare WARP finansieras av Cloudflares enterprise-CDN-verksamhet och är ungefär den mest granskade gratis nätverkstjänsten som finns.
Apples iCloud Private Relay tillhör den här kategorin — det ingår i iCloud+ och är alltså tekniskt sett inte "gratis" i strikt bemärkelse, men det är kostnadsfritt marginellt om du redan betalar för iCloud-lagring. Det gäller dessutom bara Safari, använder dubbelt hopp och är uttryckligen inte ett allmänt VPN. Vi gick igenom räckvidden i detalj i Vad iCloud Private Relay faktiskt täcker — och vad det inte gör.
Företags-/universitets-VPN. Gratis för dig för att organisationen betalar. Ärliga om det. Använd dem för det de är till för (åtkomst till institutionens resurser); använd dem inte för personlig integritet (institutionen kan se all din trafik per design).
Hur du verifierar: läs integritetspolicyn, titta på moderbolagets primära affärsmodell. Om huvudverksamheten är webbläsarannonser (Opera) eller enterprise-CDN (Cloudflare) är VPN:ets incitament att inte sabba det — dålig press från en VPN-skandal skulle skada den mer lönsamma verksamheten.
Mönster 3 — Gratis-som-monetisering-VPN (där dokumenterad skada har förekommit)
Det här är kategorin som alla "är VPN riskabelt"-artiklar egentligen handlar om. VPN-leverantören har ingen annan verksamhet; VPN:et ÄR verksamheten; användaren ÄR intäkten. Tre dokumenterade historiska mekanismer:
3a. Enhet-som-exitnod (Hola/Luminati-modellen)
Hola, marknadsförd som ett gratis VPN för geo-upplåsning i webbläsare, samlade miljontals användare i början av 2010-talet. Affärsmodellen — redovisad i användarvillkoren, men på det sätt som "redovisad i användarvillkoren" vanligtvis innebär — var att din enhet fungerade som exitnod för Luminati (numera Bright Data), Holas kommersiella proxynätverk. Betalande företagskunder ledde trafik genom Hola-gratisanvändarnas privata IP-adresser.
Konsekvenserna, väl dokumenterade: år 2015 visade säkerhetsforskare att Hola-användare hade använts som exitnoder för ett 8chan DDoS-botnet — vilket innebar att Hola-användares IP-adresser skickade attacktrafik som de inte hade en aning om att de sände. Luminati-nätverket har sedan dess bytt namn, lagt till samtyckesflöden och fortsätter att verka; modellen är ungefär densamma.
Hur du känner igen det: leverantören talar vagt om "peer-to-peer"-arkitektur eller "community-drivet" nätverk. Deras användarvillkor beskriver en "rätt att använda bandbredd från inaktiva enheter". De säljer en betald kommersiell proxyprodukt vid sidan av den gratis konsumentprodukten, och de är samma nätverk.
3b. Vidareförsäljning till datahandlare (Onavo/Facebook-modellen)
Onavo Protect var en gratis VPN-app — Facebook köpte moderbolaget 2013 och drev det som "Onavo Protect" på iOS och Android. Integritetspolicyn angav att Facebook använde insyn i nätverkstrafiken för att lära sig vilka appar användarna använde, hur ofta och hur länge. Den här informationen styrde Facebooks produktstrategi: Onavo-data varnade famöst Facebook om WhatsApps tillväxt inför förvärvet, och om TikToks tillväxt inför lanseringen av Reels.
Apple tog till slut bort Onavo från App Store 2018 med hänvisning till brott mot datainsamlingsreglerna, och Facebook stängde ner det 2019 efter att Cambridge Analytica-skandalen gjort bilden ohållbar. Mekanismen — gratis VPN som konkurrensinformationstratt för ett moderbolag — återkommer periodvis; namnen ändras men strukturen upprepar sig.
Hur du känner igen det: moderbolagets faktiska verksamhet är annonsering, sociala nätverk eller konkurrensanalys. Integritetspolicyn innehåller formuleringar om "anonymiserade aggregerade användningsdata" eller "förbättra våra tjänster" med bred räckvidd. Det gratis VPN:et saknar en uppenbar betalnivå — det finns ingen anledning för det att existera som fristående produkt.
3c. Annonsinjicering och medföljande skadlig programvara (den långa svansen)
Det minst sofistikerade och vanligaste: den gratis VPN-appen injicerar annonser på webbsidor, omdirigerar trafik via affiliate-länkar eller levereras med medföljande adware/spionprogram. Studier av gratis Android VPN-appar finner upprepade gånger att en meningsfull andel bäddar in spårnings-SDK:er, begär onödiga behörigheter, eller i extrema fall innehåller direkt skadlig programvara. CSIRO publicerade en flitigt citerad studie 2017 som fann att 38% av 283 undersökta gratis Android VPN-appar innehöll någon form av skadlig programvara; uppföljningsarbete under efterföljande år visar att läget förbättrats men inte förändrats i grunden.
Hur du känner igen det: appen har aggressiv annonsplacering i sitt eget gränssnitt, begär behörigheter utöver vad ett VPN behöver (kontakter, SMS, plats-alltid), har väldigt få betyg i appbutiken, och utvecklarnamnet är okänt. Generiska "Bästa gratis VPN"-appar i Play Store som ser något olika ut från varandra är vanligtvis samma SDK ommärkt.
Checklistan för röda flaggor i integritetspolicyn
Innan du installerar något VPN — gratis eller betalt — läs integritetspolicyn och leta efter dessa specifika problem:
- Vagt "aggregerade användningsdata"-språk med breda tillåtna användningsområden ("för att förbättra våra tjänster, för våra partners, för marknadsföringsändamål"). Ärliga betalda leverantörer specificerar vanligtvis exakt vad de loggar: kontoinformation, betalningsinformation, ibland bandbreddsanvändning på aggregerad nivå, ingenting annat.
- Ingen tredjepartsgranskning, eller en vag hänvisning till en utan länk. Ärliga betalda leverantörer länkar till den fullständiga granskningsrapporten (Proton, Mullvad, ExpressVPN, NordVPN publicerar alla sina).
- Jurisdiktion som är fientlig mot användarintegritet — USA (omfattas av NSL-munkavlar), UK (Investigatory Powers Act), eller jurisdiktioner i Fourteen Eyes underrättelsedelningsarrangemanget. Inte automatiskt diskvalificerande, men värt att väga.
- Anonym ägarstruktur. Om du inte kan ta reda på vilket företag som äger produkten och var de är baserade efter några minuters forskning är det ett varningstecken.
- "P2P/peer-to-peer/community-nätverk"-arkitekturspråk — se Hola-mönstret ovan.
- Appbutiksbehörigheter långt utöver vad ett VPN behöver. Ett VPN behöver VPN-tjänstbehörigheten och, på Android, en förgrundstjänst. Det behöver inte kontakter, SMS, kalender eller exakt plats.
När gratis verkligen är rätt svar
Tre ärliga användningsfall där ett gratis VPN (specifikt Mönster 1 eller Mönster 2) verkligen är rätt verktyg:
- Tillfällig kryptering på kafé. Du vill ha din trafik krypterad från insyn på fientligt WiFi, din månatliga volym är under några GB, och du gör inget som drar nytta av hög hastighet. ProtonVPN Free, Windscribe Free, TunnelBear Free och Cloudflare WARP klarar alla detta bra.
- Prova innan du köper. Använd gratisnivån hos en betalleverantör för att validera appkvalitet, hastighet och landlista innan du binder dig för ett årsabonnemang. Gratisnivåer finns just för det här ändamålet.
- Du ingår redan i någons paket. Om du betalar för iCloud+ och din trafik mestadels är Safari är iCloud Private Relay gratis marginellt. Om du använder Brave ingår Brave Firewall + VPN. Om din arbetsgivare tillhandahåller ett företags-VPN, använd det för arbete och kombinera med något annat för privat bruk.
Vad ett betalt VPN faktiskt ger dig (ärlig version)
Hoppar vi över marknadsföringsanspråken: här är vad abonnemangsintäkter låter en leverantör leverera som en annonsstödd eller dataåterförsäljar-leverantör strukturellt inte kan:
- Incitament i linje med din integritet, inte emot den. Abonnemanget ÄR intäkten; att sälja din trafikdata skulle förstöra varumärket och kundbasen. Det ekonomiska argumentet för ärligt beteende är det starkaste.
- Kapacitet att hantera missbruk utan att tappa dig. Betalda leverantörer har råd med personal för missbrukssvar; gratis leverantörer underbemannar detta och antingen låter missbruk skada ryktet eller tar bort funktioner (P2P/torrenting försvinner ofta från gratisnivåer av kostnadsskäl, inte policyskäl).
- Tredjepartsgranskningar. Externa säkerhetsgranskningar kostar riktiga pengar; gratis leverantörer beställer dem sällan. De stora betalda leverantörerna publicerar granskningsrapporter regelbundet.
- Hastighet och serverdensitet. Bandbredd är den dominerande kostnaden. Betalda leverantörer kan överdimensionera; gratis leverantörer ransonerar. Det visar sig som lägre hastigheter under rusningstid, färre tillgängliga länder, en mindre IP-pool.
- Riktig kundsupport. Gratisanvändare får ett community-forum; betalande kunder får e-postsvar inom timmar.
- En tydlig affärsmodell. När du kan namnge hur företaget tjänar pengar kan du förutsäga hur det kommer att bete sig under press (förvärv, ekonomiska svårigheter, regulatoriskt tryck).
Varför VPN inte heller är hela bilden (den ärliga betalleverantörs-positionen)
Även ett perfekt betalt VPN — ordentligt granskat, ingen loggning, välkonstruerat — löser bara en specifik delmängd av integritetsproblem. Trafikvideo-krypterings-delen: ja. "Din internetleverantör kan inte se vilka sajter du besöker"-delen: ja. "Kafé-nätverket kan inte läsa dina sessioner"-delen: ja. Men:
- Sajterna och apparna du kommunicerar med ser dig fortfarande — och på mobiler ringer spårnings-SDK:erna i apparna hem oberoende av nätverksväg. iOS App Tracking Transparency blockerar IDFA men inte fingerprinting; se Vad iOS App Tracking Transparency inte stoppar.
- Annonser, spårare och skadliga domäner laddas fortfarande på DNS-lagret. Ett VPN krypterar din trafik till destinationen; det filtrerar inte vilka destinationer som nås. Det är därför DNS-nivåfiltrering är den naturliga parningen — se Hur DNS-nivåfiltrering faktiskt fungerar.
- Trafikanalysattacker på metadatalagret — mönster av byte per sekund, tidpunkter, vem du ansluter till och när — fungerar genom krypterade tunnlar. De flesta användare bryr sig inte; vissa gör det.
Casper's Cloak kombinerar VPN-tunnling med DNS-nivå annons-/spårarblockning (vi kör en Pi-hole-instans per användare som resolver) och AI-driven hotdetektering — uttryckligen för att VPN-ensam-erbjudandet lämnar DNS-lagrets yta öppen. Ärlig formulering: betalt VPN är nödvändigt för en meningsfull uppsättning integritetsproblem och otillräckligt på egen hand för andra.
Slutsats
Gratis VPN är inte en kategori, det är tre olika kategorier med mycket olika incitamentstrukturer. Begränsad gratisnivå från en betalleverantör: vanligtvis bra, avsiktligt begränsad, betalande användare subventionerar dig. Gratis-i-ett-syfte-VPN: beror på vem som betalar och varför, men vanligtvis ärligt om det. Gratis-som-monetisering-VPN: det är här dokumenterad skada har förekommit — peer-som-exitnod-nätverk, vidareförsäljning till datahandlare, annonsinjicering, medföljande skadlig programvara. Sättet att skilja den tredje kategorin från de första två är checklistan för röda flaggor i integritetspolicyn ovan och, mer tillförlitligt, att fråga dig själv: var kommer pengarna ifrån? Om du kan namnge det är du förmodligen okej. Om du inte kan är du förmodligen produkten.
Och oavsett vilket du väljer: gratis, betalt eller inget — komplettera det med DNS-nivåfiltrering som minimum och förvänta dig inte att något enskilt av dessa är hela svaret. Den ärliga stacken är VPN + DNS-filtrering + förnuftiga OS-standardinställningar — det är arkitekturen Casper's Cloak levererar; det är också arkitekturen du kan sätta ihop själv av gratis delar om du vill.
Relaterat: Offentliga WiFi-attacker 2026 täcker hotmodellen VPN förväntas hantera; Hur DNS-nivåfiltrering faktiskt fungerar täcker lagret som VPN lämnar öppet; Vad iCloud Private Relay faktiskt täcker täcker Apples inte-riktigt-ett-VPN-integritetsfunktion. Casper's Cloak vs traditionella VPN-jämförelsen går djupare in på de tekniska skillnaderna.