Europe Alternatives
Tuta Mail logo

Tuta Mail

Correo y calendario cifrados de extremo a extremo con sede en Hannover, en manos de los fundadores, en su propio rango IP RIPE en Alemania.

🇩🇪 Germany
Email
Calendar

Perfil actualizado por última vez: · Ver fuentes

Probar Tuta Mail. Es gratisVisitar sitio web

Acerca de Tuta Mail

Tuta es el servicio de correo, calendario y Drive (beta cerrada) cifrados de extremo a extremo para consumo y empresa, operado por Tutao GmbH (Deisterstr. 17a, 30449 Hannover, HRB 208014 Amtsgericht Hannover, NIF DE280903265). Fue fundada en 2011 por Arne Möhle y Matthias Pfau (con Hanna Bozakov, los tres son los Geschäftsführer) y se renombró de Tutanota a Tuta el 7 de noviembre de 2023; superó los diez millones de usuarios en marzo de 2025.

Tutao GmbH opera su propio /24 asignado por RIPE (185.205.69.0/24, AS210909) desde centros de datos en Alemania. Cuerpos de mensajes, asuntos, adjuntos, calendarios, contactos y el índice de búsqueda completo se cifran de extremo a extremo con AES-256 + HMAC-SHA-256 y un intercambio de claves híbrido poscuántico TutaCrypt (Kyber-1024 + x25519) desplegado el 11 de marzo de 2024. Apps de código abierto bajo GPL-3.0 en github.com/tutao/tutanota.

Funciones

  • Plan gratuito de 1 GB; Personal Revolutionary 3 EUR/mes (20 GB), Legend 8 EUR/mes (500 GB); Business desde 6 EUR/usuario/mes
  • Apps y backend de código abierto bajo GPL-3.0 en github.com/tutao/tutanota; Android también distribuida en F-Droid
  • Cuerpos, asuntos, adjuntos, calendarios, contactos e índice de búsqueda local cifrados de extremo a extremo
  • TutaCrypt poscuántico (Kyber-1024 + x25519) lanzado el 11-03-2024; cuentas nuevas por defecto; calendario PQ a la vez
  • Servicios propios de código abierto para push y CAPTCHA sustituyen a Google Firebase y reCAPTCHA
  • Autoalojado en el /24 propio de Tutao por RIPE (AS210909) en centros de datos alemanes; sin Cloudflare ni CDN ajeno
  • Informe semestral de transparencia con warrant canary; S2 2025: ~88 % de rechazos en datos de inventario; contenido ilegible
  • En manos de los fundadores sin capital riesgo; único capital externo: subvención BMBF poscuántica de ~1,5 M EUR (mayo de 2023)
  • Tuta Drive: almacenamiento en la nube cifrado de extremo a extremo en beta cerrada; lanzamiento público en 2026 con PQ desde el inicio

Cuadro de soberanía

Señales clave para compras: soberanía de datos, propiedad y residencia en la UE.

El marco SHIELD

Evaluamos a cada proveedor europeo según seis dimensiones de soberanía recogidas en el acrónimo SHIELD. Cada tarjeta de abajo corresponde a una letra — léelas como una lista de verificación al comparar proveedores.

S
Subprocesadores

Los terceros que tratan datos de clientes — procesadores de pagos, proveedores KYC, chatbots de soporte, analítica.

H
Sede y propiedad

Dónde se ubica la entidad jurídica, quién la controla y qué filiales operan bajo el mismo grupo.

I
Infraestructura y residencia

Dónde se almacenan físicamente los datos, quién gestiona la infraestructura de hosting y qué CDN se sitúa delante.

E
Exposición

Si el proveedor o sus subprocesadores quedan bajo la CLOUD Act de EE. UU. u otro alcance extraterritorial.

L
Documentos legales

Términos públicos, política de privacidad, DPA, lista de subprocesadores, aviso legal y páginas de seguridad o confianza.

D
Diligencia

Auditorías independientes y certificaciones (ISO 27001, BSI C5, TISAX, SOC 2) y transparencia de código abierto.

Propiedad

Empresa privada

Control europeo total

Tutao GmbH (HRB 208014 Amtsgericht Hannover) is wholly owned by co-founders Arne Möhle and Matthias Pfau, both German nationals based in Hanover; Hanna Bozakov is the third Geschäftsführerin and has been with the company since launch. Tuta stated verbatim on its company blog: 'the company is wholly owned by Matthias and Arne, and is not liable to anyone else.' No outside venture capital has been raised. The only external capital is a roughly EUR 1.5 million BMBF KMU-innovativ grant awarded May 2023 (Northdata records EUR 1,528,635) for the PQDrive post-quantum storage research project, plus a state-aid bracket of EUR 100,000-500,000 recorded October 2024.

Sede

🇩🇪 Hanover, Germany

Tutao GmbH

Filiales
  • Tutao GmbH - Munich office 🇩🇪 GermanySecond German office named on the careers page tuta.com/jobs; supports the same Tutao GmbH legal entity. Not a separate company.
Residencia de datos
DE

Región fija

Tuta's privacy policy states verbatim: 'All data is stored in ISO 27001 certified data centers in Germany.' The certification covers the data-centre operators, not Tutao GmbH as an entity. The secure-email page reinforces this with: 'All your data in Tuta is stored on our own servers in ISO 27001-certified data centers in Germany and in full compliance with the GDPR.' Personal data is deleted no later than 30 days after termination of the contract; IP addresses are not logged on login or send, and the mail server strips originating IP from outbound email headers.

Infraestructura de alojamiento

Sitio web: Self-hosted on Tutao's own IPv4 /24 (185.205.69.0/24) and IPv6 /48 (2a10:e000:1::/48), RIPE-registered to Tutao GmbH (ORG-TG206-RIPE); no Cloudflare, no third-party CDN in the production path for tuta.com or app.tuta.com (both A-record into Tutao IP space)

Aplicación: Tutao GmbH AS210909 (RIPE-Originated-Valid RPKI) inside ISO 27001-certified data centres in Germany. Webmail at app.tuta.com → 185.205.69.10; mail.tutanota.de → 185.205.69.211 / .213 / .214; tuta.com landing page → 185.205.69.12. Specific data-centre operator(s) are not named publicly.

Correo electrónico: Self-hosted MX on mail.tutanota.de (Tutao IP space); SPF v=spf1 include:spf.tutanota.de -all on both tuta.com and tutanota.com (strict -all reject)

CDN: None on customer-data subdomains; AWS Route 53 used as authoritative DNS only (NS records ns-*.awsdns-*.{com,net,org,co.uk}); INWX GmbH is the registrar; DNSSEC signedDelegation with algorithm 13 (ECDSAP256SHA256)

Subencargados del tratamiento
NombrePaísFinalidad
Amazon Web Services, Inc. (Route 53)🇺🇸 United StatesAuthoritative DNS only for tuta.com and tutanota.com (ns-*.awsdns-*.com / .net / .org / .co.uk observed). Does not touch encrypted mailbox content; resolves only the public DNS zone for Tutao IP space.
INWX GmbH🇩🇪 GermanyDomain registrar for tuta.com and tutanota.com (Berlin-based German registrar).
PayPal (Europe) S.à r.l. et Cie, S.C.A.🇱🇺 LuxembourgSubscription-payment processor for PayPal-funded subscriptions; named in the Tuta privacy policy and the transparency report (PayPal usernames listed among the inventory data that can be subpoenaed).
Apple Inc. (App Store)🇺🇸 United StatesiOS in-app subscription billing since 2024-07-12 (Tuta blog post 'ios-payment') -- enables Revolutionary and Legend upgrades inside the iOS app, including non-EUR currency support (USD, GBP). Apple does not handle email content.
Google LLC (Google Play)🇺🇸 United StatesAndroid subscription billing for users who install Tuta Mail from Google Play; the F-Droid build is the Google-Play-Services-free alternative. Google does not handle email content.
Arelion Sweden AB🇸🇪 SwedenBGP transit upstream provider (AS1299) carrying AS210909 traffic. Telia Carrier predecessor; EEA-based.
kyberio GmbH🇩🇪 GermanyBGP transit upstream provider (AS24679) carrying AS210909 traffic. Frankfurt-region German transit.
Documentos legales
Términos del servicioPolítica de privacidadAcuerdo de tratamiento de datosAviso legalSeguridad
Exposición a la CLOUD Act de EE. UU.
Parcial, vía subprocesadores en EE. UU.
Código abierto
Tiene componentes abiertos
Ver código fuente

Precios

Personal Free

EUR 0

free, no trial expiry
  • 1 GB storage, 1 calendar, 3 labels
  • No extra email addresses, no custom domains
  • No subscriber support; iOS / Android / desktop / web clients all included
Personal Revolutionary

EUR 3/month

monthly or annual (EUR 36/year)
  • 20 GB storage, unlimited calendars, unlimited labels
  • 15 extra email addresses across 3 custom domains
  • Email support, calendar sharing, autoresponder, inbox rules, schedule send, offline support
Personal Legend

EUR 8/month

monthly or annual (EUR 96/year)
  • 500 GB storage, unlimited calendars, unlimited labels
  • 30 extra email addresses across 10 custom domains
  • Priority email support and all Revolutionary features
Business Essential

EUR 6/user/month

annual per user
  • 50 GB storage per user, 15 aliases, 3 custom domains
  • Freelancer-tier business product
  • Tutao GmbH offers an Order Processing Agreement (Auftragsverarbeitungsvertrag) on request
Business Advanced

EUR 8/user/month

annual per user
  • 500 GB storage per user, 30 aliases, 10 custom domains
  • Team-tier business product
Business Unlimited

EUR 12/user/month

annual per user
  • 1 TB storage per user, 30 aliases, unlimited custom domains
  • Larger-organisation tier; price unchanged since the June 2023 announcement

Preguntas y respuestas

6 preguntas

¿Dónde tiene Tuta su sede, quién controla Tutao GmbH y dónde se almacena mi buzón?

Tutao GmbH está registrada en Deisterstr. 17a, 30449 Hannover, bajo HRB 208014 en el Amtsgericht Hannover. Los tres Geschäftsführer (administradores) son el cofundador Arne Möhle, el cofundador Matthias Pfau y Hanna Bozakov. Möhle y Pfau son los únicos accionistas -- Tuta afirma textualmente en el blog corporativo: «the company is wholly owned by Matthias and Arne, and is not liable to anyone else». Los buzones se almacenan en la infraestructura propia de Tutao en Alemania: Tutao GmbH es un Local Internet Registry de RIPE que opera AS210909 y anuncia 185.205.69.0/24 y 2a10:e000:1::/48 directamente. Tuta declara que los centros de datos son «ISO 27001 certified data centers in Germany»; la certificación cubre a los operadores del centro de datos, no a Tutao GmbH como entidad. Las Condiciones del Servicio de Tuta someten el contrato al derecho alemán y a la jurisdicción de Hannover.

¿Está Tuta sujeta a procedimientos legales estadounidenses?

No, no de forma directa. Tutao GmbH no tiene matriz constituida en EE. UU., ni filial estadounidense, ni oficinas fuera de Alemania; los fundadores, la sede y la infraestructura de producción son alemanes. Tuta afirma textualmente que «Tutao GmbH only responds to valid warrants issued by German courts» y «German companies are not allowed to share customer's information with foreign law enforcement». Existe una exposición indirecta a través de un pequeño conjunto de subencargados con domicilio estadounidense: el DNS autoritativo de tuta.com y tutanota.com se aloja en AWS Route 53; la facturación de suscripciones para iOS pasa por Apple (compra dentro de la app desde el 12 de julio de 2024); la facturación de suscripciones para Android pasa por Google Play; PayPal y un procesador de tarjetas no identificado gestionan los pagos de suscripción. Ninguno de esos encargados puede descifrar el contenido cifrado del buzón.

¿Qué cubre realmente el cifrado de extremo a extremo en Tuta?

Los cuerpos de los mensajes, los asuntos y los adjuntos; los calendarios completos incluidos los metadatos de los eventos como títulos, notificaciones y recordatorios; los contactos (cumpleaños, comentario, empresa, nombre, apellido, alias, cargo, título, direcciones, direcciones de correo, números de teléfono, IDs sociales); las reglas y filtros del buzón; y el índice de búsqueda completo, que se construye y se almacena en el dispositivo del cliente. Los únicos datos que permanecen sin cifrar son las direcciones de correo del remitente y del destinatario y las marcas temporales, porque los estándares del protocolo de correo exigen que los metadatos de enrutamiento queden en claro. Las notificaciones push se entregan a través del servicio propio de Tuta, de código abierto, oculto a Apple y Google. Las primitivas criptográficas son AES-256 / HMAC-SHA-256 simétricas, Argon2 / HKDF-SHA-256 para la derivación de claves y, desde el 11 de marzo de 2024, el intercambio híbrido poscuántico TutaCrypt Kyber-1024 + x25519 para las cuentas nuevas (RSA-2048 se conserva por compatibilidad con cuentas heredadas).

¿Es Tuta de código abierto? ¿Puedo ejecutarla yo mismo?

Los clientes web, iOS, Android y de escritorio (Windows / macOS / Linux) de Tuta y el código de la infraestructura backend son de código abierto bajo GPL-3.0 en github.com/tutao/tutanota (7.580 estrellas, 619 forks, 938 versiones etiquetadas). La app para Android se publica en Google Play y como build sin Google Play Services en F-Droid (según Wikipedia, Tuta es el primer proveedor de correo en publicar en F-Droid). Tuta es miembro de Open Invention Network (incorporación en 2017). La marca Tutao es propiedad de la empresa. No hay un flujo documentado de autoalojamiento para el lado servidor -- ejecutar tu propio clúster de buzones de Tuta es técnicamente posible a partir del árbol de fuentes públicas, pero no es una vía productizada. La mayoría de los compradores con criterios de adquisición usarán los planes Business alojados (Essential, Advanced o Unlimited) bajo un Auftragsverarbeitungsvertrag.

¿Qué publica Tuta sobre las solicitudes de las autoridades?

El informe de transparencia se actualiza cada seis meses e incluye un warrant canary. El informe del segundo semestre de 2025 (1 de julio - 31 de diciembre de 2025) muestra 165 solicitudes de datos de inventario con 19 atendidas (~88 % de rechazo), 25 solicitudes de datos de tráfico en tiempo real con 19 atendidas, 16 solicitudes de datos de contenido almacenado con 8 atendidas y 14 solicitudes de datos de contenido en tiempo real con 12 atendidas. Tuta afirma que a lo largo del año natural 2025 rechazó el 75 % de todas las solicitudes de las autoridades. Incluso con una orden judicial alemana válida, Tuta no puede descifrar el contenido del buzón -- solo se pueden entregar los datos de inventario (banca / PayPal / metadatos de tarjeta) y los metadatos de enrutamiento (remitente / destinatario / marcas temporales). El canary afirma textualmente: «Tuta (formerly Tutanota) has never received any National Security Letters or FISA court orders, and we have not been subject to any gag order by a FISA court».

¿Por qué no publica Tuta una página dedicada con la lista de subencargados?

Tuta no publica una URL única de subencargados al modo en que lo hacen la mayoría de los proveedores B2B SaaS. Los proveedores que tocan datos de cliente se enumeran de forma dispersa en la política de privacidad, en la entrada del blog sobre los pagos en iOS y en el imprint. La lista es pequeña por diseño: AWS Route 53 para el DNS autoritativo, PayPal Europe S.à r.l. et Cie S.C.A. para los pagos con PayPal, un procesador de tarjetas no identificado para los pagos con tarjeta, entidades de crédito alemanas para los adeudos directos SEPA, Apple Inc. para las suscripciones in-app de iOS (desde el 12 de julio de 2024), Google LLC para la facturación en Android a través de Google Play, INWX GmbH como registrador de dominios y tránsito BGP a través de Arelion (AS1299, Suecia) y kyberio GmbH (AS24679, Alemania). Los planes Business incluyen un Acuerdo de Tratamiento de Datos a petición a través del canal comercial.

Alternativas

Otras empresas europeas en la misma categoría que Tuta Mail.

Calendar.online

🇩🇪 Germany

Sede UE
Hosting UE
Combell

🇧🇪 Belgium

Sede UE
Hosting UE
eclipso

🇩🇪 Germany

Sede UE
Hosting UE
fruux

🇩🇪 Germany

Sede UE
Hosting UE
GMX

🇩🇪 Germany

Sede UE
Hosting UE
Hostpoint

🇨🇭 Switzerland

Hosting UE
inbox.eu

🇱🇻 Latvia

Sede UE
Hosting UE
Infomaniak

🇨🇭 Switzerland

Hosting UE

Datos rápidos

Idiomas compatibles
Čeština
Deutsch
English
Español
Suomi
Français
Magyar
Italiano
日本語
Nederlands
Polski
Português
RU
Svenska
Українська
中文
Categorías
Email
Calendar
Alternativa a
Fastmail
Google Workspace

Fuentes y verificación

Cada dato de esta página se respalda con una fuente primaria o independiente. Verificación más reciente: 15 de mayo de 2026.

¿Encontraste un error? Repórtalo

Citas

Contenido del perfil

Lema
Descripción
Precios
Funciones
P&R

Soberanía (SHIELD)

SSubencargados del tratamiento
  • primaria · privacy-policytuta.com/privacy-policyPayPal, card processors, credit institutions for SEPA
  • primaria · blogtuta.com/blog/ios-paymentApple in-app subscription 2024-07-12
  • primaria · dns-recordswww.ripe.netAWS Route 53 NS records on tuta.com and tutanota.com via dig NS / whois; INWX as registrar
  • primaria · dns-recordsbgp.he.net/AS210909BGP upstreams AS1299 Arelion (Sweden) and AS24679 kyberio (Germany)
HSede
HPropiedad
HFiliales
  • primaria · about-pagetuta.com/jobsHanover HQ and Munich office
IResidencia de datos
IInfraestructura de alojamiento
  • primaria · dns-recordsbgp.he.net/AS210909AS210909 and prefix announcements; BGP upstream providers
  • primaria · dns-recordsbgp.he.net/net/185.205.69.0/24Hurricane Electric BGP toolkit deep link to 185.205.69.0/24: netname DE-TUTA-20201009, org Tutao GmbH (ORG-TG206-RIPE)
  • primaria · privacy-policytuta.com/privacy-policyData-centre operator certification claim
  • primaria · dns-recordsdnsviz.net/d/tutanota.de/dnssecDNSSEC chain (algorithm 13 ECDSAP256SHA256) and SPF -all reject on tutanota.de + tuta.com via dnsviz; A-record values mail.tutanota.de 185.205.69.211 / .213 / .214 and app.tuta.com 185.205.69.10 confirmed via dig
EExposición a la CLOUD Act de EE. UU.
LDocumentos legales
DCertificaciones
  • primaria · privacy-policytuta.com/privacy-policyISO 27001 attribution is to the data-centre operators, not to Tutao GmbH as an entity; no Tutao corporate certifications publicly recorded
DCódigo abierto