Protonmail è un servizio svizzero di e-mail molto conosciuto, che ha la fama di proteggere le identità dei suoi utenti e la segretezza delle loro comunicazioni. Forse avete notato un esempio di questa fama nel più recente Delirio del Giorno, in cui un mio hater ha pensato di rendersi anonimo usando appunto Protonmail. Ma un suo utente è stato identificato e poi arrestato dalla polizia francese. Come è possibile?
Le promesse di privacy di Protonmail sono molto forti: il servizio dichiara di non raccogliere dati degli utenti e di usare la crittografia end-to-end. O meglio, dichiarava. A gennaio 2021, infatti, Protonmail scriveva sulla propria pagina iniziale: “Non sono necessarie informazioni personali per creare il tuo account di mail sicuro. Per impostazione predefinita, non conserviamo log IP che possono essere collegati al tuo account di mail anonimo.” In originale: “No personal information is required to create your secure email account. By default, we do not keep any IP logs which can be linked to your anonymous email account.”
Ma oggi e da pochi giorni al posto di questa dichiarazione ce n‘è un’altra di tono ben più blando e vago: “Protonmail è mail che rispetta la privacy e mette al primo posto le persone (non i pubblicitari). I tuoi dati appartengono a te, e la nostra crittografia lo garantisce. Forniamo anche un gateway per la mail anonima.” In originale: “ProtonMail is email that respects privacy and puts people (not advertisers) first. Your data belongs to you, and our encryption ensures that. We also provide an anonymous email gateway.”
È infatti emerso che Protonmail ha risposto a una richiesta legale vincolante dei Dipartimento federale di giustizia e polizia di fornire alla polizia svizzera l’indirizzo IP di un utente e i dettagli dei dispositivi usati da quell’utente per accedere a quella casella di mail. Questi dati hanno consentito l’identificazione dell’utente e il suo successivo arresto.
La polizia svizzera ha eseguito un mandato ottenuto dalle autorità francesi, che tramite lnterpol l’hanno trasmesso ai colleghi svizzeri. La persona coinvolta è legata a un gruppo denominato Youth for Climate, secondo quanto segnalato da Secoursrouge.org e da Andy Yen di Protonmail.
Yen ha anche pubblicato su Reddit una dichiarazione sulla vicenda che fornisce ulteriori dettagli, e Protonmail ha anche diffuso un lungo approfondimento specifico sul proprio sito, dal quale cito questa precisazione: “... secondo la legge svizzera, Proton può essere obbligata a raccogliere informazioni su account appartenenti a utenti che sono oggetto di un’indagine penale svizzera. Questo ovviamente non viene fatto di default, ma soltanto se Proton riceve un ordine legale per un account specifico.”
Dal punto di vista tecnico generale, va ricordato che la cifratura end-to-end protegge il contenuto dei messaggi, ma non nasconde la loro origine. In condizioni normali, l’indirizzo IP dal quale l’utente si collega a Protonmail, per esempio, è sufficiente a rintracciarlo e identificarlo. Anche il tipo di browser usato per l’accesso lascia tracce usabili per fare fingerprinting: marca, versione, lingua utilizzata e altro ancora. Chi ha queste esigenze deve ricorrere a soluzioni che mascherino questi dati.
L’informativa sulla privacy di Protonmail, aggiornata pochi giorni fa, dice ora chiaramente che in caso di violazione della legge svizzera Protonmail può essere obbligata a monitorare o registrare l’indirizzo IP di una persona coinvolta in un’indagine penale svizzera.
In altre parole: se per caso pensavate di poter usare Protonmail in modo assolutamente anonimo semplicemente aprendo un account, tenete presente che non è affatto così semplice.
Fonte aggiuntiva: The Register.