Internet è un luogo sempre meno sicuro per gli attivisti? Il caso ProtonMail

Lunedì 6 settembre 2021, un giovane francese, attivista per il clima presso il gruppo Youth for Climate, è stato arrestato. Il servizio di posta elettronica che utilizzava, il super-criptato ProtonMail, ha consegnato il suo indirizzo IP alle autorità francesi. Queste ultime stavano conducendo un’indagine su alcuni militanti che avevano occupato degli immobili a Parigi. Un atto che, dal punto di vista degli attivisti, era una protesta contro la gentrificazione del quartiere e il conseguente aumento degli affitti. L’evento ha fatto molto scalpore, soprattutto tra i molti attivisti che usano ProtonMail proprio per le sue promesse di sicurezza.

Il fondatore e CEO Andy Yen ha dovuto affrontare pubblicamente i propri clienti. La sua linea difensiva è stata: ProtonMail, per quanto incline a voler difendere la privacy dei propri utenti, deve comunque, per legge, sottostare alle decisioni della polizia. Non può agire nell’illegalità. A fronte di una decisione presa da un tribunale svizzero (ProtonMail è basato in Svizzera), non può non collaborare. Alcuni hanno accettato queste scuse, altri hanno cancellato i propri account e accusato il servizio di negligenza. Resta la preoccupazione, se si è attivisti, ci si può fidare di qualcuno?

Le accuse rivolte a ProtonMail

Tra le figure che hanno criticato ProtonMail più decisamente, c’è Martin Steiger, un avvocato svizzero, che ha accusato il servizio di posta elettronica di aver fatto sorveglianza volontariamente, condividendo i metadata con le autorità. Yen ha risposto accusando l’avvocato di diffondere informazioni false di proposito, ribadendo le proprie posizioni a favore dell’anonimato ma contro l’illegalità. Le leggi sulla protezione dei dati personali (leggi svizzere che ProtonMail applica con una certa fierezza) non valgono nei casi in cui ci sono operazioni di polizia in corso. Non proteggono, insomma, i dati di criminali – o di presunti tali.

L’azienda non ha comunicato i contenuti delle comunicazioni dell’attivista: questo non sarebbe fattibile in presenza di criptaggio di tipo end-to-end. Ad essere consegnati alle autorità sono stati solo i metadata. I metadata sono dati sui dati, dati ad un certo livello formali, vuoti, ma che stanno dimostrando un potenziale informativo piuttosto inquietante. Parliamo ad esempio i loro indirizzi IP, che permettono di identificare il dispositivo utilizzato dall’utente e di localizzarlo.

Secondo Steiger, questi dati basterebbero per ricostruire tutto sulle persone in questione. Innanzitutto, diffondere metadata è una violazione della privacy, potenzialmente intrusiva tanto quanto la diffusione dei contenuti. Inoltre, spesso i metadata costituiscono informazioni talmente ricche che i contenuti diventano quasi superflui. A fronte della decisione di Yen di consegnare metadata su un utente alla polizia, Steiger ha accusato ProtonMail di trivializzare lo stato di sorveglianza che esiste in Svizzera.

Sul Transparency report di ProtonMail, che il servizio di posta elettronica riporta sul sito e aggiorna regolarmente, si trova qualche informazione in più. I metadata che tengono (ed eventualmente condividono) sono, nello specifico: le visite al sito, la creazione di account, gli indirizzi email di mittente e destinatario (e i loro indirizzi IP), l’oggetto della mail, il suo momento di invio e ricezione. Ci sono poi le informazioni sull’account, quali il momento del login, lo spazio usato nella memoria, il numero di email inviate e ricevute. Seguono gli eventi riportati nel calendario (solo la loro durata e il numero di partecipanti, non la descrizione dell’evento o i nomi dei partecipanti). Sono poi trattenute informazioni sulla creazione di file e cartelle (ma, anche qui, non sul loro contenuto), il tipo di file e il suo nome. Infine, le comunicazioni con il team di ProtonMail, il già citato indirizzo IP e le informazioni sui pagamenti fatti sulla piattaforma.

Impotenti davanti alla polizia

Forse l’aspetto più inquietante di questa questione è emerso in una discussione su Reddit che Yen ha intrattenuto con vari utenti. Il fondatore ha rivelato che questo genere di richieste particolarmente aggressive da parte della polizia sono diventate sempre più frequenti.

Proprio la Francia è, da questo punto di vista, un esempio emblematico. Nel 2017, il presidente Emmanuel Macron ha introdotto una legge antiterrorismo (la legge 1510) che negli anni è stata sempre più chiaramente usata per instaurare uno stato di polizia. La legge è stata introdotta a seguito degli attacchi terroristici a Parigi, ma in molti già allora si preoccupavano che il provvedimento potesse normalizzare lo stato di emergenza, favorendo un controllo aggressivo e capillare. Anche Amnesty International ha criticato la nuova normativa, definendola ingiusta e usata a fini persecutori. Secondo l’organizzazione, la legge permette di perseguire penalmente le persone sulla base di informazioni incomplete, imponendo controlli che molto spesso sono veri e propri abusi.

Secondo il SIPRI (Stockholm International Peace Research Institute), la sorveglianza digitale sta aumentando esponenzialmente negli ultimi anni, spesso anche ai danni di attivisti per il clima. Secondo uno studio svedese del 2018, quasi il 70% degli attivisti per il clima erano stati vittime di un qualche tipo di sorveglianza digitale. E non si parla di sorveglianza solo da parte dei Big Tech, ma anche dei governi. Spesso la giustificazione usata per queste azioni aggressive e illiberali è la lotta al terrorismo. E ad essere presi di mira sono spesso attivisti assolutamente pacifici. Proprio come il giovane francese che occupava un immobile per protestare contro i prezzi crescenti degli affitti. La domanda che viene da porsi, allora, è: come possono venir gestiti i casi più severi? E soprattutto, come possono gli attivisti comunicare tra loro senza essere sorvegliati?

[di Anita Ishaq]