ProtonMail e l'arresto di un attivista francese per il clima: un caso che fa discutere

ProtonMail è finito al centro delle polemiche dopo che si è scoperto che ha fornito informazioni sull'indirizzo IP di un account (jmm18@protonmail[dot]com) legato a un attivista del movimento Youth for Climate alle autorità francesi. Il servizio di posta svizzero si proclama un riferimento per la privacy e la sicurezza delle comunicazioni, ed è per questo che è scoppiato un caso che ha portato il CEO di ProtonMail, Andy Yen, a rispondere con un lungo post sul proprio blog per fare chiarezza. 

La vicenda origina lo scorso anno, quando un gruppo di attivisti iniziò a prendere possesso di locali commerciali e appartamenti vicino a Place Sainte Marthe a Parigi, al fine di protestare contro la gentrificazione del quartiere, la speculazione immobiliare, Airbnb e la diffusione dei ristoranti di lusso.

Iniziata come un "conflitto locale", la protesta ottenne rapidamente i titoli dei giornali quando gli attivisti iniziarono a occupare i locali affittati dal ristorante Le Petit Cambodge. Fu da quel momento che le autorità francesi accesero ancora di più i fari sugli attivisti.

Il 1° settembre di quest'anno il gruppo ha pubblicato un articolo su Paris-luttes.info, un sito contro il capitalismo, da cui si è appreso come la polizia francese avesse inviato una richiesta tramite l'Europol a ProtonMail per identificare un attivista che aveva creato un account sul servizio di posta.

La pubblicazione di un estratto di un rapporto della polizia illustrava come ProtonMail avesse condiviso indirizzo IP e il dispositivo usato dall'attivista. Un controsenso per un servizio che dice di avere una "visione condivisa orientata a proteggere le libertà civili online". Ed è scoppiata la polemica online, a cui va detto che ProtonMail non si è sottratta.

L'azienda svizzera ha spiegato che non registra gli indirizzi IP di default, ma che è comunque tenuta a rispettare la normativa locale, ovvero la legge svizzera. ProtonMail non ha collaborato con le autorità francesi ma con la magistratura elvetica, la quale ha recepito la richiesta della polizia francese tramite l'Europol.

"Proton deve rispettare la legge svizzera. Non appena viene commesso un reato, la protezione della privacy può essere sospesa e siamo tenuti dalla legge svizzera a rispondere alle richieste delle autorità svizzere", ha scritto Andy Yen su Twitter.

Non appena le autorità svizzere hanno intimato a ProtonMail di registrare determinate informazioni, il servizio di posta non ha potuto sottrarsi e ha iniziato a registrare le informazioni sull'indirizzo IP dell'account: grazie a questi dati la polizia francese è poi riuscita a identificare e arrestare l'attivista.

In un post intitolato "Chiarimenti importanti sull'arresto dell'attivista per il clima", il CEO di Proton Technologies Andy Yen ha detto di condividere la preoccupazione per l'uso di questi mezzi legali, sottolineando nuovamente di aver "ricevuto un ordine legalmente vincolante dalle autorità svizzere che siamo obbligati a rispettare. Non c'era la possibilità di appellarsi a questa particolare richiesta".

"Secondo la legge svizzera, Proton può essere costretto a raccogliere informazioni su account appartenenti a utenti sotto indagine penale svizzera. Questo ovviamente non viene fatto per impostazione predefinita, ma solo se Proton ottiene un ordine legale per un account specifico".

"L'accusa in questo caso particolare è stata molto aggressiva. Sfortunatamente, questo è un modello che vediamo sempre più negli ultimi anni in tutto il mondo".

Andy Yen assicura comunque che "in nessun caso la nostra crittografia può essere aggirata, il che significa che e-mail, allegati, calendari, file, ecc. non possono essere compromessi da richieste legali. ProtonMail non fornisce dati a governi stranieri; è illegale ai sensi dell'articolo 271 del codice penale svizzero. Rispettiamo solo gli ordini legalmente vincolanti delle autorità svizzere".

"Secondo l'attuale legge svizzera, l'email e la VPN vengono trattate in modo diverso e ProtonVPN non può essere obbligato a registrare i dati dell'utente", puntualizza il CEO.

"A causa della nostra privacy rigorosa, non conosciamo l'identità dei nostri utenti e non siamo mai stati a conoscenza del fatto che gli utenti presi di mira fossero attivisti per il clima. Sapevamo solo che l'ordine dei dati dal governo svizzero è arrivato attraverso canali tipicamente riservati ai reati gravi. Non c'era alcuna possibilità legale di resistere o combattere questa particolare richiesta. […] Indipendentemente dal servizio usato, a meno che non sia a 15 miglia al largo in acque internazionali, l'azienda dovrà rispettare la legge".

Chiarito il perché e il percome ProtonMail ha dovuto divulgare quelle informazioni, il CEO assicura che l'azienda aggiornerà il proprio sito "per chiarire meglio gli obblighi di ProtonMail in caso di procedimenti penali e ci scusiamo se questo non è stato chiaro. Come azienda svizzera, dobbiamo seguire le leggi svizzere". Inoltre, in futuro ProtonMail promuoverà maggiormente l'uso tramite Tor e VPN come mezzi per chi tiene maggiormente alla privacy.

Nel 2020, Proton Technologies ha ricevuto 3572 ordini dalle autorità svizzere per condividere informazioni sugli utenti, rispetto ai 13 del 2017. Dei 3572 ordini ricevuti, 195 erano richieste provenienti dall'estero. L'azienda ha contestato 750 ordini e soddisfatto 3017 richieste.