ProtonMail e Tutanota sono due popolarissimi servizi di posta elettronica che permettono di scambiare email in forma crittografata.
Entrambi i produttori hanno sempre fatto presente di non essere in grado di risalire al contenuto dei messaggi di posta, almeno per quelli scambiati tra utenti del medesimo servizio. Lo dimostra quanto accaduto a maggio scorso con la vicenda relativa al dirottamento un volo aereo: in quel caso la cifratura end-to-end non venne utilizzata perché il mittente inviò l’email a un account di posta non ProtonMail.
Aveva fatto scalpore, però, la recente condivisione dell’indirizzo IP usato da un utente ProtonMail con l’azienda che dovette affrettarsi a chiarire.
Prima ancora, su richiesta delle autorità tedesche, Tutanota aveva dovuto monitorare l’account di un suo utente nonostante le email fossero scambiate in forma crittografata.
I giudici del tribunale di Hannover avevano stabilito che strumenti come Tutanota non possono essere considerati servizi di telecomunicazioni in senso stretto quindi devono essere esentati da tutta una serie di adempimenti, compresi gli obblighi di conservazione dei dati e monitoraggio delle comunicazioni quando imposto dalle autorità.
Successivamente i giudici del tribunale di Colonia hanno deciso che Tutanota come gli altri fornitori di caselle di posta cifrate end-to-end concorrono comunque al funzionamento dei servizi di telecomunicazioni e di conseguenza devono attivare il monitoraggio dei messaggi quando richiesto. Il capitolo non è ancora chiuso ma ciò che si deciderà in Europa sarà cruciale per la riservatezza delle comunicazioni private.
Mentre Tutanota ha sede in Germania, ProtonMail ha stabilito il suo “quartier generale” in Svizzera, Paese che si trova al di fuori della giurisdizione europea. Si tratta di un servizio ideato tra l’altro da un gruppo di ricercatori del CERN di Ginevra che da poco ha fatto registrare l’ingresso di un pezzo da novanta: niente meno che Tim Berners-Lee in persona in qualità di consulente.
Così, forse anche grazie alle indicazioni di Berners-Lee, ProtonMail annuncia di aver ottenuto un’importante vittoria in tribunale: il servizio di posta crittografata end-to-end non può essere equiparato con un provider di telecomunicazioni.
È di fatto quanto hanno stabilito i giudici elvetici in appello: il tribunale ha confermato che i servizi di posta elettronica non possono essere considerati fornitori di telecomunicazioni in Svizzera e quindi non sono soggetti ai requisiti di conservazione dei dati imposti a questi ultimi.
Proton ha parlato di “una vittoria per la privacy e una vittoria per le startup tecnologiche svizzere: esse vengono esentate dagli onerosi regolamenti in capo alle telco e dalla consegna di alcune informazioni degli utenti in risposta a ordini delle autorità“.
Per inviare email cifrate end-to-end senza appoggiarsi ad alcun servizio di terze parti, compresi ProtonMail e Tutanota, si può sempre usare OpenPGP.
Abbiamo anche visto come inviare documenti riservati su WhatsApp, Telegram e altri client con OpenKeyChain a sua volta basato su OpenPGP.