Gli Stati Uniti sono notoriamente deboli sulle leggi sulla privacy. Con i suoi tribunali di sorveglianza segreti e potenti agenzie di spionaggio, gli USA dispongono di molti strumenti per raccogliere dati sulle persone all’interno del proprio territorio e oltre.
Di recente, questo potere è stato utilizzato per perseguire le donne. Anche prima che la Corte Suprema degli Stati Uniti annullasse il diritto federale all’aborto nel 2022, molti stati avevano approvato leggi che limitano i diritti sull’aborto.
Per perseguire questi casi, gli investigatori hanno utilizzato log delle chat, dati di localizzazione e ricerche web memorizzate sui server di aziende americane come Google e Meta, come riportato(nuova finestra) di recente da TechCrunch. A volte queste richieste di dati riguardano persone che non hanno infranto alcuna legge.
Invece di proteggere i dati dei propri utenti, aziende come Google solitamente li consegnano alla polizia. Ci sono due motivi per questo:
- Hanno sede negli USA
Le aziende sono soggette alle leggi del paese in cui operano. Nel caso di Google, Meta e molte altre aziende tecnologiche, ciò significa che devono ottemperare a qualsiasi ordine giudiziario valido per fornire i dati degli utenti agli agenti delle forze dell’ordine. - Non utilizzano la crittografia end-to-end
Sebbene la crittografia end-to-end sia ora offerta in alcune app delle grandi aziende tecnologiche, la maggior parte dei dati degli utenti rimane accessibile alle aziende che forniscono il servizio. Ciò include cose come le email in Gmail, le chat su Facebook Messenger con l’impostazione predefinita e le ricerche su Google. Se i dati fossero crittografati end-to-end, le aziende non sarebbero in grado di divulgarli a terze parti.
Quando si tratta di Proton, poiché siamo un’azienda svizzera, non ci atteniamo alle leggi statunitensi. E a causa del tipo di crittografia che utilizziamo, non abbiamo accesso alla grande maggioranza dei dati degli utenti.
Questo articolo spiega perché le persone che utilizzano Proton sono unicamente protette dalle richieste di dati degli Stati Uniti.
Come funzionano le richieste di dati negli USA
Come funzionano le richieste di dati in Svizzera
I dati sono crittografati di default
Cosa succede se la polizia statunitense richiede dati in un caso di aborto?
Considerazioni finali
Come funzionano le richieste di dati negli USA
Le agenzie di forze dell’ordine richiedono regolarmente informazioni alle aziende quando credono che possano aiutarle in un’indagine. Google e Facebook ricevono ogni anno centinaia di migliaia di richieste da tutto il mondo.
Queste possono includere situazioni che vanno da attacchi terroristici e casi di persone scomparse a crimini più minori. E le richieste di dati potrebbero coinvolgere qualsiasi dato memorizzato da un’azienda, incluso:
- Informazioni sull’account, come log degli IP, accessi all’account e informazioni sulla carta di credito
- Informazioni sulla localizzazione, inclusa la tua presenza in un indirizzo specifico che è stato teatro di un crimine (noto come mandato di geofencing)
- Comunicazioni, incluse email, chat, chiamate e messaggi vocali
- Cronologia delle ricerche, inclusa la richiesta a reti di intercettazione per qualsiasi utente che abbia cercato una parola chiave specifica (nota come mandato per parole chiave)
- Media, come immagini, video e documenti nel tuo cloud Drive
Negli Stati Uniti, ci sono diversi requisiti legali per diversi tipi di richieste. Ad esempio, è più facile ottenere informazioni sull’account rispetto ai contenuti delle email. In alcuni casi, anche quando è richiesto un mandato di perquisizione completo, il governo può effettuare richieste a reti di intercettazione, raccogliendo dati da persone casuali che non sono sospettate di un crimine.
Gli Stati Uniti hanno anche un tribunale segreto creato sotto l’Foreign Intelligence Surveillance Act (FISA), che permette al governo di impostare la sorveglianza elettronica. Google afferma di concedere centinaia di migliaia(nuova finestra) di richieste del tribunale FISA all’anno.
Google e Facebook dicono di esaminare attentamente ogni richiesta. Se ritengono che una richiesta sia impropria o troppo ampia, possono combatterla. Ma secondo i loro rapporti di trasparenza(nuova finestra) report(nuova finestra), le due aziende rispettano la maggior parte delle richieste.
Le conseguenze del non conformarsi possono essere fatali per le aziende: il fornitore di email Lavabit ha deciso di chiudere(nuova finestra) piuttosto che consegnare le chiavi private che avrebbero dato al governo accesso alle email di Edward Snowden. Come abbiamo scritto in precedenza, la mancanza di supervisione, mandati segreti e l’assenza di leggi sulla privacy forti escludono semplicemente gli Stati Uniti come sede credibile per qualsiasi azienda che affermi di proteggere la privacy degli utenti.
Come funzionano le richieste di dati in Svizzera
La Svizzera è un ambiente fondamentalmente diverso. Due delle cose per cui la Svizzera è più famosa sono anche molto favorevoli alla protezione dei dati: la privacy e la neutralità.
Quando un’agenzia di forze dell’ordine negli Stati Uniti richiede dati degli utenti a un’azienda svizzera, è illegale per quella società fornire i dati. In Proton, rifiutiamo tutte le richieste di dati da agenzie straniere.
Proton e altre aziende svizzere consegneranno i dati degli utenti solo quando ordinato da un’autorità svizzera. E anche allora, la politica generale di Proton è quella di contestare le richieste di dati ogni volta che è possibile e conformarsi solo dopo che tutti i rimedi legali sono stati esauriti.
Le leggi svizzere sono molto più protettive delle libertà individuali rispetto alle leggi statunitensi. Ad esempio, gli Stati Uniti e l’UE hanno la capacità di monitorare gli utenti senza la conoscenza dell’interessato. In Svizzera, i pubblici ministeri devono alla fine notificare alla persona oggetto di monitoraggio, così che abbiano la possibilità di appellarsi alla sorveglianza. E non ci sono tribunali segreti per la sicurezza nazionale.
In Svizzera, il monitoraggio elettronico è regolato dalla Legge Federale Svizzera sulla Sorveglianza del Traffico Postale e delle Telecomunicazioni. Quando la legge è stata aggiornata nel 2020, Proton ha contestato le modifiche e ha vinto una decisione del tribunale secondo cui i servizi email non sono obbligati a conservare i dati degli utenti per il monitoraggio.
Anche se la privacy e la neutralità sono incorporate nell’etos nazionale, essere in una giurisdizione legale favorevole alla privacy non è sufficiente. Proton utilizza più strati di salvaguardie tecnologiche per proteggere ulteriormente la privacy degli utenti.
I dati sono sempre crittografati
È facile capire perché le agenzie di forze dell’ordine presentano milioni di richieste di dati a società come Google e Meta — i loro interi modelli di business si basano sulla sorveglianza.
Al contrario, il modello di business di Proton è quello di offrire servizi orientati alla privacy e facili da usare alla nostra comunità. Per mantenere il nostro impegno verso la privacy, abbiamo intenzionalmente progettato i nostri prodotti per raccogliere il minor numero di dati degli utenti possibile.
Questo inizia con la crittografia end-to-end e la crittografia a zero accesso che è inclusa di default in Proton Mail, Proton Calendar e Proton Drive. Ogni volta che invii un’email o crei un evento nel calendario, Proton cifra i dati prima che lascino il tuo dispositivo utilizzando la tua chiave privata. Solo la tua password può sbloccare la tua chiave privata, e solo tu conosci la tua password.
Di conseguenza, Proton non ha accesso ai contenuti delle tue email, degli elementi del calendario o dei file su Drive. Anche se un tribunale svizzero ci ordinasse di consegnare i dati, saremmo in grado di fornire solo alcune categorie di informazioni, che puoi scoprire nella nostra Politica sulla Privacy.
E se la polizia statunitense richiedesse i dati in un caso di aborto?
Per illustrare la differenza tra le aziende tecnologiche statunitensi e quelle svizzere, ecco un esempio di cosa potrebbe accadere se la polizia negli Stati Uniti richiedesse i dati di un utente sospettato di aver effettuato un aborto in violazione della legge statale.
- Ipotesi: la polizia presenta una richiesta di dati a Proton per ottenere i contenuti delle email tra il sospetto e una persona da cui ha ricevuto pillole abortive. In tal caso, Proton rifiuterebbe la richiesta perché sarebbe illegale per noi divulgare dati degli utenti senza un valido ordine svizzero delle autorità svizzere.
- Se la polizia statunitense cercasse successivamente di ottenere un ordine in Svizzera tramite assistenza legale internazionale, le autorità svizzere respingerebbero quasi certamente la petizione perché l’aborto è legale in Svizzera. Anche se in qualche modo le autorità svizzere accettassero di ordinare la divulgazione dei dati, Proton impugnerebbe l’ordine.
- Infine, se tutte le misure legali fossero esaurite e Proton fosse costretta a consegnare i dati degli utenti, i messaggi email o gli allegati dell’utente sarebbero cifrati e inaccessibili alla polizia statunitense.
Per confronto, quando le autorità statunitensi hanno richiesto dati simili a Google e Meta, le aziende hanno consegnato le chat non cifrate e altre informazioni come richiesto dalla legge.
Considerazioni finali
Che si tratti di procedimenti giudiziari per aborto o di azioni contro whistleblower, gli Stati Uniti hanno dimostrato di poter essere estremamente ostili alla privacy. Le rivelazioni di Snowden sui programmi di sorveglianza di massa e la successiva distruzione di Lavabit sono esempi significativi.
Anche se molte richieste di dati sono volte a indagare su crimini gravi, la realtà è che non esiste una protezione dei dati caso per caso. Le stesse leggi sulla privacy deboli e la crittografia insufficiente utilizzate per perseguire donne nei casi di aborto o terroristi possono essere usate da governi autoritari per perseguire giornalisti e dissidenti politici.
Pertanto, dobbiamo lottare per una forte privacy per tutti. In questa lotta, la giurisdizione legale conta. Come azienda svizzera, Proton è orgogliosa di offrire alcune delle più forti protezioni della privacy al mondo alla nostra comunità.