Che ne è delle nostre conversazioni quando le affidiamo al web? Le comunicazioni private sono veramente private? Dopo lo scandalo Facebook e Cambridge Analytica dei mesi scorsi, è balzato agli onori della cronaca quanto sia semplice intercettare dati e informazioni anche riservate presenti in qualche modo online.
Tra le comunicazioni più facili da spiare ci sono le mail: basta avere l’accesso ai server del provider Internet sul quale viaggiano le mail. Questi di solito conservano una copia della mail per qualche tempo e chiaramente questa copia non è criptata, quindi leggerne il contenuto è un gioco da ragazzi.
ProtonMail nasce proprio con questo obiettivo, impedire che qualcuno possa leggere le e-mail private. La sua storia inizia nel 2013 al CERN, dove tempo fa nacque lo stesso web. Ad avere l’idea e svilupparla sono scienziati, ingegneri e sviluppatori provenienti proprio dall’istituto di Ginevra, da Harvard e dalla Caltech.
Sul sito si legge che ProtonMail nasce con lo scopo di “proteggere le libertà civili e costruire un Internet più sicuro e privato”. Il funzionamento è del tutto (o quasi) uguale a quello di un normale servizio di posta elettronica. Basta visitare il sito web e registrarsi.
L’account base, gratis, garantisce 500 MB di spazio di archiviazione e un massimo di 150 messaggi al giorno, ma sono disponibili anche upgrade: il piano Plus, Visionary e Business. Con ProtonMail è possibile anche impostare la scadenza dell’email, per qualsiasi numero di settimane, giorni o ore.
Passato quel tempo, il messaggio si autodistrugge senza lasciare tracce, però il timer inizia dopo che l’email viene inviata. È possibile comunque inviare e-mail criptate anche a chi utilizza provider diversi, basta creare una password per il messaggio e comunicarla al destinatario.
I server ProtonMail si trovano fisicamente in territorio svizzero, e non è un caso. Di fatto è quindi fuori dalla giurisdizione di qualsiasi legge intrusiva per la privacy ed è conforme all’articolo 25 del Regolamento generale sulla protezione dei dati (GDPR) dell’UE che stabilisce che i servizi rispettino il principio della Privacy by Design. Come azienda svizzera, ProtonMail tra l’altro non può essere costretta a consegnare i dati in caso di controversie civili statunitensi o dell’UE.
Le tecnologie che utilizza
Crittografia end-to-end
I messaggi sono memorizzati sul server ProtonMail in formato crittografato. Sono anche trasmessi in formato crittografato tra i server e i dispositivi dell’utente, il che vuol dire che sono criptati in ogni momento. Proprio per questo, il rischio di intercettazione dei messaggi viene ampiamente eliminato.
Zero accesso ai dati dell’utente
Il servizio funziona con due password. Una è la password di login, che serve ad identificare l’utente ed è conservata nei server di ProtonMail (quindi in caso di necessità può essere recuperata). La seconda password è quella necessaria a decriptare la casella di posta.
Tale password non viene comunicata nemmeno a ProtonMail, e non è conservata da nessuna parte se non nella testa dell’utente. Una volta persa è irrecuperabile, nessuno può leggere la vostra posta se non conosce questa password, né può costringere ProtonMail a rivelarla, visto che non conosce e non l’ha mai conosciuta. Questo significa che il servizio non ha la capacità tecnica di decodificare i tuoi messaggi e, di conseguenza, non può trasferire i tuoi dati a terzi. Privacy matematicamente garantita quindi.
Data center protetti
Sul sito di ProtonMail si legge che la compagnia ha investito molto nella proprietà e nel controllo dei propri hardware server in diverse località della Svizzera, in modo che i dati non siano presenti su cloud. Il datacenter principale, secondo le loro parole, si trova sotto 1000 metri di roccia granitica in un bunker molto sorvegliato che può sopravvivere anche a un attacco nucleare. Per la serie “non si sa mai”.
Nessun tracciamento o registrazione di informazioni personali identificabili
A differenza dei servizi concorrenti, ProtonMail non salva alcuna informazione di tracciamento. Per impostazione predefinita, non registra metadati come gli indirizzi IP utilizzati per accedere agli account. Inoltre, sempre per proteggere la privacy degli utenti, ProtonMail non richiede alcuna informazione di identificazione personale per la registrazione, garantendo così l’anonimato.
Connessioni protette SSL
ProtonMail utilizza la tecnologia SSL per proteggere la comunicazione tra il server e i computer degli utenti. I dati dei messaggi sono inviati già crittografati, ma l’SSL aggiunge un altro livello di protezione per garantire che la pagina web caricata dal tuo browser non venga manomessa da terzi. L’autorità di certificazione SSL di ProtonMail è QuoVadis Trustlink Schweiz AG, uno dei principali emittenti di certificati SSL svizzeri. L’utilizzo di un’autorità certificativa basata in Svizzera garantisce che l’infrastruttura SSL non sia controllata da agenzie governative europee o americane.
Perché è più sicura degli altri provider?
Solo tu puoi leggere le tue e-mail
La crittografia di ProtonMail nasce proprio per impedire che qualcuno legga i messaggi nella tua casella di posta. E infatti nemmeno ProtonMail ha la capacità di leggerli, garantendo così una maggiore sicurezza su tutti i fronti. Gli altri provider invece, qualora volessero, hanno accesso illimitato a tutte le tue comunicazioni personali.
I tuoi dati appartengono a te
Quando ti iscrivi a Facebook o Google, dai loro il controllo sulle tue informazioni personali sensibili. Come accennavamo, il recente scandalo di Cambridge Analytica ha portato alla luce quanto poco sanno gli utenti a proposito di chi ha accesso ai propri dati e su come vengono utilizzati. Nella registrazione a ProtonMail vengono invece richiesti solo un username, una password e una mail di recupero.
Sicurezza anche in caso di violazione dei dati
La crittografia end-to-end fornisce maggiore sicurezza perché anche se ProtonMail fosse in qualche modo violato, i messaggi degli utenti rimarrebbero protetti. In altre parole, se un utente malintenzionato rubasse email dal server, non avrebbe comunque la possibilità di decrittografarle, poiché è la stessa ProtonMail a non poterlo fare.
Nessun tracciamento e registrazione
Google registra letteralmente ogni azione eseguita dai suoi utenti. Questo include indirizzo IP, ogni ricerca effettuata, quali email apri, quali siti web visiti e molto altro. ProtonMail ha l’approccio opposto e, per impostazione predefinita, non controlla né registra l’attività dell’utente, nemmeno gli indirizzi IP.
In realtà, prima di ProtonMail, ci sono stati degli esperimenti simili che però non sono stati all’altezza delle promesse fatte.
Nel 2015 Lavabit, una società di posta elettronica “sicura” che dichiarava una crittografia per cui nemmeno gli amministratori potevano leggere le email, fu costretta da un giudice federale a fornire le chiavi di crittografia al governo americano. Un risultato simile si era registrato già nel 2007, quando Hushmail, che pubblicizzava simili livelli di sicurezza, consegnò in tribunale le chiavi di tre account.
ProtonMail afferma di avere una barriera per la sicurezza pari a quella del Pentagono, ma potrebbe anche non essere così.
