Tutanota, quando un servizio che offre email crittografate viene obbligato a monitorare un utente

La crittografia end-to-end consente l’accesso ai contenuti scambiati tra due interlocutori soltanto da parte di questi ultimi senza la possibilità che soggetti terzi possano leggere le comunicazioni altrui: lo spieghiamo ad esempio nell’articolo Crittografia: come funziona e perché è fondamentale usarla.

In queste ore le testate del nord Europa stanno riferendo di un caso importante. I gestori di Tutanota, apprezzata applicazione opensource che offre una casella di posta elettronica crittografata sono stati obbligati ad attivare il monitoraggio delle comunicazioni in arrivo e in uscita da una specifico account email.

Tutanota contiene nel suo stesso nome le parole latine traducibili come “appunto sicuro” o “nota sicura”. Gli autori del servizio di posta l’hanno più volte presentato come “il servizio di posta elettronica più sicuro al mondo” grazie anche all’utilizzo della cifratura end-to-end, all’hashing delle password SHA256, all’autenticazione a due fattori (U2F).

Di Tutanota abbiamo parlato nel nostro articolo App email, quali sono le migliori per Android.

La notizia è che le autorità di polizia tedesche hanno ordinato ai gestori di Tutanota di consegnare le email scambiate da uno specifico utente. Dal momento che, proprio in forza dell’utilizzo della cifratura end-to-end, ciò non è possibile (le chiavi crittografiche non sono memorizzate sui server di Tutanota), gli inquirenti hanno disposto l’attivazione di un sistema di monitoraggio che dovrà essere attivato entro il prossimo 31 dicembre.

Tale strumento di analisi e verifica dovrebbe consentire alle forze di polizia di accedere alle conversazioni inviate dallo specifico account email Tutanota e ricevute dallo stesso.

Nel frattempo però Tutanota ha confermato su Twitter che il provvedimento in questione riguarda solo un singolo account email e non si tratta in alcun modo dell’introduzione di un sistema di monitoraggio generalizzato sull’intera base di utenti. Inoltre, Tutanota si è già appellata alla decisione e ritiene che un parere favorevole alle sue tesi possa arrivare entro la fine dell’anno, in tempo per evitare l’implementazione del sistema di controllo.

Il caso in questione riguarderebbe un fornitore di autovetture che avrebbe commesso uno o più reati nascondendosi dietro a un account protetto con Tutanota.
Il tribunale di Hannover aveva concluso, mesi addietro, che Tutanota non può essere considerato un servizio di telecomunicazioni nel senso stretto della parola (almeno dal punto di vista legale) quindi non può essere obbligato a monitorare le comunicazioni in essere fra i suoi utenti.
I giudici avevano richiamato una sentenza della Corte di Giustizia dell’Unione Europea del 2019 secondo la quale i fornitori di servizi email non possono essere messi sullo stesso piano dei servizi di telecomunicazioni.

Ciononostante un altro tribunale (Colonia) ha recentemente stabilito che uno strumento come Tutanota “contribuisce” comunque al funzionamento dei servizi di telecomunicazioni di conseguenza deve attivare il monitoraggio dei messaggi.

Tutanota si è strenuamente opposto alla decisione. Il provvedimento non potrà però essere disatteso nel caso in cui il ricorso presentato dovesse essere bocciato.
Un caso interessante che vale la pena seguire perché contribuisce a fare giurisprudenza e soprattutto perché si è presentato in terra europea.