Proton Mail uppmärksammas nu för sin roll i en rättslig begäran från spanska myndigheter gällande en medlem i den katalanska självständighetsrörelsen, Demokratisk Tsunami, vilken till slut ledde till dennes gripande.

Proton Mail är en säker e-posttjänst baserad i Schweiz, känd för sitt integritetsfokus genom bland annat kryptering. 2021 hamnade Proton Mail i blåsväder då de följde en rättslig begäran som ledde till gripandet av en fransk klimataktivist. Enligt schweizisk lag tvingades Proton Mail att samla in och lämna information om personens IP-adress till schweiziska myndigheter, som sedan delade den med fransk polis.

Det senaste fallet med spansk polis lyfter återigen fram integritetsproblematiken och begränsningarna hos krypterade kommunikationstjänster under förevändning av nationell säkerhet.

Kontroversen handlar om att Proton Mail gav spanska polisen uppgift om vilken alternativ e-postadress, för återställning kopplad till Proton Mail-kontot, en individ med pseudonymen ”Xuxo Rondinaire” angett. Denne misstänks vara medlem av Mossos d’Esquadra (katalanska polisen) och ha använt intern kunskap för att hjälpa Demokratisk Tsunami.

Efter att ha fått den alternativa e-postadressen från Proton Mail begärde den spanska myndigheten ytterligare information från Apple till vilken denna e-postadress varit kopplad, vilket ledde till att individen identifierades.

Fallet är anmärkningsvärt då det involverar förfrågningar från flera jurisdiktioner och företag, vilket belyser det komplexa samspelet mellan teknikföretag, användarintegritet och brottsbekämpning.

Förfrågningarna gjordes under förevändning av anti-terrorlagar, trots att Demokratisk Tsunamis huvudsakliga aktiviteter handlar om protester och vägspärrar. Detta väcker frågor om proportionaliteten och berättigandet av sådana åtgärder.

Liksom tidigare är Proton Mails efterlevnad av dessa förfrågningar bunden av schweizisk lag, som kräver samarbete med internationella juridiska krav som formaliseras genom lämpliga kanaler (det schweiziska domstolssystemet).

Användare av motsvarande tjänster bör vara medvetna om de potentiella sårbarheterna med att länka återställningsinformation eller sekundära tjänster (som exempelvis Apple-konton) som kanske inte har samma integritetsskydd som en primärt krypterad e-posttjänst.

Eget ansvar

Det bör också noteras att Proton Mail är tydliga med att de erbjuder integritetsskydd till alla sina användare – men inte fullständig anonymitet. Vill man vara helt anonym är det således nödvändigt att man själv är noggrann med att vidta specifika åtgärder.

”Proton har minimal användarinformation, vilket illustreras av det faktum att uppgifter från Apple i detta fall användes för att identifiera den misstänkte terroristen. Proton tillhandahåller integritetsskydd som standard och inte anonymitet som standard eftersom anonymitet kräver vissa användaråtgärder för att säkerställa korrekt ’OpSec’ (operationssäkerhet), till exempel att inte lägga till ditt Apple-konto som en valfri återställningsmetod. Observera att Proton inte kräver att man lägger till en återställningsadress eftersom denna information i teorin kan överlämnas enligt schweiziskt domstolsbeslut, eftersom terrorism är olagligt i Schweiz”, skriver Proton i ett mejl till RestorePrivacy.