La proposta di aggiornamento dell’ordinanza svizzera sulla sorveglianza del traffico postale e delle telecomunicazioni (VÜPF: Verordnung über die Überwachung des Post- und Fernmeldeverkehrs) rappresenta una significativa espansione dei poteri di sorveglianza dello Stato, peggiore di quella degli Stati Uniti. Se venisse attuata, avrebbe gravi conseguenze per i servizi criptati come Threema, un’alternativa criptata a WhatsApp e Proton Mail, nonché per i fornitori di VPN con sede in Svizzera.

Sebbene la privacy svizzera sia stata sopravvalutata, le norme legislative in Svizzera sono attualmente decenti e paragonabili alle leggi tedesche sulla protezione dei dati. L’aggiornamento del VÜPF, che potrebbe entrare in vigore entro il 2026, cambierebbe radicalmente la legislazione sulla protezione dei dati in Svizzera.

Turn ON Privacy in one click.

Get

Perché l’aggiornamento è pericoloso

Se la legge passa nella sua forma attuale,

• i provider svizzeri di e-mail e VPN con appena 5.000 utenti saranno costretti a registrare gli indirizzi IP e a conservare i dati per sei mesi, mentre in Germania la conservazione dei dati è illegale per i provider di e-mail.
• Per il processo di registrazione di vari servizi sono richiesti un documento d’identità o una patente di guida, magari un numero di telefono, rendendo impossibile l’utilizzo anonimo.
• I dati devono essere consegnati su richiesta in chiaro, il che significa che i provider devono essere in grado di decifrare i dati degli utenti da parte loro (ad eccezione dei messaggi crittografati Ende-zu-Ende scambiati tra gli utenti).

Inoltre, la legge non è stata introdotta dal Parlamento, ma il governo svizzero, il Consiglio federale e il Dipartimento federale di giustizia e polizia (DFGP), vogliono espandere in modo massiccio la sorveglianza di Internet aggiornando il VÜPF, senza che il Parlamento abbia voce in capitolo. Questo è uno shock in un Paese orgoglioso della sua democrazia diretta, con le decisioni dei cittadini su tutti i tipi di leggi. Tuttavia, nel 2016 gli svizzeri hanno votato a favore di una maggiore sorveglianza, quindi la democrazia diretta potrebbe non essere d’aiuto.

Storia della sorveglianza in Svizzera

Nel 2016, il Parlamento svizzero ha aggiornato la legge sulla conservazione dei dati BÜPF per imporre la conservazione di tutti i dati di comunicazione (posta, e-mail, telefono, messaggi di testo, indirizzi ip). Nel 2018, la revisione del VÜPF si è tradotta in obblighi amministrativi per ISP, provider di posta elettronica e altri, con eccezioni relative alle dimensioni del provider e alla classificazione come provider di servizi di telecomunicazione o di servizi di comunicazione.

Questo ha fatto sì che servizi come Threema e ProtonMail fossero esenti da alcuni degli obblighi che fornitori come Swisscom, Salt e Sunrise dovevano rispettare, anche se il governo svizzero avrebbe voluto classificarli come quasi operatori di rete e fornitori di telecomunicazioni. L’aggiornamento attualmente in discussione del VÜPF sembra prendere di mira direttamente i provider più piccoli, nonché i fornitori di servizi anonimi e di VPN.

Lo Stato di sorveglianza svizzero ha sempre cercato di avere molto potere e in passato ha dovuto essere richiamato dal Tribunale federale per porre la sorveglianza su una solida base legale.

Ora, però, l’articolo 50a della riforma del VÜPF prevede che i provider debbano essere in grado di rimuovere “la crittografia fornita da loro stessi o per loro conto”, chiedendo in sostanza un accesso backdoor alla crittografia. Tuttavia, i messaggi criptati Ende-zu-Ende scambiati tra gli utenti non rientrano nell’obbligo di decrittazione. Eppure, anche il provider svizzero di posta elettronica Proton Mail ha dichiarato a Der Bund che “la sorveglianza svizzera sarebbe molto più severa di quella degli Stati Uniti e dell’Unione Europea, e la Svizzera perderebbe la sua competitività come piazza economica”.

Critiche alla legge

Questa riforma è ampiamente criticata come un attacco alla privacy e alla sicurezza delle comunicazioni digitali. Se attuata, potrebbe danneggiare seriamente la reputazione della Svizzera come luogo ideale per servizi online sicuri e privati. L’utilizzo di un’applicazione svizzera per il suo buon livello di protezione dei dati diventerebbe obsoleto, e questo colpirebbe anche le piccole aziende e i progetti open source gestiti dalla Svizzera. Mentre i grandi player della Silicon Valley, come WhatsApp o Gmail, non rientrerebbero in questa normativa.

La Digitale Gesellschaft afferma a Heise che

”In futuro, difficilmente sarà possibile utilizzare un’app di chat, ad esempio, senza fornire direttamente o indirettamente un documento d’identità ufficiale”. La revisione rappresenta un attacco frontale ai nostri diritti fondamentali, allo stato di diritto e alla possibilità di comunicare in modo sicuro e protetto”.

Gli esperti legali e di protezione dei dati criticano anche il fatto che l’aggiornamento del VÜPF è in conflitto con la legge sulla protezione dei dati (ad esempio il principio di minimizzazione dei dati della legge) e può violare i diritti costituzionali come il diritto alla privacy.

Noi di Tuta Mail stiamo combattendo contro i tentativi legali di minare la crittografia su tutti i fronti, come il quadro europeo ProtectEU, il tentativo della Svezia di introdurre la crittografia come backdoor e ora l’aggiornamento del VÜPF in Svizzera.

Insieme, dobbiamo assicurarci che il nostro Internet rimanga sicuro e privato!