Questo articolo si dovrebbe intitolare “la goccia che fa traboccare il vaso”.

I giganti dell’informatica stanno utilizzando da anni i dati degli utenti a scopo di lucro, in più i governi si avvalgono sia delle leggi speciali che delle aree grigie dei sistemi informatici per creare una banca dati perenne di tutto quello che si dice, che si vede e che si scrive al mondo.

Cosa c’entra tutto questo col nuovo Microsoft Outlook? Andiamo con ordine.

https://www.windowscentral.com/software-apps/windows-11/whats-new-with-the-outlook-app-for-windows-11

Microsoft ha appena rilasciato una versione gratuita di Outlook per Windows 11 che rimpiazza il vecchio Windows Mail; consente di inserirci al massimo due account di posta contemporaneamente, ma ha funzionalità molto simili alla versione di Outlook a pagamento. Siccome l’applicazione è un “wrapper” della versione di Outlook per browser può essere continuamente aggiornato da Microsoft e può integrarsi nativamente con servizi web esterni.

La vendita dei nostri dati

Attivando il nuovo Windows Outlook, non sfugge agli utenti più accorti questo disclaimer:

https://res.cloudinary.com/dbulfrlrz/images/f_auto,q_auto/v1709302731/wp-pme/microsoft-partners-screenshot/microsoft-partners-screenshot.png?_i=AA

Il disclaimer appare agli utenti europei grazie al GDPR, negli USA non si viene neppure avvertiti.

La finestra avverte che Microsoft e 801 partner utilizzeranno i dati di noi utenti per molti scopi, fra cui:

  • identificare gli utenti tramite scansione sul PC o MAC (più utenti possono lavorare sullo stesso PC, verranno identificati tutti)
  • accedere alle informazioni dell’utente (non solo le email)
  • misurare l’efficacia delle inserzioni pubblicitarie
  • geolocalizzare gli utenti

A gennaio 2024 ‘i Partner’ erano 772:
https://www.gearrice.com/update/what-data-the-new-outlook-shares-with-772-third-parties-and-why-you-should-care/

Oltre alla pesca libera delle nostre informazioni, col nuovo Windows Outlook le nostre email ci arrivano assieme alla pubblicità contestuale come accade su Facebook:

L’accesso ai nostri dati personali ed aziendali ci fa chiedere: per Microsoft chi è davvero il cliente, noi o gli ‘801 Partner’?

La Germania se n’era già accorta della deriva di Microsoft Outlook

Nel 2022 l’organo di tutela dei dati personali di Germania, la DSK (German Data Protection Conference), attivò una indagine su Telemetry Service di Windows. Con Telemetry Service si indica un gruppo di servizi di Windows che raccolgono dati sull’utilizzo del sistema operativo e delle applicazioni; in Windows Server 2019, ad esempio, si trova sotto il nome “Connected User Experiences and Telemetry”, in Windows 11 sotto “Diagnostics & feedback”. Se interessa come disabilitarli, questo è un buon articolo: https://www.geeksforgeeks.org/enable-or-disable-windows-telemetry/

La German Data Protection Conference indagò a fondo come Microsoft raccoglieva i dati degli utenti in quanto scuole ed Università in Germania utilizzavano le applicazioni Office installate sui PC tramite Microsoft 365 subscription. I ricercatori della DSK si posero questa domanda:

Microsoft ci dice che i dati prelevati sono anonimizzati, ma se Telemetry Service raccoglie dati da un Microsoft Office il cui utente è autenticato tramite abbonamento Microsoft 365, come possiamo pensare che i dati non anonimi raccolti da Microsoft arrivino a Microsoft anonimizzati?

German Data Protection Conference

Pertanto, l’organo di tutela dei dati personali German Data Protection Conference nel 2022 bandì l’utilizzo dei servizi Microsoft 365 da tutte le scuole e le Università della Germania: https://www.computerweekly.com/news/252527842/Microsoft-365-banned-in-German-schools-over-privacy-concerns

A fine 2023 il blog tedesco HEISE ha fatto anche notare che, collegando al nuovo Outlook i propri account Yahoo o Gmail, Microsoft entra in possesso delle proprie credenziali IMAP/SMTP: https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vorm-neuen-Outlook-9357691.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag

La soluzione ideale per la posta elettronica

L’ideale, dal punto di vista della tutela dei propri dati personali ed aziendali, è utilizzare un proprio email server open-source e leggere la posta elettronica con un normale browser.

Però il cliente ha sempre ragione e vuole:

  1. non accollarsi l’onere di gestire un proprio mail server
  2. non usare un browser, ma una applicazione client

Quale alternativa è percorribile?

Alternative a Microsoft Outlook con “Privacy by default”

Sul mercato ora esistono varie aziende che propongono servizi email orientati alla privacy, la più nota è la svizzera Proton AG che ha fondato il suo successo sul rispetto totale della privacy e sulla cifratura delle email end-to-end.

La soluzione svizzera gode del privilegio di operare in un paese dove la privacy è tutelata, non in tutti i paesi è possibile creare e vendere servizi di questo genere, in questo articolo del 2013 un gestore di servizio Email americano che offriva un servizio Email cifrato fu costretto a chiudere i battenti: https://www.theguardian.com/technology/2013/aug/08/lavabit-email-shut-down-edward-snowden

Fondata nel 2014, oggi la suite della Proton comprende Email, Calendario, Proton Drive (come Microsoft OneDrive o Dropbox, ma cifrato), Proton VPN, per accedere ad internet bypassando i censori dei carrier ed aumentando la propria privacy; infine il Proton Pass, il Password Manager. Fra i consulenti d’onore figura anche Tim Berners-Lee, il creatore del World Wide Web e del’HTML.

Mentre le App per ambienti Apple iOS e Android sono stati presenti fin dall’inizio, mancavano i client per PC e MAC che fossero piacevoli come Microsoft Outlook.

A gennaio 2024, Proton AG ha rilasciato la sua App per Windows e MAC: le cose ora cambiano parecchio per il mercato Business che vuole da sempre applicazioni Desktop.

La Desktop App funziona bene ed è veloce; il look & feel dà tranquillità agli utenti perché veloce ed affidabile. Io la utilizzo dalla versione beta di gennaio 2024 ed ho riscontrato pochi bug, poi rimossi con la versione ufficiale di marzo 2024.

Proton Mail, pro e contro

I pro: riguardo la privacy, Proton Mail ha una marcia in più: non solo l’azienda assicura di non accedere ai dati contenuti nei server postali, ma l’utente ha la facoltà di attivare la cifratura di tutti i BODY MESSAGES, cioè i contenuti delle email e gli allegati. Per fare questo, dopo l’autenticazione, si può aggiungere una passphrase; a quel punto la Proton AG non può avere accesso ai contenuti delle email, solo l’utente in possesso della passphrase può leggere i messaggi inviati e ricevuti nella sua casella.

Tutto il servizio Proton è cifrato end to end, quindi fra un utente Proton della ditta Bianchi ed un utente Proton della ditta Rossi i messaggi circolano cifrati. Una icona a lucchetto ci ricorda quali messaggi sono sicuri:

I contro: quando i messaggi email transitano fra server esterni a Proton le cose cambiano. Cioè: un messaggio email che passa da un server di Microsoft ad un altro gestito da Proton, questo messaggio, fra i due server, passa in chiaro in quanto il protocollo SMTP è cifrato solamente fra l’utente ed il server SMTP e non fra di loro; pertanto i carrier (TIM, Vodafone, Verizon, ecc.) possono leggere le nostre email e darle ai governi, alle loro agenzie ed altre entità che neppure conosciamo.

Quindi come ottenere privacy totale?

Un possibile elenco delle azioni da intraprendere senza mettere in campo strumenti poco graditi al mercato o di difficile implementazione:

  1. utilizzare i sistemi operativi Microsoft con Telemetry Services disattivati: non costa nulla, un bravo sistemista è in grado di farlo
  2. utilizzare client email come Proton Desktop e lasciare il nuovo Outlook gratuito ad altri
  3. utilizzare servizi postali open-source o almeno totalmente orientati alla privacy come Proton Mail, Tutanota, K-9 Mail
  4. verificare quali applicazioni inviano dati a terzi e bloccare l’invio di informazioni con strumenti quali Glasswire, Beyondtrust, DarkTrace, Forcepoint
  5. inviare i messaggi email riservati cifrando tutto il contenuto end-to-end tramite add-on come Open PGP / GnuPG

Conclusioni

Outlook è definibile “il nuovo strumento di raccolta dati di Microsoft”, ma i messaggi Email contengono informazioni riservate, opportunità commerciali, decisioni strategiche: le aziende oggi possono proteggersi efficacemente.

Serverlab è il tuo esperto di Data Privacy

In Serverlab abbiamo una grande attenzione verso questi argomenti, puoi contare su Serverlab per il know-how tecnico e l’esperienza sul campo. Contattaci per valutare le caratteristiche della tua azienda e aiutarti a progettare, implementare la soluzione più adatta alla tua esigenza.

Sei interessato a quest’argomento?
Compila il modulo e ti ricontatteremo al più presto

Notizie: abbiamo molto da raccontare