Il luogo in cui risiedono le tue email conta
I metadati della tua email rivelano con chi parli, quando e quanto spesso. Il luogo in cui i dati sono archiviati determina chi può accedervi legalmente, con o senza che tu lo sappia.
La maggior parte dei provider di posta elettronica ha sede negli Stati Uniti, dove la legge federale consente la sorveglianza senza mandato delle comunicazioni di persone non statunitensi e obbliga le aziende a consegnare i dati archiviati in qualsiasi parte del mondo. Altri operano in paesi che condividono l'intelligence attraverso alleanze di 5, 9 o 14 nazioni.
RacterMX archivia i tuoi dati in Islanda, al di fuori di tutte le alleanze di sorveglianza, con piena protezione GDPR garantita dalla legge.
Confronto delle giurisdizioni
Confronto tra i provider email su giurisdizione, sorveglianza e privacy.
| Provider | Giurisdizione | Archiviazione dati | Esposizione alla sorveglianza | Leggi sulla privacy |
|---|---|---|---|---|
| RacterMX | 🇮🇸 Islanda (Texas LLC) | Islanda | Nessuna — fuori dalle alleanze Eyes | Atto islandese, GDPR via SEE, massima libertà di internet al mondo |
| Reinvia | 🇺🇸 Stati Uniti | Stati Uniti | FISA 702, CLOUD Act, NSLs, Patriot Act | Legge federale sulla privacy limitata, nessuna protezione completa dei dati |
| SendGrid (Twilio) | 🇺🇸 Stati Uniti | Stati Uniti | FISA 702, CLOUD Act, NSLs, Patriot Act | Legge federale sulla privacy limitata, nessuna protezione completa dei dati |
| Mailgun (Sinch) | 🇺🇸 Stati Uniti | Stati Uniti | FISA 702, CLOUD Act, NSLs, Patriot Act | Legge federale sulla privacy limitata, nessuna protezione completa dei dati |
| Postmark (ActiveCampaign) | 🇺🇸 Stati Uniti | Stati Uniti | FISA 702, CLOUD Act, NSLs, Patriot Act | Legge federale sulla privacy limitata, nessuna protezione completa dei dati |
| Amazon SES | 🇺🇸 Stati Uniti | Diverse regioni USA | FISA 702, CLOUD Act, NSLs, Patriot Act | Legge federale sulla privacy limitata, nessuna protezione completa dei dati |
| ImprovMX | 🇫🇷 Francia | Francia / UE | Leggi intelligence francesi (DGSI), direttive UE conservazione dati | GDPR, ma la Francia è membro dei Nine Eyes |
| Fastmail | 🇦🇺 Australia | Australia / USA | Assistance and Access Act (AA Act) australiano, Five Eyes | L'AA Act consente backdoor forzate con ordini di segretezza |
| ProtonMail | 🇨🇭 Svizzera | Svizzera | Accordi di cooperazione dell'intelligence svizzera | Leggi sulla privacy solide, ma il trattato svizzero MLAT consente la cooperazione |
| Tutanota (Tuta) | 🇩🇪 Germania | Germania | Intelligence tedesca (BND), Nine Eyes tramite cooperazione UE | GDPR, ma la Germania è membro dei Fourteen Eyes |
| Inoltra email | 🇺🇸 Stati Uniti | Stati Uniti | FISA 702, CLOUD Act, NSLs | Legge federale sulla privacy limitata, nessuna protezione completa dei dati |
| SimpleLogin (Proton) | 🇨🇭 Svizzera / 🇫🇷 Francia | Svizzera | Svizzera MLAT, Francia membro Nine Eyes | Misto — hosting svizzero ma società madre francese |
Il problema delle email ospitate negli USA
La maggior parte delle aziende di infrastruttura email —Resend, SendGrid, Mailgun, Postmark, Amazon SES, Forward Email— ha sede negli Stati Uniti e archivia i dati sul suolo statunitense. Questo le sottopone a una serie di leggi federali sulla sorveglianza che non hanno equivalenti nella maggior parte delle democrazie.
FISA Sezione 702
Consente alla NSA di condurre la raccolta massiva senza mandato di comunicazioni che coinvolgono persone non statunitensi. In pratica, i dati delle persone statunitensi vengono regolarmente raccolti tramite "raccolta incidentale" — e possono essere perquisiti dall'FBI senza mandato. Riautorizzato ad aprile 2024 con definizioni ampliate di "fornitore di servizi di comunicazioni elettroniche".
CLOUD Act (2018)
Obbliga le società statunitensi a consegnare i dati archiviati in tutto il mondo, indipendentemente dalla posizione fisica o dalle leggi locali. Una società USA con dati in Germania deve comunque obbedire a un ordine del governo USA, anche se viola il GDPR.
National Security Letters
L'FBI può richiedere i dati dei clienti —inclusi metadati delle email, registri dell'account e cronologia delle transazioni— senza approvazione giudiziaria. Le NSL sono accompagnate da un ordine di silenzio: l'azienda non può dirti di averne ricevuta una, non può dirti che i tuoi dati sono stati divulgati e rischia sanzioni penali se lo fa.
Nessuna legge federale completa sulla privacy
A differenza dell'UE (GDPR), dell'Islanda (Icelandic Data Protection Act) o persino del Brasile (LGPD), gli Stati Uniti non hanno una legislazione federale completa sulla protezione dei dati. Le tutele della privacy sono frammentate in leggi specifiche per settore (HIPAA per la salute, FERPA per l'istruzione) senza un diritto generale alla protezione dei dati.
Il problema con i paesi Five/Nine/Fourteen Eyes
Le alleanze "Eyes" sono accordi di condivisione dell'intelligence tra nazioni che cooperano nella raccolta di intelligence sui segnali (SIGINT). Se il tuo provider di posta opera in un paese membro, i tuoi dati possono essere condivisi in tutta l'alleanza, senza che tu lo sappia o presti il consenso.
Five Eyes
🇺🇸 Stati Uniti · 🇬🇧 Regno Unito · 🇨🇦 Canada · 🇦🇺 Australia · 🇳🇿 Nuova Zelanda
L'alleanza centrale. I membri condividono liberamente l'intelligence grezza sui segnali, comprese le comunicazioni intercettate e i metadati. Nata dall'accordo UKUSA del secondo dopoguerra (1946).
Nine Eyes
Five Eyes + 🇩🇰 Danimarca · 🇫🇷 Francia · 🇳🇱 Paesi Bassi · 🇳🇴 Norvegia
Partner estesi con accesso all'intelligence condivisa. DGSI (Francia) e FE (Danimarca) partecipano a operazioni congiunte.
Fourteen Eyes
Nine Eyes + 🇩🇪 Germania · 🇧🇪 Belgio · 🇮🇹 Italia · 🇸🇪 Svezia · 🇪🇸 Spagna
Ex SIGINT Seniors Europe (SSEUR). Cooperazione nell'intelligence dei segnali. BND (Germania) condivide metadati con la NSA.
Se il tuo provider è in uno di questi 14 paesi, i tuoi dati possono essere condivisi tra le agenzie di intelligence senza mandato o consenso.
L'Islanda non fa parte di nessuna alleanza Eyes.
Perché l'Islanda
RacterMX ha scelto l'Islanda per le sue leggi sulla privacy e l'indipendenza dalle alleanze di sorveglianza.
- Fuori dalle alleanze Eyes. L'Islanda non ha obblighi di condivisione dati con agenzie estere.
- Membro SEE — conformità GDPR totale per legge. L'Islanda ha adottato il GDPR tramite l'Icelandic Data Protection Act (90/2018). È la legge nazionale, applicata dall'autorità Persónuvernd.
- L'Atto islandese offre tutele extra oltre il GDPR, radicate nell'Articolo 71 della Costituzione islandese.
- Nessun obbligo di conservazione dati per i provider email in Islanda.
- Al primo posto nel mondo per la libertà su internet. L'Islanda ha ottenuto 94/100 nel rapporto "Freedom on the Net" di Freedom House, il punteggio più alto tra tutti i paesi analizzati.
- Protezione costituzionale della privacy come diritto fondamentale. L'Articolo 71 della Costituzione islandese garantisce il diritto alla privacy, inclusa la corrispondenza.
- L'Islanda non ha programmi di sorveglianza di massa né infrastrutture stile NSA.
Per un'analisi più approfondita dell'infrastruttura per la privacy, dell'energia rinnovabile e dei vantaggi dei data center in Islanda, consultare il nostro pagina dedicata all'Islanda.
Pronto a spostare le tue email in Islanda?
Inizia a inoltrare le e-mail attraverso la giurisdizione più attenta alla privacy al mondo. Paga solo per ciò che utilizzi.
Inizia gratis →