Caratteristiche generali e gestione dei contenuti
Riseup Pad (accessibile su pad.riseup.net) è un servizio di editing collaborativo in tempo reale basato sul software open source Etherpad. Consente a più utenti di creare e modificare simultaneamente documenti condivisi (“pad”) tramite un semplice link, senza necessità di registrazione. L’accesso al pad avviene esclusivamente tramite connessione HTTPS cifrata (TLS), garantendo che il traffico sia protetto durante la trasmissione. Inoltre, per maggiore sicurezza e anonimato, Riseup consiglia di utilizzare la propria VPN o la rete Tor quando si accede al servizio: è disponibile un indirizzo .onion dedicato per usare i pad attraverso Tor.
Quanto alla gestione dei contenuti inseriti dagli utenti, i pad esistono per un periodo limitato: i documenti vengono eliminati automaticamente dopo 60 giorni di inattività. In fase di creazione, è possibile scegliere una durata di vita del pad (ad esempio 1 giorno, 60 giorni o 1 anno) trascorsa la quale il contenuto viene cancellato dal server. Questa politica assicura che i testi condivisi non rimangano conservati indefinitamente. Riseup inoltre non richiede informazioni personali per utilizzare il pad (basta scegliere un nome univoco per il pad) e non associa i contenuti ad account utente, favorendo un utilizzo anonimo. Non risultano meccanismi di indicizzazione pubblica dei pad: l’URL segreto funge da unica chiave di accesso, nota solo ai partecipanti. In linea con i principi generali di Riseup, il contenuto delle comunicazioni non viene attivamente monitorato o analizzato dallo staff (analogamente a come Riseup dichiara di non leggere né controllare le email degli utenti, se non per filtri anti-spam/virus o su richiesta di supporto tecnico).
Dati raccolti: IP, cookie e log
Una caratteristica fondamentale di Riseup Pad è la minimizzazione dei dati raccolti sugli utenti. In particolare, non vengono registrati gli indirizzi IP di chi accede al pad. Questa pratica fa parte di una policy più ampia di Riseup: nessun servizio Riseup conserva indirizzi IP degli utenti, riducendo drasticamente la possibilità di tracciare l’identità o la posizione di chi utilizza i suoi strumenti.
Per quanto riguarda i cookie e identificatori di sessione, Riseup non utilizza cookie di terze parti né tracking esterno di alcun tipo. Sul browser dell’utente può essere impostato solo un identificatore di sessione temporaneo (ad esempio, quando si effettua il login ad altri servizi Riseup), ma nel contesto di pad.riseup.net – che non richiede autenticazione – l’uso di cookie è limitato al minimo necessario per la funzionalità del pad. In ogni caso, i cookie di sessione eventualmente usati non contengono dati personali e vengono eliminati alla fine della sessione.
Anche i file di log vengono gestiti con una filosofia di forte minimizzazione. Riseup afferma di non mantenere log dettagliati delle attività degli utenti, a differenza di molti provider commerciali. In generale non vengono conservate informazioni che possano identificare in modo univoco un utente o tracciarne le attività. Ad esempio, Riseup non registra nei log gli IP di connessione e non conserva impronte digitali del browser (browser fingerprint) degli utenti. Eventuali log tecnici aggiuntivi possono essere attivati temporaneamente solo per risolvere problemi (ad es. debug o troubleshooting) e vengono eliminati immediatamente dopo l’uso. L’unica forma di logging continuo menzionata nella privacy policy riguarda i server email di Riseup: per mitigare abusi di spam, i server conservano temporaneamente i metadati di routing (indirizzi mittente/destinatario) delle email, ma tali log di transito vengono cancellati ogni giorno. In sintesi, per il servizio Etherpad non risultano log applicativi persistenti a lungo termine: l’attività sui pad non è registrata in database di lungo periodo, ad eccezione della memorizzazione necessaria a tenere disponibile il contenuto del pad fino alla sua scadenza.
Politica sulla privacy di Riseup
Riseup pubblica una Privacy Policy ufficiale che si applica a tutti i servizi offerti, incluso pad.riseup.net. Tale politica enfatizza la tutela della riservatezza degli utenti e la filosofia del “data minimization”. In sintesi, Riseup raccoglie il minor numero possibile di informazioni personali sugli utenti, utilizzandole solo per fornire il servizio e mai per condividerle o monetizzarle. Viene dichiarato esplicitamente che nessuno dei dati raccolti viene venduto o condiviso con terze parti; perfino all’interno del collettivo Riseup, l’accesso a informazioni sensibili è limitato ai soli membri che ne hanno stretta necessità operativa.
Un aspetto peculiare della policy di Riseup è l’invito agli utenti a non lasciare informazioni personali sul servizio più del necessario. Ad esempio, quando un utente crea un account email Riseup (operazione che richiede di fornire qualche dato di contatto), può successivamente eliminare quei dati dal proprio profilo, e Riseup incoraggia a farlo, sottolineando che meno dati possiedono, meno dati potranno essere richiesti da terzi. Questa filosofia – “se non abbiamo i tuoi dati, non potremo essere costretti a consegnarli” – mostra l’impegno di Riseup nel limitare a monte la raccolta e conservazione di informazioni potenzialmente sensibili.
La Privacy Policy conferma inoltre altre misure di sicurezza e riservatezza importanti: tutti i dati utente memorizzati sui server Riseup vengono conservati in forma crittografata. In particolare, il contenuto delle comunicazioni (ad esempio le email salvate sul server), la rubrica contatti e i backup sono cifrati; dal 2017, le caselle di posta dei nuovi account Riseup sono cifrate end-to-end con una chiave unica per ogni utente, il che significa che nemmeno Riseup è in grado di leggere il contenuto archiviato per quegli account senza il consenso dell’utente. Questa attenzione alla crittografia potrebbe estendersi anche ad altri servizi: sebbene il contenuto dei pad Etherpad non sia legato ad un account specifico, è ragionevole assumere che i server di Riseup utilizzino dischi o database cifrati, aggiungendo un ulteriore livello di protezione ai dati temporaneamente archiviati.
Infine, Riseup ribadisce che non monitora l’attività né il contenuto delle comunicazioni degli utenti nelle sue piattaforme. Ad eccezione di controlli automatici per virus e spam sulle email in entrata/uscita, lo staff non esamina né analizza il contenuto dei messaggi o dei documenti degli utenti, a meno che non sia l’utente stesso a richiederlo per assistenza tecnica. Questo approccio vale presumibilmente anche per i pad: il collettivo non interviene né sorveglia i testi scritti nei pad, rispettando la privacy e l’anonimato dei collaboratori.
Conservazione dei dati (data retention)
La data retention presso Riseup è ridotta al minimo indispensabile per erogare il servizio. Nel caso specifico di pad.riseup.net, come già evidenziato, il contenuto dei pad viene conservato solo temporaneamente, per la durata di vita del pad stesso. Trascorso il periodo di inattività definito (massimo 60 giorni senza modifiche, se non specificato diversamente), il pad viene definitivamente eliminato dal server. Ciò implica che Riseup non mantiene archivi storici dei documenti condivisi tramite Etherpad oltre la finestra temporale di utilizzo prevista.
Anche per gli altri servizi, la politica è di non mantenere dati oltre il necessario. La privacy policy indica ad esempio che le informazioni fornite per la registrazione di un account vengono in parte rimosse dopo alcuni mesi (richieste di account eliminate dopo 4 mesi, eventuali codici di invito dopo 1 mese). Analogamente, i log delle email (limitati ai soli indirizzi mittente/destinatario per fini anti-spam) vengono cancellati quotidianamente e non vengono conservati registri di accesso comprensivi di IP o timestamp precisi degli accessi utente. Riseup conserva solo informazioni aggregate o di basso dettaglio necessarie a far funzionare i servizi o a scopi di sicurezza (ad esempio, l’ultimo trimestre dell’ultimo accesso effettuato a un account email, per poter individuare ed eliminare account dormienti), ma non l’ora o il giorno esatto dell’accesso. Tutto questo si traduce in una assenza di archivi a lungo termine sui comportamenti individuali: non esistono log che possano rivelare quali pad sono stati creati da quale IP, o chi abbia scritto cosa e quando, oltre il breve periodo di attività del pad stesso.
In sostanza, la conservazione dei dati da parte di Riseup è impostata su periodi molto brevi e con forte attenzione alla privacy. Laddove possibile, i dati vengono automaticamente cancellati dopo un certo lasso di tempo, e molti dati non vengono proprio raccolti all’origine, eliminando così il problema della conservazione.
Rapporti con autorità di polizia e governi
Riseup adotta una posizione estremamente ferma riguardo a richieste di dati da parte di autorità governative o forze dell’ordine. In base alle dichiarazioni ufficiali del collettivo, Riseup non collabora attivamente con nessuna agenzia governativa nella sorveglianza degli utenti: “We would rather stop being Riseup before we did that”, affermano, ossia preferirebbero chiudere l’attività piuttosto che collaborare con operazioni di sorveglianza di massa. Storicamente, dichiarano di non aver mai acconsentito a consegnare informazioni sugli utenti su semplice richiesta e di aver anzi contestato in sede legale ogni tentativo di ottenere dati, vincendo ogni volta queste sfide. Grazie alla loro politica di “no log”, anche in caso di una richiesta da parte dell’A.G., le informazioni identificative disponibili sarebbero molto limitate (non essendoci log di IP, cronologie di accesso o contenuti non cifrati da fornire).
Va sottolineato che i server di Riseup, pur essendo fisicamente collocati (in gran parte) negli Stati Uniti, sono gestiti direttamente dal collettivo e non in hosting cloud di terze parti. Ciò significa che Riseup mantiene il controllo fisico e amministrativo completo delle macchine, riducendo il rischio di accessi non autorizzati o imposizione di backdoor a sua insaputa. Inoltre, la situazione giuridica negli USA – per paradosso – ha aiutato Riseup a proteggere meglio i dati: diversamente da vari Paesi europei, negli Stati Uniti non esistono leggi di data retention che obblighino i provider a conservare i log delle attività degli utenti. Riseup evidenzia che questa assenza di obblighi legali, unita alla propria scelta etica, ha permesso di attuare da anni una rigorosa politica di non conservazione dei log. In sintesi, Riseup non fornisce volontariamente dati alle autorità e oppone resistenza formale a decreti o richieste, entro i limiti consentiti: la sua filosofia è privilegiare la privacy degli attivisti e utenti, anche a costo di cessare il servizio piuttosto che tradirne la fiducia.
Naturalmente, Riseup è comunque soggetta alle leggi vigenti: in caso di ordine legalmente vincolante i membri del collettivo dovrebbero valutarne il rispetto. Tuttavia, la trasparenza fornita agli utenti suggerisce che finora non si sia mai verificato un caso di consegna forzata di dati: nessun dato utente è mai stato consegnato a terzi o a autorità nei più di vent’anni di attività. Questo impegno è rafforzato da un’iniziativa significativa: la pubblicazione di un Warrant Canary.
Misure per la protezione dell’anonimato e contro la sorveglianza
Riseup adotta diverse misure concrete per tutelare l’anonimato degli utenti e contrastare la sorveglianza. Riassumendo le principali:
- niente log identificativi: come visto, Riseup non registra indirizzi IP né altri dati che possano identificare gli utilizzatori dei suoi servizi. Ciò significa che, anche in caso di monitoraggio esterno, risulta più difficile collegare le azioni su pad.riseup.net a una persona o indirizzo specifico. Inoltre, l’assenza di log persistenti implica che non esiste uno “storico” delle attività utente che possa essere analizzato a posteriori per fini di sorveglianza;
- accesso anonimo e cifrato: il servizio pad non richiede alcuna registrazione né inserimento di dati personali, permettendo un utilizzo anonimo di fatto. Tutte le connessioni avvengono su HTTPS obbligatorio, prevenendo intercettazioni del traffico in chiaro. Per chi desidera massimizzare la privacy, Riseup offre un endpoint sulla rete Tor (un servizio .onion), grazie al quale è possibile usare i pad in modo anonimizzato tramite Tor – nascondendo sia l’identità dell’utente sia il contenuto del traffico a potenziali sorveglianti di rete. L’organizzazione gestisce anche una propria VPN gratuita, che può essere usata per cifrare tutto il traffico internet dell’utente (incluso l’accesso ai pad) aggiungendo un ulteriore livello di protezione della provenienza della connessione;
- crittografia dei dati archiviati: tutti i dati conservati sui sistemi Riseup sono memorizzati in forma crittografata. Questo significa che, anche nell’eventualità di un accesso fisico ai server o di un sequestro degli stessi, i contenuti salvati (email, file, e verosimilmente anche i dati temporanei dei pad) non sono leggibili senza le chiavi in possesso di Riseup. Per i servizi con account utente, è implementata anche la crittografia lato server per singolo account (personal storage encryption), che impedisce persino agli amministratori di Riseup di accedere ai dati sensibili memorizzati senza autorizzazione;
- policy di eliminazione dei dati: la filosofia di cancellare presto ciò che non serve (pads inattivi eliminati dopo 60 giorni, log email eliminati giornalmente, ecc.) riduce la quantità di informazioni disponibili in qualsiasi momento su cui un’attività di sorveglianza potrebbe mettere le mani. In altri termini, ciò che non viene conservato non può essere analizzato. Questa è considerata una buona pratica per la privacy, seguita anche da altri collettivi affini;
- resistenza attiva alla sorveglianza: Riseup dichiara espressamente che difenderà i dati degli utenti. Nella sua Privacy Policy si impegna a opporsi con tutti i mezzi legali a qualsiasi tentativo di obbligare l’azienda a divulgare informazioni o log degli utenti. Questa postura si è tradotta in azioni concrete: come menzionato, quando Riseup ha ricevuto richieste di dati in passato, ha reagito sfidandole in tribunale (riuscendo a evitare la divulgazione). Inoltre, Riseup ha affermato di non aver mai installato backdoor, strumenti di monitoraggio o accessi segreti a beneficio di forze dell’ordine sui propri sistemi. I server non sono mai stati compromessi o requisiti e tutti i componenti dell’infrastruttura rimangono sotto il controllo diretto del collettivo;
- warrant canary: come ulteriore misura di trasparenza anti-sorveglianza, Riseup pubblica periodicamente un Canary Statement firmato digitalmente (PGP). In questo documento, aggiornato ogni pochi mesi, Riseup conferma che non vi sono state compromissioni della sicurezza o interferenze governative segrete. In particolare, il canary attesta che Riseup non è stata costretta a modificare i propri sistemi per consentire accessi o fughe di dati a terzi e che non ha divulgato chiavi crittografiche o informazioni sensibili sotto coercizione. Qualora Riseup ricevesse un cosiddetto gag order (un ordine con divieto di divulgazione) o altre ingiunzioni segrete, l’assenza di aggiornamenti del canary servirebbe da segnale implicito alla comunità che qualcosa non va. Nelle FAQ del canary, Riseup ribadisce che “law enforcement has not taken our servers; [it] does not, and has never had access to them”, aggiungendo ancora una volta che preferirebbe cessare di esistere piuttosto che permettere installazioni di monitoraggi forzati. Questa strategia del canary dimostra l’impegno proattivo di Riseup nell’ informare gli utenti e nel resistere alla sorveglianza statale, anche in scenari estremi.
Conclusione
Quanto in questo articolo si basa sulla documentazione e le policy pubblicate da Riseup – inclusa la pagina informativa di Riseup Pad[1], la Privacy Policy ufficiale[2] e le FAQ/dichiarazioni di Riseup riguardo ai rapporti con i governi e la sicurezza (come il loro warrant canary e comunicati correlati)[3][4]. Queste fonti confermano l’attenzione di Riseup alla privacy, l’assenza di raccolta di dati sensibili, la cancellazione a breve termine dei dati dei pad, e la volontà di opporsi strenuamente a qualunque forma di sorveglianza o richiesta coercitiva di dati.
In conclusione, pad.riseup.net appare progettato e gestito per offrire uno strumento di collaborazione il più anonimo e sicuro possibile, in linea con la missione di Riseup di proteggere le comunicazioni e la privacy degli utenti.
[1] Riseup Pad – https://pad.riseup.net/
[2] Privacy Policy – riseup.net – https://help.riseup.net/en/privacy-policy
[3] Autistici | annalist – https://annalist.noblogs.org/post/tag/autistici/
[4] Canary – riseup.net – https://help.riseup.net/en/canary