Traduzione dell’articolo di Maarten van Gompel (proycon)

Fonte originale https://proycon.anaproy.nl/posts/rant-against-centralising-e-mail/

Content licence: Creative Commons BY-NC-SA

Un tempo le università e gli istituti di ricerca erano all’avanguardia nello sviluppo delle tecnologie fondamentali che alimentano Internet.

Già nel 1965 i ricercatori del MIT svilupparono una sorta di precursore della posta elettronica. Nel 1978, i ricercatori di Berkeley sfruttarono lo strumento unix già esistente “mail” (1971) per comunicare su una rete più ampia. Le università e gli istituti di ricerca furono tra i primi ad abbracciare questo nuovo modo di comunicare con i colleghi a distanze sempre maggiori e infine, con l’avvento di Internet, in tutto il mondo.

Sono piuttosto sgomento nel vedere che le università e gli istituti di ricerca oggi non sono più pionieri e innovatori in questo settore, ma piuttosto semplici consumatori di soluzioni aziendali già pronte, che seguono gli interessi aziendali e centralizzano le soluzioni. Ho due datori di lavoro, entrambi accademici, ed entrambi hanno fatto ricorso a grandi aziende tecnologiche che offrono soluzioni come la posta elettronica “as a service”. La posta elettronica “nel cloud”, come si suol dire. In questi casi particolari è stata adottata la soluzione Office 365 di Microsoft, ma sarei altrettanto esplicito nella mia opposizione se si trattasse di Apple, Google o Facebook.

Adottando tali soluzioni, l’utente ottiene molto comodamente una grande interoperabilità all’interno di un insieme limitato di strumenti software proprietari (quelli del fornitore ovviamente). Questo potrebbe essere ottimale se siete effettivamente un utente di quegli strumenti e ne siete soddisfatti. Ma non appena si esce dall’ecosistema di quel fornitore, l’esperienza diventa meno luccicante e spesso addirittura un peso. L’utilizzo di uno dei loro strumenti vi spinge ad utilizzare anche gli altri, perché è più conveniente. Peggio ancora, spingerà anche i vostri colleghi ed essi faranno pressione su di voi affinché anche voi usiate questi stessi strumenti.

All’utente medio potrebbe non interessare, ma per quelli di noi che si trovano nella parte più profonda dello spettro geek, queste tendenze hanno implicazioni preoccupanti per la libertà del software, gli standard aperti, l’interoperabilità generale e la neutralità della rete. La nostra preoccupazione è altamente politica.

Non so quali siano state le motivazioni che hanno spinto gli atenei ad adottare questo servizio di posta elettronica, né chi abbia preso la decisione, ma sono certo che soggetti come Microsoft sanno come vendere la loro merce in modo allettante. La loro promessa è, immagino, il più delle volte una promessa di convenienza e sicurezza. Per un ateneo, esternalizzare le proprie esigenze di posta elettronica a una terza parte che sia competente non è ovviamente una cattiva idea se internamente non si ha la competenza necessaria. Può essere più conveniente perché non si devono nominare amministratori di sistema e proteggere la propria infrastruttura di posta. Tuttavia, questo non è il problema in sé.

Il mio problema è che tutti convergono verso lo stesso gruppo estremamente selezionato di fornitori di servizi. [Potrebbe esserci abuso di posizione dominante. n.d.t.] Questo è già in atto da tempo per la posta elettronica personale, con l’adozione da parte degli utenti finali di servizi di posta come hotmail e gmail, ma è una cosa diversa quando noi, come istituzioni accademiche, ne seguiamo l’esempio e abbandoniamo qualsiasi pretesa di contribuire ad un’infrastruttura matura e adeguatamente decentralizzata. In questo modo, contribuiamo volontariamente a una centralizzazione che, se condotta su tale scala, può alterare radicalmente la natura e l’equilibrio di potere di una rete decentralizzata come dovrebbe essere essenzialmente Internet.

Questa centralizzazione ha anche implicazioni sulla sicurezza, perché non solo gli atenei e gli utenti convergono sul gruppo selezionato di fornitori di servizi, ma anche gli aggressori. Quando (oserei dire quando piuttosto che se) una vulnerabilità venisse scoperta e sfruttata da un malintenzionato, una quantità enorme di e-mail potrebbe essere compromessa.

Se poi si approfondisce l’argomento politico, la posta in gioco è fondamentalmente chi possiede le risorse informatiche del mondo, l’infrastruttura di comunicazione del mondo, chi vi ha accesso e a chi giova il loro impiego. Si tratta di una questione di equa proprietà e di equa distribuzione e, in ultima analisi, di un mondo più equo. In una società digitalizzata, la potenza di calcolo e i dati grezzi diventeranno risorse sempre più importanti. La questione di chi possiede (o ha accesso a) entrambe le risorse è importante e non deve essere banalizzata. La posta elettronica, in particolare, è un vero e proprio tesoro di dati, se accumulata da un soggetto centralizzato.

Ogni volta che si centralizza qualcosa, soprattutto su una scala così ampia, si concede potere a un’entità (una società privata in questo caso) e ci si deve chiedere se questa fiducia sia giustificata e di chi siano gli interessi realmente serviti. Come andrà a finire a lungo termine? Cosa succederebbe se un eccentrico miliardario di destra prendesse il controllo della grande azienda tecnologica e imponesse la propria agenda? Lo abbiamo già visto accadere nel mondo dei social media: abbiamo affidato tutte le nostre esigenze di microblogging a Twitter e ora stiamo assaggiando gli amari risultati di un rapido declino di questa piattaforma. Con la posta elettronica centralizzata ci esporremmo ancora una volta a questi rischi. E se qualche attore statale prendesse piede come in Cina e usasse i dati per la censura e altre repressioni? Sarebbe ingenuo pensare di essere immuni a tutto questo nelle democrazie occidentali. Le scelte tecnologiche fatte oggi plasmano Internet e la società digitale del futuro. Mettere tutte le uova in un unico paniere è una cattiva idea in linea di principio. Dobbiamo coltivare la natura decentralizzata di Internet.

Qualche anno fa avevo già scritto nel mio post “Break free! Non essere prigioniero della tua piattaforma software!” che Internet non è nelle migliori condizioni. È diventato un luogo iper-commercializzato in cui gli utenti si affollano su piattaforme di social media gratuite, che sono in fondo aziende pubblicitarie, per pubblicare le loro foto, i loro blog e i loro video. Questa tendenza si è sviluppata per quasi due decenni, nel corso dei quali tecnologie fondamentali, un tempo piuttosto aperte, sono state sigillate e trasformate in giardini recintati. Gli utenti sono stati attirati in massa dalla comodità di un servizio gratuito, ma pagano con la loro privacy il fatto di essere tracciati, profilati e alimentati da un algoritmo che mira a massimizzare la loro permanenza sul servizio.

C’è voluto un po’ di tempo, ma negli ultimi anni la società si è finalmente resa conto che tutto ciò potrebbe non essere del tutto positivo. La tecnologia è ancora al nostro servizio o siamo noi a servire la tecnologia e le aziende che ce la forniscono?

Sostengo sempre che le scelte e l’uso della tecnologia hanno implicazioni nella vita reale; probabilmente è giusto dire che i social media, ad esempio, hanno portato ad un’impennata senza precedenti nella disinformazione, nei discorsi di odio e in tutta una serie di disturbi psicologici come i problemi di attenzione. Cose che alla fine si ripercuotono sul mondo reale.

Se, come me, scegliete coscienziosamente di non utilizzare piattaforme di comunicazione centralizzate che vi rinchiudono, allora vi scontrate rapidamente con un muro se non state al gioco. Sono già escluso (per mia scelta) da diversi gruppi di messaggistica istantanea perché usano WhatsApp (= Facebook alias Meta), che ho sempre rifiutato di usare. Ora al lavoro la spinta verso M365 mi blocca di fatto dalla mia posta istituzionale; a questo si poteva facilmente rimediare con un semplice inoltro automatico della posta, una funzione di base che esiste da sempre e che tutti dovrebbero avere, ma questa opzione è stata disabilitata. Capisco la preoccupazione di non volere che tutti inoltrino selvaggiamente tutto e di evitare che le informazioni sensibili finiscano su server non sicuri, ma un blocco totale è inutilmente poco flessibile. Ora non ho più voce in capitolo sulla destinazione della posta indirizzata a me e sono costretto a ricorrere alla soluzione di Microsoft.

Di conseguenza, sono arrivato a dire alle persone di non usare più la mia posta istituzionale, tramite una stupida risposta automatica. Si tratta di un’opzione che avrei preferito non prendere in considerazione, in quanto grava il mittente di qualcosa che avrebbe dovuto essere, e normalmente può essere, facilmente automatizzato.

A parte le obiezioni di carattere politico, volevo anche fornire alcune argomentazioni tecniche contro M365, in quanto fa diverse scelte tecniche che vanno contro la mia idea di libertà del software e di come dovrebbe funzionare la posta elettronica:

• M365 blocca diversi intervalli di IP che interessano i server SMTP self-hosted. Il mittente dovrà registrare esplicitamente l’indirizzo di posta e l’IP con M365 per essere lasciato passare. Capisco la necessità di combattere lo spam, che è il principale cancro della posta elettronica. Ma questo rigore rompe lo spirito decentralizzato.

• M365 riscrive gli URL nelle e-mail, modifica la posta in arrivo (il che, a mio avviso, è già un grande no-go per definizione e rompe le firme crittografiche). Fa passare tutti i link attraverso il loro sistema (safelinks.protection.outlook.com). Ancora una volta, capisco che si tratta di una protezione contro il phishing, che è il secondo problema più comune con la posta elettronica, ma manca completamente il bersaglio, funziona in modo controproducente e introduce un enorme problema di privacy. Ogni link che clicco passa attraverso il loro sistema e può essere potenzialmente tracciato! Inoltre, utilizzo solo e-mail di testo (niente HTML, quindi molto meno inclini al phishing) e la loro riscrittura degli URL offusca gli URL, rendendo più difficile per me individuare se un link è legittimo o meno. Posso prendere questa decisione da solo, non ho bisogno né voglio che MS lo faccia al posto mio.

• La procedura di login IMAP con l’autenticazione a due fattori non funziona con i client di posta più tradizionali che non supportano OAuth2. Ok, allora dovrebbero implementare OAuth2, bene, non ho problemi con la 2FA in generale. Ma il modo in cui è implementato in OAuth2 dai grandi provider di posta come M365, secondo lo sviluppatore di fetchmail, obbliga i client di posta a registrarsi con il provider. Questo dà più controllo alle aziende e meno all’utente. Al fornitore di servizi non dovrebbe interessare quale client utilizzo, l’unica cosa che conta è che io, come utente, abbia le giuste credenziali per accedere alla mia posta.

• Io utilizzo un flusso di posta piuttosto specifico che ho ottimizzato nel corso degli anni per funzionare al meglio. Uso il mio server di posta, i software notmuch, neomutt e qualche altro. Non è certamente adatto a tutti, ma per me funziona (e mi ci sono voluti anni per trovare qualcosa con cui mi trovassi davvero a mio agio, la maggior parte delle soluzioni di posta fa piuttosto schifo, o io faccio schifo con la posta, probabilmente una combinazione di entrambi). L’inserimento di IMAP da M365 nel mio flusso di posta richiederebbe di passare alcune notti a configurare soluzioni complesse di cui non ho davvero bisogno o che non voglio.

Forse sono un po’ (ok, più di un po’) un idealista di sinistra, ma i principi che hanno costituito la spina dorsale di Internet si basano sull’interconnettività di entità decentralizzate. Accordi come le RFC stabiliscono protocolli che specificano come deve procedere la comunicazione e cosa ci si aspetta dalle implementazioni. Chiunque è libero di implementarli. La comunicazione, in particolare, dovrebbe essere aperta, sicura e interoperabile, altrimenti si finisce per comunicare solo con persone che si trovano in silos aziendali (o governativi) ognuno nel suo recinto. Il che non è ottimale. Credo fermamente nella federazione, che però è sotto assedio da oltre due decenni perché 1) tecnicamente è molto più difficile da realizzare 2) socialmente è più difficile perché richiede comunicazione e coordinamento e 3) commercialmente è più difficile da sfruttare, perché intrappolare gli utenti nella propria piattaforma è molto più redditizio.

In conclusione, vorrei fare appello agli atenei, agli istituti di ricerca e alle singole persone affinché riflettano su questo tema e contribuiscano ad un futuro digitale migliore, decentralizzato ma interconnesso, piuttosto che compiacersi della sua scomparsa: mantenere le tecnologie fondamentali accessibili a tutti, non solo ai grandi attori commerciali (o governativi), e migliorarle laddove necessario.

Se non ne avete ancora abbastanza dopo il mio sproloquio su questo argomento, vi consiglio vivamente di leggere anche il blogpost di Carlos Fenollosa “Dopo aver auto-ospitato la mia e-mail per ventitré anni, ho gettato la spugna. L’oligopolio ha vinto”, che presenta argomentazioni convincenti nella stessa direzione e spiega le difficoltà tecniche in modo più approfondito di quanto abbia fatto io qui. So di non essere solo in questa lotta.