No âmbito de uma investigação sobre pessoas envolvidas no movimento pró-independência na Catalunha, a polícia espanhola obteve informações dos serviços criptografados Wire e Proton, o que ajudou as autoridades a identificar um ativista pseudônimo, de acordo com documentos judiciais obtidos pelo TechCrunch.
No início deste ano, a Guarda Civil espanhola enviou solicitações legais através da polícia suíça para Wire e Proton, que estão sediadas na Suíça. A Guarda Civil solicitou quaisquer informações de identificação relacionadas a contas nas respectivas plataformas das duas empresas. O Wire respondeu, fornecendo o endereço de e-mail usado para registrar a conta do Wire, que era um endereço de Protonmail. O Proton respondeu fornecendo o e-mail de recuperação para aquela conta de Protonmail, que era um endereço de e-mail do iCloud, de acordo com os documentos.
Na solicitação, que listava "crime organizado" e "terrorismo" como a natureza da investigação, a polícia espanhola escreveu que queria "descobrir quem eram os autores dos fatos ocorridos nos distúrbios de rua na Catalunha em 2019".
Uma vez que a Guardia Civil obteve o endereço de e-mail do iCloud, os documentos mostram que solicitaram informações da Apple, que por sua vez forneceu um nome completo, dois endereços residenciais e uma conta do Gmail vinculada.
O TechCrunch não está revelando o suposto nome completo do ativista, dado que não está claro se essa pessoa realmente está por trás dessas atividades, nem que tenha cometido crimes.
A Apple não respondeu a um pedido de comentário.
Os serviços online criptografados geralmente visam reduzir a quantidade de dados do usuário a que podem ter acesso, criptografando-os com chaves que apenas o usuário possui, impedindo assim que as empresas entreguem dados do usuário sujeitos a uma ordem judicial. Em vez disso, a polícia recorre às empresas para seus metadados, como informações identificáveis sobre o usuário, incluindo endereços de e-mail.
Os porta-vozes do Wire e do Proton confirmaram ao TechCrunch que receberam solicitações legais da polícia suíça e que cumpriram as solicitações.
“Por solicitação formalmente correta das autoridades suíças, o Wire forneceu informações básicas da conta sobre um usuário. O Wire não pode ver ou divulgar o conteúdo de quaisquer dados transmitidos por meio de seu serviço”, disse o porta-voz do Wire, Hauke Gierow, ao TechCrunch por e-mail.
O porta-voz da Proton, Edward Shone, disse ao TechCrunch que, “A Proton possui informações mínimas do usuário, como ilustrado pelo fato de que neste caso foram dados obtidos da Apple que supostamente foram usados para identificar o suspeito de terrorismo.”
“A Proton não exige um endereço de recuperação, mas neste caso o suspeito de terrorismo adicionou um por conta própria. Não podemos criptografar esses dados, pois precisamos ser capazes de enviar um e-mail para esse endereço se o suspeito de terrorismo desejar iniciar o processo de recuperação,” disse o porta-voz da Proton no e-mail. “Essas informações podem, em teoria, ser solicitadas pelas autoridades suíças em casos de terrorismo, e essa determinação é geralmente feita pelo Escritório Federal de Justiça da Suíça. A Proton fornece privacidade por padrão e não anonimato por padrão porque o anonimato requer certas ações do usuário para garantir a segurança operacional adequada, como não adicionar sua conta Apple como um método de recuperação opcional, o que parece ter sido feito pelo suposto suspeito de terrorismo.”
A Guardia Civil, nem o tribunal espanhol onde o caso está sendo investigado, responderam aos pedidos de comentário do TechCrunch. Um porta-voz da Polícia Federal Suíça disse que “não é permitido compartilhar detalhes sobre possíveis investigações em andamento e trocas de informações com nossos parceiros.”
As solicitações legais enviadas ao Wire, Proton e Apple estão relacionadas a um caso em que as autoridades espanholas acreditam que um membro pseudônimo do movimento Tsunami Democràtic de independência catalã estava ajudando o grupo a planejar algum tipo de ação ou manifestação no momento em que o rei Felipe VI estava planejando visitar a região em 2020.
“Explique o que você quer fazer e eu direi se vale a pena ou você vai perder tempo como no Camp Nou,” disse o ativista, que se identifica como Xuxu Rondinaire, a outro ativista em um chat no Wire, que está incluído nos documentos judiciais.
De acordo com as autoridades espanholas, Xuxu Rondinaire estava se referindo a uma manifestação frustrada envolvendo drones que deveria acontecer durante o jogo de futebol de 2019 entre F.C. Barcelona, cujo estádio se chama Camp Nou, e Real Madrid.
De acordo com os documentos judiciais, nesses chats do Wire, Xuxu Rondinaire “explicou detalhadamente” vários elementos dos protocolos de segurança potenciais de “uma figura pública”, referindo-se claramente ao Rei Felipe VI.
O caso de Xuxu Rodinaire foi relatado anteriormente pela mídia espanhola e catalã.
O jornal catalão El Nacional noticiou em 23 de abril que as autoridades espanholas acreditam que Xuxu Rondinaire é um oficial da polícia catalã Mossos d'Esquadra.
Um porta-voz da Mossos d'Esquadra disse ao TechCrunch que não possui informações sobre o caso e encaminhou as perguntas para a Guardia Civil e para o tribunal espanhol relevante.
O TechCrunch entrou em contato com Xuxu Rondinaire via Wire, através de seu endereço de e-mail do Protonmail e seu endereço de e-mail do iCloud, mas não recebeu resposta. Também entramos em contato com um número de celular listado nos documentos judiciais como vinculado ao endereço residencial onde Xuxu Rondinaire supostamente mora, que foi fornecido pela Apple à polícia espanhola.
Quando o TechCrunch entrou em contato com o número de celular e perguntou se o usuário por trás dele era a pessoa com o nome completo identificado nos documentos judiciais, a pessoa respondeu “não” e acrescentou que reportaria a mensagem como spam.
