La sentenza A-5373/2020 del Bundesverwaltungsgericht del 13 ottobre 2021 traccia una linea che regge da cinque anni: ProtonMail è, ai sensi dell’art. 2 lett. c BÜPF (SR 780.1), un fornitore di servizi di comunicazione derivati (AAKD), non un fornitore di servizi di telecomunicazione (FST) ai sensi dell’art. 2 lett. b BÜPF. Il test di proporzionalità determina quali obblighi di sorveglianza gravano sui fornitori di questo tipo. La revisione del VÜPF (SR 780.11) a opera dell’EJPD è naufragata nella procedura di consultazione del 6 maggio 2025 e da allora viene riscritta alla luce di questo stesso argomento di proporzionalità. Le clausole contrattuali che presuppongono obblighi di conservazione generalizzata per i fornitori AAKD sono soggette alla riserva di proporzionalità sancita dall’art. 5 cpv. 2 Cost. fed. (SR 101).

Il Bundesgericht aveva già tracciato questa linea nell’aprile 2021, con la sentenza Threema 2C_544/2020: un fornitore che non garantisce né l’accesso diretto né quello indiretto a Internet e non assume responsabilità per la trasmissione delle informazioni non è un FST ai sensi dell’art. 2 lett. b BÜPF. Il BVGer ha confermato questa linea in A-5373/2020 per ProtonMail, classificandolo come AAKD ai sensi dell’art. 2 lett. c BÜPF e rinviando la causa per nuova valutazione — lasciando aperte la questione dello status di ProtonVPN e la portata concreta degli obblighi per gli AAKD. Per gli AAKD si applica l’art. 27 BÜPF (SR 780.1) anziché l’art. 26 BÜPF: vengono meno la sorveglianza in tempo reale del contenuto senza un motivo specifico e la conservazione massiva e indiscriminata dei dati; restano gli obblighi mirati di informazione e sorveglianza. Chi intende spostare il confine tra FST e AAKD deve superare il test di proporzionalità.

La bozza EJPD del gennaio 2025 voleva smantellare esattamente questa linea. Avrebbe assoggettato gli AAKD con almeno 5.000 utenti a un obbligo di identificazione e obbligato i fornitori con oltre un milione di utenti o 100 milioni di franchi di fatturato annuo a conservare i dati secondari per sei mesi. L’argomento dell’amministrazione era operativo: le autorità avevano bisogno di identificatori affidabili, perché i servizi cifrati erodevano la loro capacità investigativa. La procedura di consultazione ha risposto con tono unanime — tutti i partiti che hanno preso posizione, l’associazione di categoria Swico, la Digitale Gesellschaft, oltre 15.000 firme di petizione e diciannove organizzazioni internazionali per i diritti fondamentali, coordinate da EDRi e sottoscritte da Statewatch e Amnesty International Svizzera, hanno ritenuto la bozza sproporzionata. Il CEO di Proton Andy Yen ha annunciato lo spostamento dell’infrastruttura fuori dalla Svizzera, e da allora parte dei server opera in Germania e Norvegia; Threema non ha minacciato un trasferimento all’estero, ma ha evocato un’iniziativa popolare.

La base giuridica del rigetto non è nuova: l’art. 5 cpv. 2 Cost. fed. (SR 101) impone la proporzionalità per ogni azione statale, l’art. 13 Cost. fed. tutela il segreto delle telecomunicazioni. L’art. 8 CEDU e la giurisprudenza della Corte europea dei diritti dell’uomo (Big Brother Watch c. Regno Unito e Centrum för Rättvisa c. Svezia, entrambe del 25 maggio 2021) richiedono che qualsiasi conservazione generalizzata dei dati sia accompagnata da un perimetro d’applicazione preciso, da un controllo giurisdizionale e da garanzie procedurali. La Corte di giustizia dell’Unione europea ha dichiarato la conservazione indiscriminata dei dati contraria al diritto dell’Unione in Tele2 Sverige (2016) e La Quadrature du Net (2020), esigendo da allora una conservazione mirata e circostanziata. La Svizzera non è membro dell’Unione, ma è vincolata dalla CEDU — e la sua prassi di vigilanza si allinea da anni alla dottrina di Lussemburgo.

La Digitale Gesellschaft ha reagito nel maggio 2026 a una nuova bozza VÜPF dell’EJPD pubblicata dalla Republik. La nuova versione innalza le soglie per gli obblighi di identificazione e conservazione e limita le misure più gravose ai fornitori con un’ampia quota di mercato. I modelli d’impresa con raccolta minima di dati restano tuttavia nel mirino, perché l’impostazione strutturale orientata all’identificazione di massa è rimasta invariata. Chi legge la bozza a fianco della consultazione del maggio 2025 vi coglie un’ammissione implicita: la soglia proporzionale si è spostata, ma il fabbisogno di sorveglianza è invariato.

Tre conseguenze sono operative questa settimana. In primo luogo, chi utilizza fornitori del segmento AAKD — posta elettronica, messaggistica, VPN — dovrebbe documentare la classificazione ai sensi dell’art. 2 lett. c BÜPF nel contratto di elaborazione dati, con esplicito riferimento alla sentenza A-5373/2020, anziché tenerla come voce di rischio aperta. In secondo luogo, l’assunzione che una futura revisione del VÜPF possa imporre obblighi di conservazione senza superare il test di proporzionalità non è più sostenibile; questo test appartiene ormai alle clausole contrattuali che disciplinano i costi di conformità e le garanzie sul luogo di conservazione dei dati. In terzo luogo, le policy aziendali sulla cifratura possono essere costruite sulla prassi vigente, senza apporre il caveat di un futuro regime di data retention. Chi documenta con cura il prossimo audit sui fornitori dispone di un argomento solido anche nel momento in cui la seconda bozza VÜPF entrerà in procedura di consultazione.

L’art. 27 BÜPF (SR 780.1), come interpretato dal BVGer in A-5373/2020, impone all’autorità di dimostrare in modo positivo la qualifica di FST ai sensi dell’art. 2 lett. b BÜPF prima di poter esigere il pieno regime degli obblighi di sorveglianza. Chi vuole la conservazione dei dati deve giustificarla in modo proporzionato, non semplicemente affermarla. Proton non ha ottenuto in quel procedimento un’esenzione speciale. La sentenza conferma un fatto più semplice: lo Stato svizzero è soggetto allo stesso test di proporzionalità per la sorveglianza come per qualsiasi altra azione statale. Chi nel maggio 2026 combatte ancora sul piano politico ciò che la Costituzione ha già deciso, sta combattendo la battaglia sbagliata — e con ogni probabilità la perderà.