Signal potrebbe presto abbandonare il Canada. Non per una questione commerciale, non per un problema di utenti. Il motivo è molto più delicato e riguarda una nuova legge sulla sorveglianza che, secondo la piattaforma di messaggistica cifrata, metterebbe a rischio il cuore stesso del suo funzionamento: la crittografia end-to-end. Il parlamento canadese sta discutendo il Bill C-22, un disegno di legge che obbligherebbe i fornitori di servizi digitali a predisporre strumenti tecnici per consentire alle autorità di accedere ai dati degli utenti. E la reazione di Signal è stata netta: piuttosto che piegarsi, meglio andarsene.
Cosa prevede il Bill C-22 e perché Signal non ci sta
Il provvedimento, conosciuto anche come Lawful Access Act, introdurrebbe per i fornitori di servizi elettronici l’obbligo di dotarsi di capacità tecniche di sorveglianza e di conservare determinati metadati degli utenti fino a un anno. Il governo canadese ha precisato che la legge non vieterebbe esplicitamente la cifratura. Però le aziende del settore sostengono che, nella pratica, rispettare queste disposizioni richiederebbe modifiche profonde ai sistemi di sicurezza. Modifiche che, di fatto, renderebbero la crittografia end-to-end molto meno efficace.
Udbhav Tiwari, vicepresidente Strategy and Global Affairs di Signal, ha dichiarato senza mezzi termini che l’azienda preferirebbe ritirarsi dal Canada piuttosto che compromettere le garanzie offerte ai propri utenti. E non è solo Signal a preoccuparsi. Anche Apple, Meta e diversi provider VPN come Windscribe e NordVPN hanno espresso forti perplessità sul provvedimento.
Il problema tecnico, a ben guardare, è piuttosto chiaro. Nei sistemi basati su Signal Protocol la cifratura avviene direttamente sul dispositivo del mittente e la decifratura solo su quello del destinatario. I server intermedi vedono esclusivamente dati cifrati, e nemmeno Signal stessa può leggere i contenuti in transito. Per consentire intercettazioni legali bisognerebbe introdurre chiavi master governative, sistemi di escrow crittografico o scansione lato client. Tutte soluzioni che gli esperti di sicurezza considerano punti deboli strutturali. Creare una porta d’accesso per le autorità, in sostanza, significa aprire una vulnerabilità potenzialmente sfruttabile anche da criminali informatici e servizi di intelligence stranieri.
Perché il precedente canadese preoccupa tutta l’industria tech
La questione non resta confinata ai confini del Canada. E proprio questo è il punto che allarma maggiormente le aziende tecnologiche. Non è la prima volta che accade qualcosa del genere: Regno Unito, Australia e Unione Europea hanno percorso strade simili negli ultimi anni, incontrando ogni volta la stessa resistenza da parte del settore. Ma se una grande democrazia occidentale dovesse introdurre obblighi sistematici di accesso ai dati cifrati, il rischio è che altri governi si sentano legittimati ad adottare norme ancora più invasive.
Le piattaforme si troverebbero costrette a mantenere versioni differenti dei propri sistemi di sicurezza paese per paese. Una frammentazione del genere aumenterebbe la complessità del codice, renderebbe più difficile individuare vulnerabilità e metterebbe a rischio anche il settore enterprise, che utilizza protocolli cifrati per proteggere dati finanziari e proprietà intellettuale. Organizzazioni come Citizen Lab hanno già evidenziato il pericolo concreto di trasformare sistemi pensati per proteggere giornalisti, attivisti e dissidenti in infrastrutture strutturalmente più esposte ad attacchi.
Dal canto loro, le autorità canadesi rispondono che le forze dell’ordine stanno progressivamente perdendo capacità investigative a causa della diffusione della cifratura forte, e che strumenti moderni di lawful access sarebbero necessari per contrastare reti criminali sofisticate. L’incompatibilità tecnica di fondo, però, rimane irrisolta: indebolire la crittografia per consentire l’accesso a pochi significa, nella pratica, ridurre la sicurezza per tutti.
