La battaglia sulla crittografia si è spostata a Ottawa, e stavolta a prendere posizione sono due colossi che raramente si trovano dalla stessa parte della barricata. Apple ha presentato una memoria ufficiale al parlamento canadese durante le consultazioni sul Bill C-22, avvertendo che il provvedimento potrebbe di fatto obbligare le aziende tecnologiche a introdurre backdoor nei propri sistemi di cifratura. Il documento è stato esaminato dal giurista Michael Geist, docente alla University of Ottawa e tra le voci più autorevoli del diritto digitale nordamericano.
Anche Google ha partecipato alla stessa audizione parlamentare, unendosi a un coro di preoccupazioni che ormai coinvolge provider, esperti di privacy e operatori VPN. È un tema che da anni spacca il dibattito tra governi, aziende e comunità crittografica, e che con il Bill C-22 torna prepotentemente d’attualità.
Il disegno di legge nasce con l’obiettivo dichiarato di rafforzare le capacità investigative canadesi nel contrasto a terrorismo, criminalità organizzata e minacce informatiche. Nella pratica, obbligherebbe i provider di telecomunicazioni a creare capacità tecniche per garantire alle forze dell’ordine l’accesso ai dati, imponendo anche la conservazione dei metadati degli utenti fino a un anno. Ordini ministeriali potrebbero poi essere estesi ad altri provider senza supervisione giudiziaria. Il governo ha definito il provvedimento “neutrale rispetto alla cifratura”, ma le aziende la pensano diversamente: il linguaggio attuale, compresa la definizione di “vulnerabilità sistemica”, sarebbe troppo vago e potenzialmente devastante per la crittografia.
Erik Neuenschwander, senior director of user privacy and child safety di Apple, si è presentato davanti alla commissione parlamentare per la pubblica sicurezza con parole piuttosto dirette: “Non conosciamo alcun modo per distribuire tecnologia di cifratura che fornisca accesso solo ai buoni senza creare nuovi modi per i cattivi di penetrare nei sistemi. Quando si costruisce una backdoor in un dispositivo cifrato, chiunque può attraversarla”. Ha poi citato il cyberattacco Salt Typhoon del 2024 ai sistemi del governo statunitense, che aveva sfruttato proprio i punti di accesso creati dalla legge americana equivalente, peraltro più restrittiva del Bill C-22. Neuenschwander ha anche ricordato che Apple aveva abbandonato il servizio Advanced Data Protection nel Regno Unito l’anno scorso, dopo una richiesta governativa di accesso ai dati cloud cifrati, senza però confermare se farebbe lo stesso in Canada.
Google avverte: ripercussioni globali e sorveglianza di massa
Jeanette Patell, director of government affairs di Google Canada, ha dichiarato che il provvedimento va ben oltre i regimi di accesso legale degli altri paesi del G7 e rischia di creare un’infrastruttura di sorveglianza capace di minare la fiducia degli utenti. Katherine Charlet, senior director of privacy, safety and security di Google, ha aggiunto un dettaglio non secondario: i poteri potenzialmente “illimitati” del Bill C-22 avrebbero ripercussioni su scala globale, considerando che le aziende tecnologiche operano a livello internazionale. Anche il commissario federale per la privacy Philippe Dufresne ha messo in guardia contro la conservazione prolungata dei metadati, sottolineando che la legge potrebbe finire per coinvolgere persino i provider di servizi sanitari.
Non è solo il Canada: un conflitto che si allarga
Il Bill C-22 non è un caso isolato. Il Regno Unito ha approvato l’Online Safety Act con clausole che potrebbero imporre scansioni lato client sui contenuti cifrati. L’Unione Europea sta discutendo il controverso progetto Chat Control. Australia e India hanno introdotto normative con obblighi più stringenti di cooperazione tecnica. Diversi operatori VPN hanno già fatto sapere che si ritirerebbero dal Canada piuttosto che conformarsi alla legge nella sua forma attuale, e anche Meta ha sollevato preoccupazioni simili in audizioni precedenti.
L’esperto di privacy Luc Lefebvre, cofondatore di Crypto Quebec, ha osservato che i dati disponibili non mostrano alcuna correlazione tra accesso legale ai sistemi cifrati e riduzione dei crimini: i criminali tendono semplicemente a spostarsi su altri strumenti, mentre lo Stato finisce per raccogliere sempre più informazioni sui cittadini comuni.