Apple e Google contro il Bill C-22: rischio backdoor nella crittografia

Apple ha presentato una memoria ufficiale al parlamento canadese durante il processo di consultazione sul Bill C-22, sostenendo che il provvedimento potrebbe consentire al governo di obbligare le aziende tecnologiche a introdurre backdoor nei sistemi di cifratura. Il documento è stato analizzato dal giurista Michael Geist, docente presso la University of Ottawa e tra i principali esperti nordamericani di diritto digitale.

Anche Google ha testimoniato nella stessa audizione parlamentare, aggiungendo la propria voce alle preoccupazioni crescenti di provider, esperti di privacy e operatori VPN. Il caso rilancia un tema che da anni divide governi, aziende e comunità crittografica.

Cosa prevede il Bill C-22 e perché Apple e Google lo contestano

Il disegno di legge nasce ufficialmente per rafforzare le capacità investigative canadesi nel contrasto a terrorismo, criminalità organizzata e minacce informatiche. Obbligherebbe i provider di telecomunicazioni a creare capacità tecniche per l’accesso delle forze dell’ordine ai dati, e imporrebbe la conservazione dei metadati degli utenti fino a un anno.

Ordini ministeriali potrebbero poi essere estesi ad altri provider senza supervisione giudiziaria. Sebbene il governo abbia dichiarato il provvedimento “neutrale rispetto alla cifratura”, le aziende sostengono che il linguaggio attuale, inclusa la definizione di “vulnerabilità sistemica”, sia abbastanza vago da mettere a rischio la crittografia.

Erik Neuenchwander, senior director of user privacy and child safety di Apple, ha testimoniato davanti alla commissione parlamentare per la pubblica sicurezza con parole molto nette: “Non conosciamo alcun modo per distribuire tecnologia di cifratura che fornisca accesso solo ai buoni senza creare nuovi modi per i cattivi di penetrare nei sistemi. Quando si costruisce una backdoor in un dispositivo cifrato, chiunque può attraversarla“.

Neuenchwander ha citato il cyberattacco Salt Typhoon del 2024 ai sistemi del governo statunitense, che aveva sfruttato proprio i punti di accesso creati dalla legge americana equivalente, peraltro più restrittiva del Bill C-22. Ha inoltre ricordato che Apple aveva già abbandonato il servizio Advanced Data Protection nel Regno Unito l’anno scorso, dopo una richiesta governativa di accesso ai dati cloud cifrati, senza però confermare se farebbe lo stesso in Canada.

Jeanette Patell, director of government affairs di Google Canada, ha affermato che il provvedimento va ben oltre i regimi di accesso legale degli altri paesi del G7 e rischia di creare un’infrastruttura di sorveglianza che minerebbe la fiducia degli utenti.

Katherine Charlet, senior director of privacy, safety and security di Google, ha sottolineato che i poteri potenzialmente “illimitati” del Bill C-22 avrebbero ripercussioni globali, dato che le aziende tecnologiche operano su scala internazionale. Il commissario federale per la privacy Philippe Dufresne ha a sua volta messo in guardia contro la conservazione prolungata dei metadati, rilevando che la legge potrebbe coinvolgere anche i provider di servizi sanitari.

Un conflitto globale che si allarga con l’AI

Il Bill C-22 non rappresenta un caso isolato. Il Regno Unito ha approvato l’Online Safety Act con clausole che potrebbero imporre scansioni lato client sui contenuti cifrati, l’Unione Europea discute il controverso progetto Chat Control e Australia e India hanno introdotto normative con maggiori obblighi di cooperazione tecnica.

Diversi operatori VPN hanno già dichiarato che si ritirerebbero dal Canada piuttosto che conformarsi alla legge nella sua forma attuale, e anche Meta ha sollevato preoccupazioni simili in audizioni precedenti. L’esperto di privacy Luc Lefebvre, cofondatore di Crypto Quebec, ha infine osservato che i dati non mostrano alcuna correlazione tra accesso legale e riduzione dei crimini: i criminali tendono semplicemente a spostarsi su altri strumenti, mentre lo Stato raccoglie sempre più informazioni sui cittadini comuni.