GrapheneOS è un sistema operativo open source derivato da Android AOSP progettato per offrire il massimo livello possibile di sicurezza e privacy sugli smartphone moderni. È oggi considerato la piattaforma Android più avanzata nel campo dell’hardening del sistema, della mitigazione degli exploit e dell’isolamento delle componenti sensibili. Non si tratta di un semplice “fork” di Android, ma di un progetto di ingegneria della sicurezza che incorpora anni di ricerca, patch proprietarie, nuove funzionalità e una visione radicale: rendere un dispositivo consumer resistente a intrusioni di livello statale e commerciale, senza rinunciare alla compatibilità con le app Android.

Negli anni, GrapheneOS (destinato a rimpiazzare il sistema preinstallato sui dispositivi Google Pixel) ha svolto un ruolo determinante nel migliorare la sicurezza dell’ecosistema Android: molte innovazioni nate nel progetto sono state successivamente adottate da Google stessa. La sua influenza è stata così significativa da portare a collaborazioni tecniche informali, scambi di patch e numerose discussioni con i team di sicurezza Android. Tuttavia, proprio questo rapporto particolare — a metà tra cooperazione tecnica e critica radicale — ha portato a frizioni periodiche con Google.

Di recente, ad esempio, gli sviluppatori di GrapheneOS hanno criticato la tendenza di tarpare le ali alle ROM Android alternative nonché il rallentamento del rilascio degli aggiornamenti per gli smartphone Pixel.

Il contesto dell’attacco: come nasce la narrativa francese “GrapheneOS = telefono dei criminali”

Nelle ultime settimane si è assistito a un evento di rara intensità: un attacco coordinato da parte della stampa francese — supportata da dichiarazioni di Agenzie statali ed enti pubblici — contro GrapheneOS. I fatti riportati dai responsabili del progetto mostrano una sequenza di articoli e affermazioni istituzionali che, messe insieme, non rappresentano una normale controversia tecnica, ma un caso emblematico di criminalizzazione delle tecnologie di sicurezza.

Due articoli della stampa francese hanno presentato GrapheneOS come una sorta di “soluzione di telefonia per narcotrafficanti”, descrivendo un ecosistema parallelo fatto di “dispositivi blindati”, canali oscuri di comunicazione e aggiornamento, funzioni nascoste e fantomatici meccanismi di autodistruzione.

Secondo questi articoli:

Usare GrapheneOS sarebbe di per sé un comportamento sospetto.

Chi usa un sistema sicuro starebbe “tentando di nascondere qualcosa”.

Esisterebbero funzioni come un “fake Snapchat che cancella l’intero telefono”, funzionalità che evidentemente non esiste su GrapheneOS e riguarda invece fork illegittimi realizzati da soggetti europei in violazione del copyright e del marchio.

La distribuzione del sistema sarebbe legata a “canali non pubblici”, a “rivenditori sospetti” e, addirittura, al dark web.

Tutte affermazioni totalmente infondate, come spiegato più volte dagli sviluppatori di GrapheneOS.

Il team di GrapheneOS, tramite i post ufficiali su Mastodon, Bluesky e sul forum ufficiale, ha chiarito alcuni punti fondamentali.

Innanzi tutto, GrapheneOS è open source, con l’intero codice sorgente che è liberamente verificabile in profondità. Inoltre si installa servendosi del Web installer oppure facendo riferimento alla pagina Releases, contenente la lista dei dispositivi supportati. La “distribuzione tramite canali nascosti” è un’invenzione dei media.

Gli sviluppatori ribadiscono, inoltre, che GrapheneOS non integra nessuna funzionalità di cancellazione remota dei dati, nessuna funzionalità di remote management, nessun “finto Snapchat”, nessun abbonamento, licenza o sistema commerciale.

Tutte le caratteristiche attribuite dagli articoli francesi provengono da fork non ufficiali nati in Europa, aziende precedentemente perseguite dalle Autorità francesi, dispositivi venduti come “telefoni criptati” ma basati solo in minima parte sul codice di GrapheneOS.

Abbandono della Francia e migrazione delle infrastrutture

La posizione del progetto GrapheneOS si sta concretizzando in una reazione drastica e senza precedenti:

Stop totale delle operazioni in Francia, incluse partecipazioni a conferenze e viaggi.

Migrazione dei server dal provider francese fino ad oggi utilizzato verso soluzioni tedesche (Netcup/Anexia) e infrastrutture self-hosted.

Abbandono dei nodi dell’attuale provider francese anche quando fisicamente situati in Canada o Singapore, poiché la giurisdizione resta francese.

Rafforzamento dei sistemi di update con signature verification, downgrade protection e mirroring fuori dalla Francia.

La decisione è motivata dalla percezione di un rischio reale di sequestro, manomissione, intercettazione o logging forzato dei servizi del progetto.

La Francia confonde GrapheneOS con prodotti terzi che viola(va)no trademark e copyright

Molte aziende hanno usato parti del codice open source per costruire soluzioni proprietarie. GrapheneOS non ha alcun legame con queste realtà e non ha mai ricevuto fondi né collaborazioni.

Il team di GrapheneOS cita casi precedenti: aziende europee che si sono “macchiate” della vendita di “privacy phones” sono state attaccate mediaticamente, accusate di collusione con il crimine organizzato, perseguite penalmente, private dei server tramite intervento combinato di polizia e provider.

Il timore dichiarato dai responsabili di GrapheneOS è di essere la prossima vittima di questo cliché, nonostante la natura totalmente differente del progetto.

La reazione istituzionale francese: criminalizzare la sicurezza

Nei documenti resi pubblici da GrapheneOS si leggono frasi gravissime attribuite ad alcuni funzionari d’Oltralpe impegnati nella lotta alla cybercriminalità. L’intento dichiarato è quello di perseguire gli sviluppatori se dovessero emergere legami con organizzazioni criminali e vi fosse cooperazione con la giustizia.

E, ancora una volta, torna d’attualità la logica distorta secondo la quale usare la crittografia forte o strumenti che aiutano a proteggere la privacy “indica intenzione di dissimulazione”.

È una frase pericolosa, tecnicamente infondata e politicamente autoritaria, che criminalizza la sicurezza digitale e ribalta i principi fondamentali della privacy moderna. La crittografia e la privacy sono conquiste nel senso più pieno del termine: non sono state donate da governi o aziende, ma ottenute attraverso decenni di battaglie politiche, ricerche scientifiche, innovazioni tecnologiche e conflitti culturali. Hanno restituito agli individui il controllo sui propri dati, sulle proprie comunicazioni e sulla propria identità digitale.

Tutela della privacy e crittografia nell’Unione Europea

L’Unione Europea si fonda su principi che, almeno sulla carta, dovrebbero rendere impossibile associare la crittografia, la privacy e gli strumenti di sicurezza a un comportamento criminale. È proprio questo che rende la vicenda così grave: non si tratta di un Paese autoritario extra-UE, ma di una delle principali democrazie europee.

La Carta dei Diritti Fondamentali dell’Unione Europea tutela in modo esplicito la vita privata, la protezione dei dati personali, la libertà di espressione e informazione. Lo stesso GDPR raccomanda la crittografia considerandola una “misura tecnica adeguata”, una “protezione essenziale”, uno strumento consigliato per ridurre i rischi.

Quella francese, peraltro già nota (in passato si associò addirittura l’uso di Signal, ProtonMail, Tor e simili a comportamenti terroristici…), è lo stesso tipo di retorica utilizzata per giustificare leggi simili al Chat Control (scansione di massa delle comunicazioni protette dalla crittografia end-to-end), per sostenere backdoor obbligatorie nelle app di messaggistica, per attaccare VPN, sistemi cifrati o Secure Enclave.

Perché GrapheneOS dà fastidio

GrapheneOS implementa tecniche di hardening della memoria, mitigazioni avanzate, kernel e userland patchati mensilmente (o prima), isolamento IOMMU rigoroso per modem e sensori, controlli privacy avanzati, WebView sempre aggiornato, servizi che non concedono alcun tipo di privilegio di sistema a Google.

È oggettivamente una piattaforma che riduce drasticamente exploit remoti e locali, sorveglianza commerciale e statale, accesso forense. Per questo, evidentemente, dà fastidio.

Il caso GrapheneOS è molto più di uno scontro mediatico: è un sintomo della tensione crescente tra progetti open source indipendenti, Stati che vogliono accedere ai dati, modelli di sicurezza che escludono backdoor, pressioni politiche sul diritto all’uso della crittografia.

Se oggi qualcosa dovesse accadere a GrapheneOS, domani potrà accadere a Signal, Proton, Tor, Mullvad, a qualsiasi distro Linux orientata alla sicurezza.

È un test: se un sistema operativo libero e verificabile può essere criminalizzato con accuse infondate, nessuna tecnologia che tutela la privacy è davvero al sicuro.