Proton VPN attacca la nuova legge sulla sorveglianza

La proposta canadese nota come Bill C-22 ha aperto uno scontro diretto tra governi, aziende che sviluppano strumenti per la privacy e comunità tecnica. Proton VPN ha scelto una linea durissima: nessuna modifica alla propria architettura “no-log” e nessuna collaborazione che implichi la conservazione forzata dei metadati degli utenti. La presa di posizione arriva mentre Ottawa tenta di introdurre nuove regole sul cosiddetto lawful access, cioè l’accesso ai dati digitali degli utenti da parte delle autorità investigative.

Tra i punti più discussi della normative c’è l’obbligo di conservazione di metadati delle conversazioni fino a 12 mesi e la creazione di capacità tecniche che permettano alle autorità di ottenere accesso alle informazioni attraverso procedure autorizzate. Nei giorni scorsi, Signal aveva già minacciato di ritirare il servizio di messaggistica dal Canada: adesso arriva la “bordata” di Proton VPN, che di fatto si pone sulla stessa scia.

Perché Proton VPN rifiuta il modello canadese

Proton opera principalmente sotto giurisdizione svizzera: la Svizzera applica regole severe in materia di protezione dei dati e cooperazione internazionale. David Peterson, general manager di Proton VPN, ha dichiarato pubblicamente che l’azienda non rispetterà ordini di sorveglianza stranieri privi di un iter legale compatibile con il diritto elvetico.

L’infrastruttura del servizio VPN si basa su una politica no-log progettata proprio per ridurre al minimo la disponibilità di informazioni utilizzabili in caso di richieste governative. In pratica, il provider conferma di non archiviare cronologia di navigazione, timestamp persistenti delle sessioni o indirizzi IP associabili agli utenti.

Va detto però che no-logs non significa assenza totale di dati gestiti e memorizzati, anche temporaneamente. Qualunque VPN deve gestire elementi minimi necessari proprio per il normale funzionamento del servizio: autenticazione, prevenzione degli abusi, bilanciamento dei nodi e gestione delle sessioni attive. Alcuni provider usano memorie volatili RAM-only; altri distruggono automaticamente i dati tecnici dopo pochi minuti o ore.

Proton VPN utilizza server configurati con storage volatile per ridurre la persistenza delle informazioni: lo stesso approccio compare anche in servizi concorrenti come NordVPN ed ExpressVPN. Un provvedimento come Bill C-22 potrebbe tuttavia obbligare i provider a cambiare radicalmente questa filosofia tecnica: e i diretti interessati non ci stanno.

Il problema della gestione dei metadati: perché sono così importanti

Quando si parla di sorveglianza digitale, molti utenti pensano subito al contenuto delle comunicazioni. In realtà i metadati spesso risultano ancora più preziosi: lo abbiamo spiegato in un altro articolo dicendo cosa si può sapere dai metadati di WhatsApp e quali informazioni più leggere (ed eventualmente condividere) Meta senza accedere ai messaggi degli utenti, per via della crittografia end-to-end.

Data e ora delle connessioni, indirizzi IP di origine, durata delle sessioni, identificativi dei dispositivi e localizzazione approssimativa permettono di costruire profili molto dettagliati.

Le VPN esistono anche per spezzare questo genere di correlazioni: se un provider conserva metadati per 12 mesi, le autorità possono teoricamente ricostruire buona parte dell’attività online di un utente attraverso richieste incrociate verso ISP, piattaforme cloud e servizi digitali.

Obbligare un servizio VPN a conservare registri persistenti significa trasformare il provider stesso in un punto centrale di raccolta dati, anche considerando che un singolo archivio di log diventa automaticamente un obiettivo ad alto valore per criminali informatici, gruppi ransomware e attività di cyberspionaggio.

Proton, Signal, Windscribe e NordVPN alzano il livello dello scontro

Proton VPN non è rimasta isolata. Signal ha dichiarato apertamente che preferirebbe lasciare il mercato canadese piuttosto che compromettere il proprio modello di cifratura. Windscribe ha addirittura ipotizzato il trasferimento della sede di Toronto.

La reazione di Windscribe è diventata virale dopo un episodio piuttosto surreale: il ministero canadese della sicurezza pubblica ha pubblicato un messaggio su X consigliando ai cittadini di usare VPN per proteggersi sulle reti WiFi pubbliche. L’azienda ha risposto accusando il governo di voler distruggere proprio le caratteristiche tecniche che rendono sicure le VPN.

Anche NordVPN ha assunto una posizione netta. L’azienda baltica ha chiarito che non modificherà la propria architettura di logging né le protezioni crittografiche per conformarsi a richieste incompatibili con il modello di sicurezza del servizio.

In pratica si sta formando un fronte comune composto da provider VPN, piattaforme crittografate e associazioni per i diritti digitali. Il settore non può accettare una modifica normativa che potrebbe creare un precedente internazionale molto pericoloso.

Resta da capire se il governo canadese modificherà il testo della legge o proseguirà sulla linea attuale. La sensazione, osservando le reazioni internazionali, è che il confronto sia appena iniziato.