Signal minaccia di lasciare il Paese per una legge sulla sorveglianza

Signal ha minacciato di abbandonare il mercato canadese se il parlamento approverà il Bill C-22, il nuovo disegno di legge sull’accesso legale ai dati digitali.

La piattaforma di messaggistica cifrata ritiene alcune disposizioni incompatibili con la crittografia end-to-end che protegge le comunicazioni degli utenti. Non è la prima volta che accade: Regno Unito, Australia e Unione Europea hanno percorso strade simili negli ultimi anni, incontrando ogni volta la stessa risposta dal settore tecnologico.

Creare una porta d’accesso per le autorità significa introdurre vulnerabilità sfruttabili anche da criminali informatici e servizi di intelligence stranieri.

Cosa prevede la legge e perché Signal si oppone

Il provvedimento, noto anche come Lawful Access Act, obbligherebbe i fornitori di servizi elettronici a predisporre capacità tecniche di sorveglianza e a conservare determinati metadati degli utenti fino a un anno.

Il governo canadese sostiene formalmente che la legge non vieti la cifratura, ma le aziende del settore affermano che l’implementazione pratica richiederebbe comunque modifiche profonde ai sistemi di sicurezza. Udbhav Tiwari, vicepresidente Strategy and Global Affairs di Signal, ha dichiarato che l’azienda preferirebbe ritirarsi dal Canada piuttosto che compromettere le garanzie offerte agli utenti.

Anche Apple, Meta e diversi provider VPN come Windscribe e NordVPN hanno espresso forti perplessità. Il nodo tecnico è chiaro: nei sistemi basati su Signal Protocol la cifratura avviene direttamente sul dispositivo del mittente e la decifratura solo su quello del destinatario.

I server intermedi vedono esclusivamente dati cifrati e nemmeno Signal può leggere i contenuti in transito. Per consentire intercettazioni legali bisognerebbe introdurre chiavi master governative, sistemi di escrow crittografico o scansione lato client, soluzioni che gli esperti di sicurezza considerano punti deboli strutturali per definizione.

Perché il precedente canadese preoccupa l’intera industria

Il timore principale delle aziende tecnologiche non riguarda solo il Canada. Se una grande democrazia occidentale introducesse obblighi sistematici di accesso ai dati cifrati, altri governi potrebbero adottare norme ancora più invasive, costringendo le piattaforme a mantenere versioni differenti dei propri sistemi di sicurezza paese per paese.

Una frammentazione del genere aumenterebbe la complessità del codice, renderebbe più difficile individuare vulnerabilità e metterebbe a rischio anche il settore enterprise, che utilizza protocolli cifrati per proteggere dati finanziari e proprietà intellettuale.

Organizzazioni come Citizen Lab hanno già evidenziato il rischio di trasformare sistemi pensati per proteggere giornalisti, attivisti e dissidenti in infrastrutture strutturalmente più esposte. Le autorità canadesi rispondono che le forze dell’ordine stanno perdendo capacità investigative a causa della diffusione della cifratura forte, e che strumenti moderni di lawful access siano necessari per contrastare reti criminali sofisticate. Ma l’incompatibilità tecnica di fondo rimane irrisolta: indebolire la sicurezza per pochi significa, nella pratica, ridurla per tutti.