Il Canada è sul punto di approvare una legislazione che obbligherebbe le piattaforme di messaggistica crittografata a installare backdoor segrete per le forze dell'ordine - e i principali attori, tra cui Signal e Apple, stanno già avvertendo che potrebbero abbandonare il mercato canadese piuttosto che conformarsi. Il disegno di legge C-22, introdotto nel maggio 2026, rappresenta la legge di decrittazione obbligatoria più aggressiva proposta da un paese del G7 ad oggi, e i difensori della privacy avvertono che stabilisce un pericoloso precedente che gli altri governi occidentali stanno osservando con attenzione.
Cosa richiede effettivamente il disegno di legge C-22
La legislazione, ufficialmente intitolata Legge sulla protezione dei canadesi dai danni online (disposizioni sulla crittografia), richiederebbe alle piattaforme di comunicazione che operano in Canada di fornire alla polizia e alle agenzie di intelligence un accesso tecnico nascosto alle comunicazioni crittografate, senza notificare agli utenti che i loro messaggi vengono intercettati. Il disegno di legge riguarda le applicazioni con crittografia end-to-end, il che significa che il governo obbligherebbe di fatto le aziende a infrangere le garanzie crittografiche su cui si basano i loro prodotti.
A differenza delle tradizionali leggi sulle intercettazioni che catturano i dati in transito, la legge C-22 richiederebbe alle piattaforme di sviluppare capacità tecniche permanenti che potrebbero essere attivate su richiesta tramite un ordine governativo. Le disposizioni di non divulgazione (gag order) del disegno di legge vieterebbero alle aziende di rivelare agli utenti di aver ricevuto un tale ordine, creando un sistema di conformità segreta senza alcun meccanismo di responsabilità pubblica.
- Ambito di applicazione: Tutte le piattaforme di messaggistica crittografata che operano in Canada, tra cui Signal, iMessage, WhatsApp e altre.
- Meccanismo: Accesso tecnico segreto tramite backdoor, non intercettazione del traffico non crittografato esistente.
- Divieto di divulgazione: Alle piattaforme è vietato notificare agli utenti le richieste di accesso governative.
- Sanzioni in caso di inosservanza: Non ancora del tutto specificate, ma si prevedono multe significative e una potenziale esclusione dal mercato.
La forte reazione di Signal e Apple
Signal, lo standard di riferimento per la messaggistica privata, è stata diretta nella sua risposta: l'organizzazione ha dichiarato che si ritirerebbe dal mercato canadese piuttosto che sviluppare capacità di backdoor. La posizione di Signal ha solide basi tecniche: il suo modello di sicurezza è costruito sulla garanzia matematica che non può leggere i messaggi degli utenti, nemmeno se costretta da un'ordinanza del tribunale. Costruire una backdoor richiederebbe di riprogettare radicalmente il protocollo in modi che minerebbero la sicurezza per tutti gli utenti a livello globale, non solo in Canada.
Apple ha emesso un avvertimento secondo cui potrebbe essere costretta a rimuovere iMessage e FaceTime dall'App Store canadese se obbligata a infrangere la loro crittografia end-to-end. Ciò è in linea con la precedente posizione di Apple nel Regno Unito, dove disposizioni simili dell'Online Safety Act hanno spinto l'azienda a minacciare il ritiro dei servizi crittografati piuttosto che indebolire la sicurezza globale per il bene di una singola giurisdizione.
L'Electronic Frontier Foundation (EFF) è stata ancora più tagliente nella sua valutazione, definendo il C-22 un "incubo di sorveglianza riconfezionato" e tracciando paragoni espliciti con la proposta di Chat Control dell'UE, che ha affrontato anni di opposizione da parte di gruppi per le libertà civili ed esperti tecnici prima di essere ripetutamente accantonata. L'EFF ha osservato che il Canada, in quanto partner di intelligence dei "Five Eyes", potrebbe di fatto estendere l'accesso tramite backdoor a tutta l'alleanza.
Perché le backdoor non possono essere sicure
Il consenso tecnico tra crittografi e ricercatori di sicurezza è inequivocabile: non c'è modo di costruire una backdoor accessibile solo ai governi autorizzati. Una vulnerabilità creata per le forze dell'ordine canadesi è una vulnerabilità che può essere sfruttata da nazioni ostili, hacker criminali e agenzie di intelligence straniere. La storia lo conferma: la dottrina NOBUS ("Nobody But Us") dell'NSA, che presumeva che le backdoor potessero essere mantenute un'esclusiva dell'intelligence statunitense, si è rivelata catastroficamente sbagliata quando i suoi stessi strumenti di hacking sono trapelati e sono stati utilizzati come armi dai gruppi di ransomware.
Se il C-22 verrà approvato nella sua forma attuale, il risultato pratico non sarà un sistema ordinato di sorveglianza autorizzata dal tribunale. Sarà un ecosistema di sicurezza degradato in cui le comunicazioni dei canadesi saranno meno protette di quelle dei cittadini in paesi senza tali leggi, e in cui gli attori delle minacce, dai criminali agli hacker sponsorizzati dallo stato, avranno una superficie di attacco più ampia da sfruttare.
Il problema del precedente per il G7
Ciò che rende il C-22 particolarmente significativo oltre i confini del Canada è il suo potenziale come modello. L'Online Safety Act del Regno Unito, l'Assistance and Access Act dell'Australia e le proposte Chat Control dell'UE hanno tutti tentato versioni di accesso legale obbligatorio alle comunicazioni crittografate, con vari gradi di sofisticazione tecnica e tutele delle libertà civili. La versione canadese si distingue per combinare l'accesso obbligatorio tramite backdoor con un divieto totale di notifica agli utenti: una combinazione più aggressiva della maggior parte delle proposte comparabili nelle democrazie.
Se il Canada - un paese con forti tradizioni di stato di diritto e una popolazione tecnologicamente alfabetizzata - normalizza l'accesso nascosto alle comunicazioni crittografate, diventa molto più facile per altri governi del G7 sostenere che lo stesso approccio sia ragionevole per loro. La preoccupazione dell'EFF che il C-22 sia un modello osservato dai governi alleati non è un'esagerazione: riflette il modo in cui la legislazione sulla sorveglianza si è storicamente diffusa attraverso le democrazie occidentali una volta che un paese rompe il consenso.
La lezione più ampia del C-22 è quella su cui i difensori della privacy insistono da anni: la crittografia non è una funzionalità che i governi possono indebolire selettivamente per i "cattivi" lasciandola intatta per i "buoni". È una proprietà matematica che regge o non regge. Qualsiasi legge che impone l'accesso tramite backdoor è una legge che impone una sicurezza più debole per tutti e, in un'era in cui infrastrutture critiche, sistemi finanziari e comunicazioni personali dipendono dalle stesse basi crittografiche, questo non è un compromesso che può essere fatto in sicurezza.
Cosa puoi effettivamente fare
È importante essere onesti su quali strumenti possono e non possono proteggere da leggi come la C-22. Una VPN crittografa il traffico a livello di rete e nasconde il tuo indirizzo IP e la tua attività di navigazione al tuo provider Internet e agli osservatori della rete, ma non può proteggere il contenuto dei messaggi se l'app di messaggistica stessa è legalmente obbligata a costruire una backdoor nel proprio codice. Ciò che gli strumenti di privacy a livello di rete proteggono sono i tuoi metadati: chi hai contattato, quando, con quale frequenza e da dove. Nell'ambito di una legge sulla sorveglianza che costringe le piattaforme a segnalare segretamente le comunicazioni, proteggere la propria identità a livello di rete rimane una delle poche misure tecniche ancora sotto il proprio controllo, ed è una misura che diventa più rilevante, non meno, man mano che la crittografia a livello di applicazione subisce pressioni legali.
