Quando la Russia chiede ai provider di telecomunicazioni di consegnare le chiavi di cifratura all'FSB, i media occidentali lo chiamano sorveglianza autoritaria. Quando il Regno Unito, il Canada e l'Australia approvano leggi quasi identiche con nomi diversi, si chiama politica di sicurezza nazionale. Il risultato per i cittadini e le loro comunicazioni private e lo stesso in tutti e quattro i casi.
Dal 2016, quattro paesi hanno emanato leggi che costringono le aziende tecnologiche a inserire backdoor nei servizi cifrati o ad affrontare multe ingenti, accuse penali e l'esclusione dal mercato. Analizzare cosa richiede concretamente ciascuna legge, al di la della retorica politica, rivela un modello globale che riguarda direttamente chiunque tenga alla propria privacy digitale.
Russia: SORM, legge Yarovaya e il registro IMEI
Il sistema di sorveglianza russo e il piu antico e completo dei quattro. Il sistema SORM (in vigore dal 1995) obbliga tutti i provider internet russi a installare hardware controllato dall'FSB che da ai servizi di sicurezza accesso diretto al traffico di comunicazioni, senza mandato. La legge Yarovaya (Legge federale 374, approvata nel 2016) e andata oltre: gli operatori di telecomunicazioni devono conservare il contenuto di chiamate e messaggi per sei mesi e i metadati per tre anni. Devono inoltre fornire all'FSB le chiavi di decifratura su richiesta.
Nel 2026, la Russia ha inasprito i controlli con la registrazione obbligatoria dei dispositivi tramite collegamento SIM-IMEI. Entro il 2027, ogni dispositivo mobile dovra essere registrato in un database governativo nazionale. I telefoni non registrati verranno disconnessi dalle reti. L'FSB ha anche ottenuto il diritto esplicito di ordinare direttamente ai provider la sospensione del servizio per utenti specifici.
I provider VPN e le app di messaggistica che operano in Russia sono classificati come "organizzatori di distribuzione delle informazioni" e devono conservare i dati degli utenti russi nel paese e consegnarli su richiesta. La maggior parte dei grandi provider VPN (NordVPN, ExpressVPN, Surfshark, ProtonVPN) ha rimosso i propri server fisici dalla Russia piuttosto che conformarsi. Private Internet Access se ne e andata completamente nel 2016 dopo che le autorita hanno sequestrato i suoi server.
Regno Unito: La Carta dello spione si aggiorna
L'Investigatory Powers Act 2016 britannico, soprannominato "Carta dello spione" dai critici, ha legalizzato la raccolta massiva di dati e ha conferito alle autorita ampi poteri per richiedere la decifratura. Gli emendamenti del 2024 hanno reso questa legge significativamente piu pericolosa per la crittografia end-to-end.
In base all'IPA aggiornato, le aziende tecnologiche devono notificare al Ministero degli Interni qualsiasi aggiornamento di sicurezza e ottenere approvazione prima di implementare nuove funzionalita di crittografia. Il governo puo bloccare il rilascio di un aggiornamento sicuro. La legge ha portata extraterritoriale: qualsiasi azienda nel mondo i cui servizi raggiungano i residenti britannici deve conformarsi. Gli ordini di silenzio impediscono alle aziende di informare gli utenti sulle ingiunzioni segrete ricevute.
La risposta del settore e stata insolitamente diretta. Apple ha minacciato pubblicamente di disattivare iMessage e FaceTime nel Regno Unito se la legge avesse imposto di indebolire la crittografia. Signal e WhatsApp hanno dichiarato che avrebbero lasciato il mercato britannico piuttosto che rompere la crittografia end-to-end per tutti gli utenti. A meta 2026, l'impasse continua.
Australia: Il backdoor che non dovrebbe esserlo
L'Australia ha approvato nel 2018 il Telecommunications and Other Legislation Amendment (Assistance and Access) Act, noto come TOLA. La legge consente alle forze dell'ordine di emettere Technical Capability Notices: ingiunzioni che obbligano le aziende a creare "nuove capacita" per intercettare le comunicazioni cifrate.
Il governo australiano insiste che TOLA vieta di richiedere "vulnerabilita sistemiche". Gli esperti di sicurezza indicano unanimemente l'impossibilita matematica di questa posizione: un backdoor che funziona per una parte e una vulnerabilita per tutti. Signal ha dichiarato chiaramente che per sua architettura non e in grado di decifrare i messaggi degli utenti e non scriverebbe codice speciale per farlo. Il regime di segretezza totale della legge significa che i dipendenti che rivelano di aver ricevuto un TCN rischiano l'accusa penale.
Il danno pratico e andato oltre la privacy degli utenti. Le startup tecnologiche australiane hanno riferito di aver perso contratti internazionali perche i clienti sospettavano la presenza di backdoor governativi nei loro prodotti. La legge ha di fatto reso il software australiano sospetto sul mercato mondiale.
Canada: Ingiunzioni segrete senza controllo giudiziario
Il disegno di legge canadese C-26 ha ricevuto la sanzione reale il 18 giugno 2026. Il Cybersecurity and Telecommunications Security Act conferisce al Ministro dell'Industria poteri ampi e in gran parte segreti: la capacita di ordinare segretamente agli operatori di telecomunicazioni di disconnettere determinati servizi, interrompere il servizio a persone specifiche e condividere informazioni riservate con regolatori governativi. Il mancato rispetto comporta sanzioni fino a 15 milioni di dollari al giorno.
L'Associazione canadese per le liberta civili (CCLA) e i ricercatori del Citizen Lab dell'Universita di Toronto sono stati tra i critici piu severi del disegno di legge. La loro obiezione centrale: le ingiunzioni non richiedono autorizzazione giudiziaria e le aziende non possono contestarle pubblicamente. Il regime di ingiunzioni segrete senza responsabilita pubblica rispecchia meccanismi utilizzati negli stati autoritari: la differenza e procedurale, non sostanziale.
Il modello comune
- Obblighi di segretezza: Tutti e quattro i paesi vietano alle aziende di informare gli utenti quando viene ricevuta un'ingiunzione di sorveglianza.
- Portata extraterritoriale: Il Regno Unito e il Canada rivendicano esplicitamente giurisdizione sulle aziende straniere i cui servizi raggiungono i propri residenti.
- La crittografia come obiettivo: Ogni legge, con linguaggio diverso, mira a neutralizzare la crittografia end-to-end obbligando le aziende a mantenere la capacita di decifratura.
- Responsabilita asimmetrica: I governi possono emettere ingiunzioni segrete; le aziende e gli utenti non possono contestarle pubblicamente.
Signal non puo conformarsi a nessuna di queste leggi senza rompere fondamentalmente il proprio servizio. L'azienda lo ha dichiarato in ogni giurisdizione. Lo stesso vale per qualsiasi piattaforma di messaggistica basata su una vera crittografia end-to-end.
Come rispondono i provider VPN
In tutte e quattro le giurisdizioni, il settore VPN ha convergito verso la stessa soluzione tecnica: server solo su RAM. Quando un server non archivia nulla su disco e funziona interamente in memoria, il sequestro dell'hardware non produce dati utente. Questa architettura contrasta direttamente le leggi che richiedono log accessibili: non c'e nulla da consegnare perche nulla persiste dopo lo spegnimento del server.
Per gli utenti in ognuno di questi quattro paesi, una VPN con una politica verificata di zero log e infrastruttura solo su RAM offre un livello significativo di protezione contro i sistemi di conservazione obbligatoria dei dati. Non protegge dalle leggi che obbligano i provider a bloccare i protocolli VPN stessi, come la Russia fa sempre piu tramite i suoi sistemi TSPU di deep packet inspection, ma affronta direttamente il problema della conservazione dei dati.
• UK Demands Apple Build Secret Backdoor Into iCloud - EFF
• Analysis of Canada's Bill C-26 - Citizen Lab
• The Australian Encryption Law Is Flawed - Signal Blog
• PIA Removes Russian Servers - Private Internet Access Blog
• Apple Threatens to Pull iMessage and FaceTime From UK - The Guardian
