NordVPN e Windscribe minacciano di lasciare il Canada se verrà approvata la legge C-22
Due importanti provider VPN hanno annunciato formalmente che lasceranno il mercato canadese se il disegno di legge C-22 diventerà legge. NordVPN e la società di origine canadese Windscribe hanno entrambe rilasciato dichiarazioni confermando di non poter operare in base a una legislazione che richiederebbe loro di conservare i metadati degli utenti per un anno e di creare backdoor nella loro crittografia. Gli annunci seguono il precedente avvertimento di Signal, che avrebbe cessato le operazioni in Canada alle stesse condizioni.
Cosa richiederebbe il disegno di legge C-22
Il disegno di legge C-22, attualmente all'esame del Parlamento canadese, obbligherebbe i fornitori di servizi di telecomunicazione e di messaggistica a conservare i metadati (chi ha comunicato con chi, quando e da dove) per un minimo di 12 mesi e a renderli disponibili alle forze dell'ordine senza un mandato in determinate circostanze. Il disegno di legge contiene anche disposizioni che richiedono ai fornitori di creare capacità tecniche per consentire l'intercettazione legale, il che, secondo i critici, equivale dal punto di vista funzionale a imporre backdoor di crittografia.
Per i provider VPN, il cui intero modello di business si basa sul non registrare le attività degli utenti, la conformità sarebbe tecnicamente impossibile senza tradire fondamentalmente la promessa principale del loro prodotto. Una VPN che conserva 12 mesi di metadati di connessione non è una VPN privata: è un registro di sorveglianza con un canone di abbonamento mensile.
Perché la posizione di Windscribe è particolarmente significativa
La sede principale di Windscribe si trova a Toronto. A differenza di NordVPN, che è costituita a Panama e può semplicemente chiudere la sua base di utenti canadese continuando a operare altrove, Windscribe non può trasferirsi facilmente. Il suo fondatore e il team sono canadesi. La dichiarazione della società secondo cui preferirebbe chiudere piuttosto che conformarsi è un segnale particolarmente forte: una società canadese che dice ai legislatori canadesi che la loro stessa legislazione è incompatibile con la gestione di una legittima attività legata alla privacy sul suolo canadese.
La posizione di NordVPN è operativamente meno complicata ma altrettanto simbolica. Essendo uno dei marchi VPN più riconoscibili al mondo, il suo rifiuto pubblico di conformarsi ha un peso significativo nel dibattito politico.
Il quadro generale: l'esodo come segnale politico
Questa non è la prima esperienza del Canada con uscite dal mercato motivate dalla privacy. Signal ha creato il precedente per questa conversazione quando ha annunciato che si sarebbe ritirato dal Canada piuttosto che compromettere la sua crittografia. Il modello si estende ora ai provider VPN, che servono una base di utenti diversa ma sovrapposta: giornalisti, attivisti, viaggiatori d'affari e comuni canadesi che usano le VPN per la privacy sulle reti pubbliche piuttosto che per la messaggistica end-to-end.
In tutta Europa e nell'anglosfera, una dinamica simile si è ripetuta più volte. L'Online Safety Act del Regno Unito, la proposta Chat Control dell'UE e l'Assistance and Access Act dell'Australia hanno tutti innescato avvertimenti simili da parte delle aziende tecnologiche attente alla privacy. Nella maggior parte dei casi, i legislatori hanno considerato questi avvertimenti come minacce a vuoto. In alcuni casi – il rifiuto di Signal di aggiungere backdoor sotto la pressione del Regno Unito è il più evidente – le aziende sono passate ai fatti.
Cosa perderebbero gli utenti canadesi
Se la C-22 passerà nella sua forma attuale e i principali provider VPN usciranno dal mercato, gli utenti canadesi si troveranno di fronte a un campo significativamente ridotto di strumenti per la privacy. I provider che molto probabilmente rimarranno sono quelli con il minor impegno per la privacy: servizi che già registrano dati o sono costituiti in giurisdizioni con scarsa supervisione. In pratica, il disegno di legge non eliminerebbe l'uso delle VPN; spingerebbe i canadesi verso provider meno affidabili o verso la gestione dei propri server per evitare del tutto la conformità.
Per i molti canadesi che usano le VPN per scopi legittimi (sicurezza aziendale, protezione dei dati finanziari su reti Wi-Fi pubbliche, elusione delle restrizioni geografiche sui contenuti), l'impatto pratico sarebbe un set degradato di strumenti disponibili e una ridotta fiducia nelle dichiarazioni sulla privacy di qualsiasi provider rimanente.
Stato attuale e prossimi passi
Il disegno di legge C-22 è attualmente in fase di revisione parlamentare. I difensori della privacy, le aziende tecnologiche e le organizzazioni per le libertà civili, tra cui la Canadian Civil Liberties Association, hanno presentato obiezioni formali. I promotori del disegno di legge sostengono che le disposizioni sulla conservazione dei metadati hanno una portata limitata e sono necessarie per le indagini sui reati gravi da parte delle forze dell'ordine, e che l'inquadramento delle backdoor è un'errata caratterizzazione dei requisiti tecnici.
NordVPN e Windscribe non hanno fissato una data specifica per il ritiro e il disegno di legge non è ancora passato. Ma gli annunci formali di entrambi i provider segnalano che l'opposizione del settore è passata dalle attività di lobbying alla pianificazione di emergenza.
