La RCMP conferma che il Bill C-22 prende di mira le comunicazioni crittografate

La RCMP conferma che il Bill C-22 prende di mira le comunicazioni crittografate

Il governo federale canadese ha ripetutamente insistito sul fatto che il Bill C-22, la proposta di legge sull'accesso lecito, non minacci la crittografia. La RCMP ha ora contraddetto direttamente tale affermazione. Durante un'audizione in commissione parlamentare, la polizia nazionale canadese ha confermato che ottenere accesso alle comunicazioni crittografate è esattamente il motivo per cui le forze dell'ordine vogliono l'approvazione del disegno di legge. Questa ammissione ha inasprito un dibattito già acceso sulla possibilità che Ottawa stia perseguendo silenziosamente una backdoor crittografica sotto un'etichetta più accettabile.

Cosa ha detto effettivamente la RCMP in commissione e perché contraddice Ottawa

La testimonianza della RCMP è significativa non perché sorprenda i difensori della privacy, ma perché è esplicita. I funzionari delle forze dell'ordine di solito evitano di inquadrare la legislazione sulla sorveglianza in termini di violazione della crittografia, preferendo espressioni come "accesso lecito" o "assistenza tecnica". In questa audizione, tuttavia, la RCMP ha confermato che l'accesso alle comunicazioni crittografate è un obiettivo fondamentale del Bill C-22, non un effetto collaterale o una possibilità teorica.

Ciò mina direttamente la comunicazione pubblica del governo canadese. I funzionari avevano presentato il disegno di legge come una modernizzazione degli strumenti investigativi esistenti, non come un attacco alle protezioni crittografiche che mettono in sicurezza app bancarie, piattaforme di messaggistica e dati privati per milioni di canadesi. Quando la forza di polizia che la legge è destinata a potenziare afferma apertamente che l'obiettivo è l'accesso ai contenuti crittografati, l'inquadramento del governo diventa molto difficile da sostenere.

La Electronic Frontier Foundation ha osservato che il Bill C-22 segue da vicino le orme del Bill C-2 dell'anno scorso, un'altra proposta incentrata sulla sorveglianza che ha ricevuto critiche significative. Lo schema suggerisce una spinta legislativa sostenuta piuttosto che un episodio isolato.

Come funzionano le backdoor crittografiche e perché minano la sicurezza per tutti

Per capire cosa è in gioco, è utile precisare cosa significhi tecnicamente una backdoor. La crittografia end-to-end protegge le comunicazioni assicurando che solo il mittente e il destinatario possano leggere un messaggio. Nessuna terza parte, incluso il fornitore del servizio o un governo, può accedere al contenuto in transito. Una backdoor modifica questo meccanismo incorporando un meccanismo che consente a una parte designata (in questo caso le forze dell'ordine) di aggirare tale protezione.

Il problema fondamentale è matematico. Una backdoor che funziona per la polizia canadese funziona anche per chiunque altro scopra o ottenga l'accesso a quel meccanismo. Servizi di intelligence stranieri, organizzazioni criminali e hacker malevoli traggono tutti vantaggio dalla stessa debolezza. Non esiste una backdoor crittografica che sia selettivamente disponibile solo per attori affidabili. Ricercatori di sicurezza e crittografi hanno sostenuto questa tesi in modo coerente per decenni e nessuna proposta tecnica è riuscita a confutarla.

Apple, che ha presentato commenti formali sul Bill C-22, ha dichiarato direttamente che il disegno di legge consentirebbe al governo canadese di obbligare le aziende a inserire backdoor nei loro prodotti. Non si tratta di un linguaggio da advocacy; è una descrizione tecnica di ciò che la legislazione richiederebbe.

Cosa significa il Bill C-22 per gli utenti VPN e la messaggistica crittografata in Canada

Per i canadesi che si affidano ad app di messaggistica crittografata, e-mail sicure o reti private virtuali per proteggere le loro comunicazioni, il Bill C-22 crea una reale incertezza. Se il disegno di legge passasse nella sua forma attuale, i fornitori di servizi che operano in Canada potrebbero essere costretti a creare meccanismi di accesso, minando le protezioni che quegli strumenti dovrebbero fornire.

Gli utenti VPN devono affrontare una preoccupazione specifica: una VPN no-log gestita al di fuori della giurisdizione canadese e soggetta a una rigorosa politica di assenza di registri sarebbe molto meno suscettibile a un ordine canadese di accesso lecito rispetto a un fornitore nazionale. Tuttavia, se la legge canadese richiedesse infine ai fornitori VPN di conservare o fornire accesso alle comunicazioni degli utenti, lo scenario giuridico cambierebbe considerevolmente. Il linguaggio attuale del disegno di legge riguardo all'"assistenza tecnica" è abbastanza ampio da rendere la sua portata pratica oggetto di contestazione.

Per la messaggistica crittografata, le implicazioni sono altrettanto gravi. Le piattaforme che non possono tecnicamente conformarsi a un ordine di backdoor senza ridisegnare la loro architettura potrebbero subire pressioni per indebolire la loro crittografia o uscire completamente dal mercato canadese, come è già accaduto in altre giurisdizioni che hanno perseguito una legislazione simile.

La spinta canadese verso le backdoor in un contesto globale: Five Eyes e oltre

Il Canada non gestisce la sua politica di sorveglianza in modo isolato. Come membro dell'alleanza di intelligence Five Eyes insieme a Stati Uniti, Regno Unito, Australia e Nuova Zelanda, il Canada partecipa a un quadro condiviso per l'intelligence dei segnali e, sempre più, per promuovere posizioni coordinate sull'accesso alla crittografia. L'Australia ha approvato il suo Assistance and Access Act nel 2018, che allo stesso modo obbligava i fornitori ad assistere le forze dell'ordine nell'accesso ai contenuti crittografati. L'Online Safety Act del Regno Unito contiene disposizioni comparabili. Il Bill C-22 canadese si inserisce in uno schema riconoscibile in tutta l'alleanza.

Questo contesto è importante per i residenti canadesi perché suggerisce che la pressione legislativa difficilmente scomparirà anche se il Bill C-22 venisse modificato o ritardato. Rapporti indicano che il Canada ha promesso di emendare le disposizioni del disegno di legge sulla crittografia e i metadati in seguito a un significativo contraccolpo dall'industria tecnologica, ma le modifiche al linguaggio non cambiano necessariamente l'obiettivo di fondo che la RCMP ha ora confermato ufficialmente.

Cosa significa per te

Se sei un residente canadese che fa affidamento sulle comunicazioni crittografate per la privacy personale, la riservatezza professionale o la sicurezza digitale in generale, la testimonianza in commissione della RCMP è un segnale da prendere seriamente. Le rassicurazioni del governo sul fatto che la crittografia non sia minacciata sono ora in aperto conflitto con ciò che la forza di polizia che richiede la legislazione ha dichiarato a voce alta.

In pratica, ci sono passi che puoi intraprendere mentre il Bill C-22 avanza in Parlamento. Rivedere le politiche sulla privacy e le pratiche di registrazione di qualsiasi servizio VPN che utilizzi è un punto di partenza ragionevole. Un fornitore con una politica no-log verificata e giurisdizione al di fuori del Canada offre un significativo livello di protezione dagli ordini canadesi di accesso lecito. Allo stesso modo, scegliere piattaforme di messaggistica con crittografia end-to-end open source e verificata e una comprovata disponibilità a lasciare i mercati piuttosto che compromettere la loro architettura fornisce una protezione più solida rispetto al solo affidarsi alle rassicurazioni governative.

La VPN per il Canada e le guide sulla privacy di VPN.social offrono un utile punto di partenza per valutare le tue opzioni. Rimanere informati mentre il disegno di legge avanza attraverso la commissione è altrettanto importante: il divario tra ciò che i funzionari dicono pubblicamente e ciò che la RCMP ha confermato in commissione è esattamente il tipo di dettaglio che determina se la legislazione finale sarà pericolosa come temono i critici o qualcosa di più limitato nella portata.