Guide

Legislazione sulla crittografia: Guida allo stato globale delle leggi anti-crittografia.

Questo studio sulle tendenze globali della crittografia mostra perché l'Europa - e in particolare la Germania - rimane il porto sicuro per i servizi criptati.

"Global encryption trends study: map of cryptography legislation status."

La crittografia è minacciata in tutto il mondo. Online Safety Act nel Regno Unito, TOLA in Australia, Bill C-2 in Canada: l'elenco delle leggi che possono potenzialmente compromettere la crittografia è in continuo aumento. In questo studio abbiamo messo insieme una panoramica della situazione legale nei Paesi democratici, in modo che possiate capire meglio se i vostri dati sono al sicuro in quei Paesi.

In questo studio sulle tendenze politiche ci concentriamo sulla legislazione anti-crittografia in tutto il mondo, che comprende leggi o proposte che mirano a indebolire o interrompere la crittografia Ende-zu-Ende nei servizi di comunicazione. Se la sicurezza delle comunicazioni è già da tempo minacciata in Paesi autocratici come la Russia e la Cina, ora è sempre più sotto pressione anche in Paesi democratici come gli Stati Uniti, il Regno Unito e l’Unione Europea. Queste leggi contro la crittografia di solito cercano di costringere i fornitori di comunicazioni a implementare una backdoor alla loro crittografia in modo che le forze dell’ordine possano filtrare i dati alla ricerca di attività sospette. Un esempio emblematico di tale backdoor è la proposta di legge sul controllo delle chat, fortemente criticata, che è ancora in discussione nell’Unione Europea, ma ora senza alcun requisito di backdoor.

Il problema di queste backdoor è che creano una grave vulnerabilità alla sicurezza. Una volta che la backdoor è presente, non si tratta di stabilire se la backdoor verrà abusata, ma solo di stabilire quando. Ecco perché è necessario esaminare la legislazione globale in materia di crittografia e verificare lo stato attuale nei Paesi democratici.

Turn ON Privacy in one click.

Stato della legislazione sulla crittografia a livello globale

Weltweiter Stand der Verschlüsselungsgesetze: Australien und Großbritannien sind am schlechtesten, dann folgen Kanada, die USA und die Schweiz, und am besten steht die EU da. Weltweiter Stand der Verschlüsselungsgesetze: Australien und Großbritannien sind am schlechtesten, dann folgen Kanada, die USA und die Schweiz, und am besten steht die EU da. Stato della legislazione sulla crittografia a livello globale: Australia e Regno Unito sono i peggiori, poi Canada, Stati Uniti e Svizzera, mentre la posizione migliore è quella dell’UE.

La situazione legale a livello mondiale sta cambiando, soprattutto per quanto riguarda i poteri di monitoraggio e sorveglianza. Le discussioni su questo argomento, in particolare nella comunità online, possono diventare molto accese, poiché molti esperti di tecnologia credono fermamente nel diritto alla privacy e si battono con passione per questo. Tuttavia, i governi di tutto il mondo stanno reagendo cercando di inquadrare la discussione in modo tale che la violazione della crittografia sia inevitabile, ad esempio per combattere il terrorismo o per proteggere i bambini.

Questo modo di inquadrare la discussione è una spinta da parte di chi governa a convincere i cittadini che la rottura della crittografia sarebbe necessaria e buona, e che si potrebbe addirittura ottenere senza monitorare tutti (ad esempio introducendo una sorveglianza alimentata dall’intelligenza artificiale). Naturalmente questa narrazione è sbagliata, e ne parliamo ampiamente nella nostra critica aggiornata sul controllo delle chat, ma diamo un’occhiata allo stato attuale delle leggi sulla crittografia nell’UE, in Svizzera, negli Stati Uniti, in Canada, nonché in Australia e nel Regno Unito in questo studio sulle tendenze globali della crittografia.

Stato giuridico nell’UE

Negli ultimi tre anni, l’Europa ha assistito a una forte lotta per stabilire se dovesse o meno minare la crittografia con la legislazione sul controllo delle chat o, come la chiama l’UE, il regolamento sugli abusi sessuali sui minori (CSAR). Mentre il Consiglio dell’UE - sotto diverse presidenze - ha ripetutamente cercato di spingere una versione della legge con l’obbligo per i fornitori di comunicazioni, come i servizi di posta elettronica e le app di chat, di compromettere o aggirare la crittografia Ende-zu-Ende dei servizi, una forte opposizione da parte di cittadini, organizzazioni e aziende come Tuta ha infine spinto il Consiglio dell’UE a concordare una bozza di legge CSA che afferma che la scansione delle comunicazioni degli utenti è volontaria e che non è richiesta per compromettere la crittografia Ende-zu-Ende. Questa bozza deve ora essere discussa con il Parlamento europeo.

Il fatto che il controllo delle chat, nonostante la tendenza globale a minare la crittografia, non richieda più la violazione della crittografia è una grande vittoria per l’Europa e in particolare per la Germania. La Germania è storicamente un Paese in cui la comunità della privacy, in particolare tra le persone esperte di tecnologia, è molto forte. Ciò non sorprende se si considera la storia tedesca della Stasi e della GeStaPo, che controllavano i tedeschi e li imprigionavano per motivi semplici come l’avere una visione politica diversa da quella della classe dirigente. In Germania la società è molto favorevole alla crittografia Ende-zu-Ende, c’è un forte coinvolgimento della società civile nella politica digitale e il quadro giuridico tedesco considera la privacy un diritto fondamentale, sancito anche dalla Costituzione tedesca.

Five Eyes e oltre: dove le cose si complicano

Il Regno Unito e l’Australia hanno leggi che impongono la violazione della crittografia.

In contrasto con ciò, i Paesi Five Eyes Regno Unito e Australia hanno recentemente approvato alcune delle peggiori leggi sulla sorveglianza della storia, ovvero l’UK Online Safety Act e l’Australian TOLA.

Il TOLA in Australia e l’Online Safety Act nel Regno Unito consentono alle autorità di imporre ai fornitori di servizi di utilizzare la crittografia come backdoor. E non si tratta di una minaccia teorica: nel 2025, il dipartimento del Ministero dell’Interno del Regno Unito ha chiesto ad Apple di rimuovere la crittografia del cloud per tutti gli utenti. Sebbene Apple avrebbe potuto farlo segretamente, ha invece fatto trapelare la richiesta del governo britannico, provocando un’enorme protesta da parte dell’opinione pubblica. Alla fine, Apple non è stata costretta a interrompere la crittografia per tutti gli utenti. Ma nessuno può sapere se altri servizi closed source si siano già conformati a ordini simili. Alla luce della legislazione sulla crittografia, come la legge sulla sicurezza online nel Regno Unito, si deve presumere che non ci si possa più fidare dei servizi crittografati a sorgente chiusa.

La TOLA non solo consente alle autorità di chiedere che la crittografia venga violata per motivi di “interesse nazionale”, ma può anche emettere “avvisi di capacità tecnica” con richieste di sorveglianza ancora più ampie rivolte ai fornitori di servizi tecnologici.

Il disegno di legge canadese C-2 potrebbe consentire al governo di minare la crittografia.

Anche il Canada, un altro Five Eye, sta progettando una legge che minaccia la crittografia Ende-zu-Ende: il disegno di legge C-2. Se approvato, rischia di costringere alla decrittazione tramite “vulnerabilità sistemiche” non definite e minaccerebbe la conformità al GDPR europeo per i fornitori di servizi canadesi.

Legislazione USA sulla crittografia: rischio di ordini segreti.

Negli Stati Uniti, la crittografia Ende-zu-Ende non può (ancora) essere infranta legalmente, tuttavia leggi come il CLOUD Act e il FISA danno alle autorità diritti eccessivi per le richieste di dati ai fornitori di tecnologia americani, a volte anche senza un ordine del tribunale. Questo è anche il motivo per cui le “nuvole sovrane” dei provider statunitensi non sono altro che “lavaggi sovrani” e non ci si deve fidare. Sebbene sia stata prevista una riforma del FISA nel 2024, i diritti alla privacy non sono stati rafforzati. Al contrario, il FISA dà ancora alla NSA e all’FBI un assegno in bianco per la sorveglianza e gli abusi. Tuttavia, il governo statunitense non è stato in grado di approvare proposte di legge come il Lawful Access to Encrypted Data Act a causa della forte opposizione della società civile, che negli Stati Uniti è molto forte.

Svizzera: non così sicura come si potrebbe pensare.

Già nel 2016 gli stessi cittadini svizzeri hanno votato a favore di una maggiore sorveglianza e ora il Bundesrat svizzero sta discutendo una legge che potrebbe mettere la Svizzera sullo stesso piano di Australia e Regno Unito. Il progetto di legge richiede di violare la crittografia Ende-zu-Ende e di registrare gli indirizzi IP dei fornitori di comunicazioni e VPN. Anche se non è ancora certo che questa legge passerà, è evidente che la Svizzera non è più il rifugio sicuro per i provider crittografati e attenti alla privacy, come alcuni provider cercano di far credere.

In realtà la privacy svizzera è un’illusione, o solo un’ottima trovata di marketing. Così ora anche Protonmail, un’alternativa a Tuta Mail, ha annunciato che sposterà i server dalla Svizzera alla Germania.

Turn ON Privacy in one click.

Privacy: dall’Europa, per il mondo

Quando si parla di legislazione sulla crittografia e di tendenze globali, la giurisdizione è più importante che mai per i fornitori di comunicazioni sicure come le app di chat crittografate e i servizi di posta elettronica come Tuta Mail. Ecco perché noi di Tuta seguiamo da vicino la situazione legale a livello mondiale e vi terremo aggiornati sul nostro blog e sui nostri canali social sulle minacce alla crittografia Ende-zu-Ende, ma anche sulle vittorie per i diritti alla privacy.

Nel 2025, ci siamo uniti all’acceso dibattito sul Chat Control e abbiamo chiarito che noi di Tuta non avremmo mai compromesso la nostra crittografia. In effetti, avremmo preferito fare causa all’UE piuttosto che rompere la nostra crittografia. Ora questo non è più necessario, poiché la bozza del Chat Control attualmente in discussione non richiede di minare o rompere la crittografia Ende-zu-Ende.

Tuta-Erklärung: Wir würden lieber die EU verklagen, als unsere Verschlüsselung zu brechen. Tuta-Erklärung: Wir würden lieber die EU verklagen, als unsere Verschlüsselung zu brechen. Dichiarazione di Tuta: Preferiamo fare causa all’UE piuttosto che rompere la nostra crittografia.

Questo successo è stato possibile solo grazie a diversi fattori presenti nell’UE, e in particolare in Germania:

  • Protezioni costituzionali della privacy
  • una forte legislazione sulla protezione dei dati (GDPR)
  • Elevato impegno della società civile per i diritti digitali
  • Elevata resistenza alle backdoor da parte della società civile e delle imprese.

Nel complesso, noi di Tuta siamo molto contenti che, nonostante le tendenze globali, l’Europa si sia finalmente riunita per costruire la reputazione acquisita con l’approvazione del Regolamento generale sulla protezione dei dati: Rispetto e protezione della privacy dei cittadini. È il passo giusto, soprattutto ora che l’Europa sta cercando di diventare sovrana digitale. Tuttavia, non è scontato che l’Europa continui su questa strada - ma noi saremo qui per tenere d’occhio le tendenze globali della crittografia e gli sviluppi politici per assicurarci che la crittografia Ende-zu-Ende in Europa rimanga intatta.

Combattiamo insieme per la privacy!

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.