trueNetLab ⚡️
La politica di sorveglianza britannica costringe Apple ad abbandonare la crittografia

La politica di sorveglianza britannica costringe Apple ad abbandonare la crittografia


Il mondo digitale si trova di nuovo di fronte a un dibattito fondamentale fra la tutela della privacy e la sorveglianza statale – e il Regno Unito è attualmente il teatro di una discussione decisiva. Al centro c’è la controversa decisione di Apple di revocare la crittografia end-to-end per gli utenti iCloud britannici sotto la pressione del governo.
In quanto britannico di nascita, osservo con estremo scetticismo questo sviluppo. Sebbene ora viva a Dubai e non ne sia direttamente toccato, considero le “backdoor” imposte dallo Stato intrinsecamente problematiche e pericolose.

Meta: Il Regno Unito costringe Apple ad abbandonare la crittografia end-to-end di iCloud – un punto di svolta critico per la privacy e la sicurezza digitale in tutto il mondo.

Sfondo della decisione: pressioni delle leggi britanniche

Nel febbraio 2025 Apple ha annunciato che non offrirà più la “Advanced Data Protection” (ADP), ossia la crittografia end-to-end per i dati iCloud, nel Regno Unito. Alla base c’è un’ingiunzione delle autorità britanniche che si richiama all’“Investigatory Powers Act” (IPA), noto anche come “Snoopers’ Charter” (rapporto di Reuters).

Tale ingiunzione obbliga Apple a inserire una backdoor tecnica oppure – come Apple ha infine scelto di fare – a disattivare completamente la funzione ADP. Con questa decisione Apple intende evitare di compromettere l’integrità complessiva del proprio sistema.

In termini pratici ciò significa che i backup iCloud nel Regno Unito non possono più essere protetti con il livello di sicurezza superiore, rendendo i dati degli utenti potenzialmente più accessibili.

Come funziona la crittografia end-to-end?

La crittografia end-to-end garantisce che i dati, durante la trasmissione o l’archiviazione, possano essere letti solo dagli endpoint autorizzati: né il fornitore del servizio né terzi hanno accesso al contenuto.
Tecnicamente ciò avviene tramite cifratura a coppie di chiavi. Mittente e destinatario possiedono chiavi crittografiche univoche: un messaggio viene cifrato dal mittente con una chiave pubblica e può essere decifrato solo dal destinatario con la corrispondente chiave privata. Anche se i dati vengono intercettati o archiviati su server, restano illeggibili senza la chiave corretta.
In concreto: se i dati iCloud sono cifrati end-to-end, nemmeno Apple può decifrarli – nemmeno su ordine delle autorità, perché non possiede le chiavi di decrittazione. Questo approccio offre un’elevata protezione contro accessi non autorizzati: persino in caso di fuga di dati o attacchi hacker ai server, le informazioni restano inutilizzabili per gli aggressori.

Perché Apple indebolisce la crittografia?

In una nota ufficiale Apple ha sottolineato di non aver mai introdotto, né di voler introdurre in futuro, una backdoor o una master key nei suoi prodotti o servizi. Nondimeno il gruppo è stato costretto a disattivare la protezione avanzata per i backup iCloud nel Regno Unito. Dati particolarmente sensibili, come le password sincronizzate tramite iCloud Keychain e i dati Salute, rimarranno comunque cifrati end-to-end. Ciò indica che Apple non ha completamente ceduto, ma ha cercato un compromesso fra pressione politica e integrità tecnica.

Vale la pena ricordare che molti utenti non hanno mai attivato la Advanced Data Protection per iCloud. L’opzione è stata introdotta con un aggiornamento di sistema operativo, ma non è abilitata di default. Chi, oltre ai tecnici come me, l’avrà mai attivata?

Investigatory Powers Act (IPA): pressione politica sulle aziende

Questa evoluzione è la conseguenza diretta dell’“Investigatory Powers Act”, la cosiddetta “Snoopers’ Charter”, che consente al governo britannico di emanare ordini segreti alle aziende tecnologiche. La richiesta rivolta ad Apple è stata emessa nell’ambito di questa legge, la quale facilita alle forze dell’ordine l’accesso alle comunicazioni digitali.

Apple aveva già avvertito pubblicamente un anno fa dei potenziali effetti dell’IPA, sostenendo che tali misure avrebbero compromesso la sicurezza degli utenti di tutto il mondo. Il governo britannico non si è limitato a chiedere l’accesso ai soli account iCloud britannici, ma voleva la possibilità tecnica di accedere a tutti i backup iCloud a livello globale. Ciò ha suscitato proteste internazionali, in particolare dagli Stati Uniti, dove si teme che la richiesta violi accordi vigenti fra USA e Regno Unito.

Destano particolare preoccupazione i segnali secondo cui l’IPA non bersagli solo Apple. Si ritiene che anche fornitori di servizi cifrati come WhatsApp, Signal o Threema possano essere messi sotto pressione. Questo indebolirebbe ulteriormente la privacy di milioni di utenti nel mondo, dimostrando che la lotta alla crittografia non si limita al Regno Unito.

La decisione di Apple nel Regno Unito: cosa è stato disattivato?

Con Advanced Data Protection, Apple aveva introdotto un’opzione per cifrare end-to-end numerosi dati iCloud. In questa modalità, ad esempio, backup iPhone, foto e note erano protetti al punto che nemmeno Apple stessa poteva accedervi in chiaro. Su pressione del governo britannico, Apple ha disattivato questa funzione per gli utenti del Regno Unito. I nuovi utenti iCloud in UK non possono più attivare ADP, mentre quelli esistenti riceveranno la richiesta di disattivarla. Apple parla di una misura “profondamente deludente” e sottolinea di aver dovuto adottarla per obblighi di legge (Apple can no longer offer Advanced Data Protection in the United Kingdom to new users - Apple Support). Venuta meno la crittografia end-to-end dei backup iCloud in UK, Apple può ora – diversamente da quanto accade con ADP – accedere di nuovo ai dati archiviati su iCloud e consegnarli alle autorità in presenza di richieste legali.

Le modifiche riguardano soprattutto le categorie di dati aggiuntive che ADP proteggeva. Mentre 14 tipi di dati iCloud (ad esempio iCloud Keychain o i dati Salute) rimangono crittografati end-to-end di default, altri passano a una cifratura meno rigorosa (Standard Data Protection). Secondo Apple, gli utenti britannici non possono più cifrare end-to-end le seguenti nove categorie di dati iCloud:

  • iCloud Backup (inclusi i backup dei dispositivi e la cronologia iMessage salvata)
  • iCloud Drive (documenti archiviati nel cloud)
  • Foto (Libreria foto di iCloud)
  • Note
  • Promemoria
  • Segnalibri di Safari
  • Comandi rapidi Siri
  • Memo vocali
  • Pass di Wallet e contenuti Freeform

Questi dati ora vengono memorizzati sui server Apple cifrati senza la chiave esclusiva dell’utente – Apple conserva quindi un accesso. Funzioni come iMessage e FaceTime restano cifrate end-to-end, ma, non appena le chat iMessage finiscono in un backup iCloud non crittografato, potrebbero teoricamente essere lette tramite l’accesso di Apple. In sintesi, Apple ha ritirato il livello più elevato di crittografia dei suoi servizi cloud nel Regno Unito. Ricercatori di sicurezza definiscono ciò un passo indietro per la protezione dei dati degli utenti locali. La disattivazione di ADP priva i clienti britannici di un importante meccanismo di difesa che li proteggeva sia da occhi governativi sia da criminali informatici.

Cosa significa per gli utenti?

Le conseguenze sono rilevanti:

  • I backup iCloud possono ora essere richiesti dalle forze dell’ordine o da altre autorità statali.
  • Chi si affidava alla protezione avanzata di Apple non può più attivarla in UK.
  • Le chat iMessage possono essere compromesse indirettamente tramite i backup iCloud, contenendo essi stessi i messaggi o le relative chiavi.
  • La decisione può fungere da modello per altri Paesi che volessero avanzare richieste analoghe ad Apple e ad altre aziende tech.
  • Gli utenti britannici che avevano già attivato la protezione avanzata dovranno presto disattivarla manualmente per continuare a usare iCloud.
  • Gli utenti di tutto il mondo potrebbero chiedersi se Apple agirà allo stesso modo in altri Paesi qualora aumentasse la pressione dei governi.

Quali dati sono ora vulnerabili?

Il cambiamento rende in particolare i contenuti iCloud sopra elencati più esposti ad accessi non desiderati. I backup iCloud sono considerati particolarmente sensibili: contengono copie complete del dispositivo, inclusi cronologie chat, foto, contatti e dati delle app. Le autorità di polizia potevano già in precedenza trovare copie dei messaggi iMessage in questi backup, poiché (senza ADP) non sono cifrati end-to-end – una falla che Apple stessa aveva riconosciuto e inteso colmare con ADP. Con la disattivazione di ADP, questi backup in UK rimangono accessibili. Apple può ora – dietro ordine del tribunale – decrittare e consegnare i dati dai backup iCloud. Foto private, documenti, note e memo vocali degli utenti britannici diventano quindi sostanzialmente reperibili dalle autorità.

Dal punto di vista della sicurezza informatica è allarmante: la stessa debolezza può essere sfruttata da criminali e hacker. Gli esperti avvertono che ogni backdoor creata intenzionalmente finirà prima o poi nelle mani di malintenzionati. Andrew Crocker della Electronic Frontier Foundation critica che la decisione di Apple lasci gli utenti britannici “in balia di attori malvagi”, privandoli di una tecnologia di tutela della privacy. Senza protezione end-to-end, i dati sono potenzialmente esposti in chiaro non solo alle autorità, ma anche in caso di furti di dati o falle di sicurezza sui server Apple. La rinuncia ad ADP comporta dunque un rischio maggiore che informazioni personali finiscano nelle mani sbagliate – tramite abusi interni, attacchi hacker o sorveglianza di massa.

USA: reazione dell’amministrazione Trump

L’ordine segreto del Regno Unito ad Apple di inserire una backdoor in iCloud ha suscitato forti tensioni a Washington. Il presidente USA Donald Trump ha criticato aspramente l’operato del governo britannico, paragonandolo ai regimi autoritari come la Cina. In un’intervista al settimanale politico britannico The Spectator Trump ha dichiarato di aver chiarito al primo ministro Keir Starmer che una simile misura è inaccettabile.

Apple aveva ricevuto agli inizi di febbraio un’ingiunzione segreta ai sensi del contestato Investigatory Powers Act (IPA). Fino a metà marzo 2025 Apple non poteva neppure confermare l’esistenza dell’ordine; dopo una decisione del Investigatory Powers Tribunal è ormai pubblico quantomeno il fatto che vi sia un procedimento in corso.

Caso Apple-FBI del 2016

Neppure gli USA, PRISM a parte, hanno le mani pulite in materia di privacy. Nel caso Apple-FBI del 2016, a seguito dell’attentato di San Bernardino l’FBI pretese che Apple sviluppasse un software speciale per disattivare le misure di sicurezza di un iPhone 5c appartenente a uno degli attentatori, al fine di accedere ai suoi dati. L’FBI sosteneva che fosse necessario per ottenere prove importanti, mentre Apple si rifiutò, poiché ciò avrebbe creato una backdoor mettendo a rischio la sicurezza di tutti gli utenti. Alla fine l’agenzia riuscì a sbloccare il dispositivo tramite un fornitore terzo e la richiesta ad Apple venne ritirata.

Affrontato durante l’incontro alla Casa Bianca

La questione è stata discussa anche a livello diplomatico. Trump ha recentemente ricevuto il primo ministro britannico Keir Starmer alla Casa Bianca; tra i temi l’Ucraina e un accordo commerciale bilaterale. In quell’occasione Trump ha sollevato direttamente la questione della richiesta britannica ad Apple. Il settimanale The Spectator, un tempo diretto da Boris Johnson, riferisce che il tema continua a suscitare controversie nei circoli conservatori del Regno Unito.
Il governo USA teme che l’azione britannica crei un precedente che faciliti ad altri Paesi richieste analoghe alle aziende tecnologiche.

L’ordine segreto britannico ad Apple di introdurre una backdoor in iCloud ha dunque sollevato dure critiche negli Stati Uniti. Trump ha pubblicamente contestato la mossa, paragonandola a misure autoritarie cinesi, e ha dichiarato a Starmer che non è accettabile.

L’amministrazione Trump sta verificando se il Regno Unito, con il suo operato, violi accordi bilaterali, in particolare il Cloud Act Agreement, che vieta di richiedere dati di cittadini statunitensi senza l’approvazione del governo USA. Se venisse accertata la violazione, potrebbero seguire conseguenze diplomatiche. Tulsi Gabbard, Director of National Intelligence (DNI), ha incaricato i legali di indagare. Una prima valutazione indica una possibile infrazione, secondo cui il Regno Unito non può richiedere i dati di cittadini USA senza il consenso di Washington.

Cosa possono fare gli utenti?

Le alternative per gli utenti sono limitate:

  • Non utilizzare più i backup iCloud in UK, ma creare backup locali.
  • Disattivare i backup iCloud dei messaggi se si desidera la massima protezione – solo così i contenuti di iMessage, WhatsApp & Co. restano davvero sui dispositivi e non sui server Apple.
  • Messenger open-source: per chat e chiamate si possono usare app come Signal o Element, che offrono anch’esse una forte crittografia end-to-end.
  • Usare, se possibile, servizi che continuano a garantire una crittografia end-to-end robusta.
  • Informarsi su alternative ai servizi cloud di Apple e Google meno soggette a ingerenze statali.
  • Esercitare pressione politica per rafforzare i diritti alla privacy anche negli Stati democratici.
  • VPN e servizi di comunicazione sicuri: sebbene la legge britannica miri più ai dati archiviati, rafforzare tutta la propria comunicazione non guasta.

Sviluppi più recenti (marzo 2025)

Sospetto di ordini segreti di backdoor anche per Google (Technical Capability Notice, TCN)

  • Secondo un articolo di heise online (18 marzo 2025), ci sono indizi che non solo Apple, ma anche Google abbia ricevuto una TCN segreta ai sensi dell’IPA. Apple e Google hanno comunicato all’ufficio del senatore USA Ron Wyden che, “in caso di necessità”, non possono dire se abbiano ricevuto una TCN – chiaro indizio di un ordine in corso.
  • Le TCN obbligano le aziende a garantire la “technical capability” necessaria per rendere accessibili contenuti cifrati su richiesta. Il destinatario non può né confermare né smentire pubblicamente la loro esistenza.

Apple fa causa contro l’ordine segreto

  • Apple ha presentato ricorso ufficiale al Investigatory Powers Tribunal (IPT) contro la TCN. L’obiettivo è contestare la backdoor richiesta in quanto sproporzionata e pericolosa per la sicurezza dei dati.

Pressioni bipartitiche dagli USA

  • Una lettera aperta bipartisan del senatore Ron Wyden e di altri quattro firmatari chiede all’IPT di allentare almeno verso le aziende USA il segreto sulle TCN, in modo che i loro esperti di sicurezza possano esaminarne i requisiti tecnici. I senatori avvertono che le backdoor obbligate minacciano la sicurezza nazionale USA e limitano i diritti di parola e privacy.

Il tribunale revoca il segreto su alcuni dettagli del procedimento

  • Con una decisione interlocutoria del 17 marzo 2025, l’IPT ha respinto una richiesta del Ministero dell’Interno britannico: l’esistenza del procedimento Apple v. Home Office e i nomi delle parti possono ora essere resi pubblici. I dettagli restano riservati, ma si tratta di una vittoria parziale per la trasparenza e per la libertà di comunicazione di Apple.

Conseguenze per l’articolo:

  • Si conferma che Apple non è “un caso isolato”.
  • Il contenzioso legale non è più del tutto segreto; Apple può almeno confermare di aver presentato ricorso.
  • Utenti e osservatori potranno seguire il procedimento, almeno in parte, pubblicamente.

Parole finali

Il caso dimostra ancora una volta che anche gli Stati democratici esercitano una pressione crescente sulle aziende tecnologiche per indebolire la crittografia e ottenere accesso ai dati privati. Apple ha scelto un percorso pragmatico – “il male minore” – disattivando la crittografia end-to-end per gli utenti britannici. Il problema vero, però, non risiede in Apple, bensì nelle decisioni politiche prese nel Regno Unito e, verosimilmente, presto in altri Paesi.

Per gli utenti si tratta di un chiaro avvertimento: i dati nel cloud non sono automaticamente al sicuro. La crittografia rimane uno dei pochi strumenti efficaci per proteggere la privacy digitale. Al contempo, cresce il dubbio su quanti fornitori abbiano già introdotto backdoor sotto pressione politica.

Si tratta senza dubbio di un tema complesso che l’utente medio fatica a comprendere dal punto di vista tecnico. Io stesso mi rendo conto di vivere in una “tech bubble” – così come il mio stretto giro di amici. Proprio per questo ritengo essenziale discutere l’argomento in modo aperto e comprensibile.

Il caso della disattivazione della crittografia end-to-end per gli utenti iCloud britannici mostra chiaramente lo scontro tra esigenze di sorveglianza statale e privacy digitale. L’indebolimento tecnico della crittografia apre l’accesso a dati sensibili non solo alle autorità, ma anche ad altri attori potenzialmente malevoli. Sorge dunque la domanda decisiva: quanta sorveglianza può sopportare una società democratica senza mettere a rischio la propria libertà?

Gli utenti dovrebbero proteggere i loro dati in modo più consapevole e, al tempo stesso, impegnarsi a livello sociale: informarsi, sensibilizzare e difendere i diritti digitali. Il precedente britannico ricorda chiaramente che la privacy non è scontata. Sicurezza e privacy non sono opposti, bensì pilastri essenziali di una democrazia funzionante – vale la pena lottare per mantenerne l’equilibrio.

© 2025 trueNetLab