L’annuncio è risuonato come un vero “grido di indipendenza” nei corridoi di Parigi: il Primo Ministro ha ordinato al governo di abbandonare WhatsApp e Signal a favore di Olvid, un’app di messaggistica presentata come “nazionale”. L’obiettivo era chiaro: proteggere i segreti di Stato dalla lunga mano delle agenzie di intelligence straniere.
Tuttavia, è emersa rapidamente un’amara ironia: il cuore di Olvid — la sua infrastruttura di server — batte all’interno di Amazon Web Services (AWS), un colosso americano.
Per il grande pubblico, questa sembra essere una semplice questione tecnica di hosting. Ma per gli architetti della sicurezza informatica sovrana, si tratta di una vulnerabilità politica di prim’ordine.
Extraterritorialità e Conflitto di Sovranità
Affidandosi all’infrastruttura di Amazon, Olvid entra automaticamente nell’orbita del CLOUD Act statunitense.
L’analisi legale di questo caso rivela uno scenario di insicurezza giurisdizionale che la semplice adozione di un’“app” nazionale non risolve affatto. Il punto di non ritorno risiede nel concetto di “controllo” contro “localizzazione”.
Il CLOUD Act ha cambiato radicalmente il paradigma legale stabilendo che la posizione fisica del server non ha importanza. L’obbligo di cooperazione del fornitore di servizi (qui, AWS) deriva unicamente dal suo legame giurisdizionale con gli Stati Uniti.
Legalmente, ciò crea un conflitto frontale con il GDPR. La Corte di Giustizia dell’Unione Europea ha già stabilito che le leggi di sorveglianza statunitensi non offrono un livello di protezione equivalente a quello europeo.
La sovranità digitale non è un attributo del software, ma una proprietà dell’integrità della catena di custodia.
Lo Spettro del FISA e la Falsa Promessa della Crittografia
Peggio ancora, questa dipendenza dall’infrastruttura americana pone questi dati sotto l’ombra del Foreign Intelligence Surveillance Act (FISA).
Di fronte a queste minacce, Olvid afferma che la sua crittografia end-to-end costituisce uno scudo sufficiente. Dal punto di vista dell’ingegneria della privacy, questa difesa è pericolosamente parziale.
Anche se il contenuto di un messaggio è crittografato, l’infrastruttura centralizzata di AWS espone i metadati. Sapere chi parla con chi, quando, quanto spesso e da dove è spesso molto più prezioso per l’intelligence straniera del contenuto del messaggio stesso.
La crittografia protegge il testo, ma il server centralizzato tradisce la rete di contatti.
Il Vero Pericolo Deve Ancora Venire
Finché l’infrastruttura europea dipenderà da entità soggette a statuti extraterritoriali, la sicurezza legale delle nostre comunicazioni rimarrà puramente temporanea e illusoria.
La sicurezza nazionale nel 21° secolo richiede molto di più di buone intenzioni legislative: richiede una totale indipendenza dell’infrastruttura e dell’hardware. Perché la strategia “Raccogli ora, decrittografa dopo” è la minaccia più devastante del prossimo decennio.
Un segreto di Stato intercettato oggi non è altro che una bomba a orologeria matematica.
(Leggi il resto della nostra analisi nella Parte 2: La Bomba a Orologeria e l’Imperativo Zero-Knowledge)