Londra è diventata l’epicentro di una battaglia globale per il futuro della privacy digitale. Con l’adozione dell’Online Safety Act 2023 (OSA) e le recenti proposte di revisione dell’Investigatory Powers Act (IPA) — soprannominato dai suoi detrattori la “Carta delle spie” —, il governo britannico rivendica il diritto di imporre obblighi di sorveglianza nel cuore stesso delle comunicazioni private. Il punto di rottura è il potere conferito al regolatore OFCOM di esigere che le piattaforme implementino una “tecnologia accreditata” per rilevare contenuti di abusi sessuali su minori (CSEA) o terrorismo, anche all’interno delle comunicazioni crittografate end-to-end.
Per le grandi piattaforme digitali, il messaggio di Westminster è inequivocabile: o facilitano l’accesso statale alle loro infrastrutture, o affrontano multe fino al 10% delle loro entrate globali. La risposta è stata immediata: servizi come Signal e WhatsApp hanno pubblicamente minacciato di ritirarsi dal mercato britannico, rifiutandosi di compromettere la sicurezza dei propri utenti per soddisfare una singola giurisdizione. L’argomento tecnico è difficile da contestare: non esiste una chiave master (master key) riservata esclusivamente agli attori legittimi. Una porta aperta per le forze dell’ordine è, per progettazione, una porta aperta per i criminali informatici e i servizi segreti stranieri.
Il modello di business delle grandi piattaforme: un ostacolo strutturale alla Zero-Knowledge
La resistenza delle grandi piattaforme all’adozione della crittografia di tipo Zero-Knowledge non è spiegata da un’incapacità tecnica, ma da una fondamentale incompatibilità economica. Aziende come Alphabet e Meta si basano su modelli di monetizzazione fondati sulla raccolta sistematica di dati comportamentali. Questo modello è, peraltro, implicitamente riconosciuto dal Digital Markets Act (DMA) dell’Unione Europea, che classifica questi “guardiani” (gatekeepers) come entità la cui posizione dominante è alimentata proprio dall’accumulo di dati su scala ineguagliabile. Per questi attori, adottare un’architettura Zero-Knowledge significherebbe privare i propri sistemi pubblicitari della continua identificazione degli utenti che ne costituisce il carburante. Non si tratta quindi di una scelta tecnica, ma di un compromesso tra la privacy degli utenti e la redditività del loro modello di business.
Il rischio strategico: la minaccia “Harvest Now, Decrypt Later”
Al di là del dibattito sulla privacy, l’indebolimento della crittografia solleva una questione di sicurezza nazionale di tutt’altra portata. La strategia nota come Harvest Now, Decrypt Later (HNDL) prevede che avversari statali intercettino e memorizzino oggi enormi volumi di comunicazioni crittografate, in previsione di future capacità di decrittazione quantistica. Indebolendo gli attuali standard di crittografia, il quadro legislativo britannico facilita oggettivamente questo tipo di operazioni contro comunicazioni governative, diplomatiche o industriali.
È proprio in questo contesto di deficit di fiducia che ecosistemi come quello di Arpokrat acquisiscono rilevanza operativa. Operando sotto il regime della Legge federale svizzera sulla protezione dei dati (LPD/FADP), con un’architettura che non raccoglie alcun identificatore civile, Arpokrat offre una rottura tecnica rispetto alle infrastrutture soggette alla giurisdizione britannica — garantendo che il sistema rimanga sordo alle ingiunzioni previste dall’OSA.
Il conflitto di norme: OSA e IPA contro il diritto europeo
L’analisi giuridica delle nuove prerogative statali britanniche rivela una collisione diretta con i fondamenti del diritto europeo in materia di protezione dei dati e riservatezza delle comunicazioni.
OSA contro il divieto di sorveglianza generalizzata
L’articolo 121 dell’OSA introduce la possibilità per l’OFCOM di emettere ingiunzioni che costringono le piattaforme a implementare la scansione lato client (client-side scanning). Questa misura contravviene frontalmente al principio, derivato dal diritto europeo e incluso nella giurisprudenza della CGUE, che vieta obblighi generali di sorveglianza. Imponendo una “vulnerabilità by design”, pone inoltre le aziende in una situazione di doppio vincolo: indebolendo la loro sicurezza per conformarsi a un mandato statale, vengono meno al loro obbligo di garantire un livello di sicurezza adeguato al trattamento, sancito dall’articolo 32 del GDPR.
La Direttiva ePrivacy e la riservatezza delle comunicazioni
La scansione dei messaggi privati è in diretta contraddizione con l’articolo 5, paragrafo 1, della Direttiva 2002/58/CE (ePrivacy), che obbliga gli Stati membri a garantire la riservatezza delle comunicazioni elettroniche e vieta qualsiasi forma di intercettazione o sorveglianza senza il consenso esplicito degli utenti interessati.
I Technical Capability Notices e il blocco degli aggiornamenti di sicurezza
Sotto il regime dell’IPA 2016, il governo britannico intende ora utilizzare i Technical Capability Notices (TCN) per opporsi agli aggiornamenti di sicurezza prima della loro implementazione. Questo meccanismo crea un conflitto irrisolvibile con l’obbligo, stabilito dall’articolo 32 del GDPR, di garantire la sicurezza continua dei sistemi di elaborazione — un obbligo che richiede proprio la capacità di applicare patch senza ritardi o interferenze esterne.
Rischi di conformità per le aziende che operano in Europa
Le revisioni dell’IPA mirano a costringere le aziende a notificare al governo britannico qualsiasi modifica tecnica che influisca sulla sicurezza, prima della sua implementazione, concedendogli così un diritto di veto sullo sviluppo del prodotto. Questa ingerenza crea una notevole insicurezza giuridica per i fornitori che operano nel mercato europeo: l’adeguatezza britannica al diritto europeo — già fragile — potrebbe essere messa in discussione se il Regno Unito non garantisse più una protezione sostanzialmente equivalente a quella del GDPR. Di conseguenza, i trasferimenti di dati verso il Regno Unito in questo nuovo quadro normativo esporrebbero verosimilmente le aziende a sanzioni ai sensi del GDPR.
La difesa attraverso l’impossibilità tecnica: il principio Zero-Knowledge come scudo legale
La giurisprudenza internazionale, consolidata dalle sentenze Schrems I e Schrems II della CGUE, ha stabilito un principio determinante: l’unica salvaguardia solida contro una sorveglianza sproporzionata è l’impossibilità tecnica di accedervi. Le architetture Zero-Knowledge declinano questo principio in tre livelli di protezione:
- Assenza di custodia: non detenendo la piattaforma le chiavi di decrittazione, qualsiasi ingiunzione di scansionare i messaggi è tecnicamente inoperante;
- Sovranità del sistema operativo: il controllo di ArpokratOS elimina la telemetria che alimenta la raccolta di intelligence a livello di dispositivo;
- Ancoraggio giurisdizionale svizzero: ospitando la propria infrastruttura in Svizzera, Arpokrat opera in un regime legale che richiede richieste individualizzate e motivate di assistenza giudiziaria, neutralizzando l’esecuzione automatizzata delle scansioni di massa previste dall’OSA.
Conclusione
Le disposizioni dell’OSA e le revisioni dell’IPA non costituiscono solo una minaccia per la privacy degli individui: rappresentano una rottura della certezza del diritto per tutti i dati europei che transitano attraverso infrastrutture soggette alla giurisdizione britannica. Legittimando l’indebolimento della crittografia in nome della sicurezza pubblica, Londra espone paradossalmente i suoi alleati e partner commerciali a rischi di spionaggio industriale e statale che le architetture Zero-Knowledge sono progettate proprio per prevenire.
L’integrità delle comunicazioni professionali e istituzionali richiede ora una risposta strutturale: la migrazione verso ecosistemi decentralizzati che garantiscano la sovranità digitale, dal livello del codice fino all’ancoraggio giurisdizionale.