GrapheneOS sta lasciando la Francia per motivi di sicurezza e legali, tra cui le pressioni del governo per una backdoor per la crittografia. Ecco cosa è successo e perché è importante.

Cosa è successo con GrapheneOS in Francia?

Il 24 novembre 2025, GrapheneOS ha annunciato su X(nuova finestra) di aver rimosso tutti i server attivi dalla Francia e di essere in procinto di terminare il suo rapporto con il provider di hosting OVHcloud. “La Francia non è un paese sicuro per i progetti open source incentrati sulla privacy”, ha dichiarato il team, indicando quelle che descrive come le aspettative delle autorità francesi per le backdoor di crittografia.

Questa decisione arriva mentre la Francia diventa uno dei più accesi sostenitori della proposta di legge Controllo Chat dell’UE, che mira a costringere le piattaforme online e i servizi di messaggistica a scansionare automaticamente chat private, immagini e media alla ricerca di materiale pedopornografico (CSAM) e contenuti di adescamento. A marzo, l’Assemblea Nazionale francese ha respinto una proposta(nuova finestra) che avrebbe richiesto a servizi di comunicazione sicuri come Signal di indebolire o rimuovere la loro crittografia end-to-end.

La crittografia end-to-end (E2EE) significa che solo il mittente e il destinatario possono leggere il contenuto di un messaggio, non il fornitore del servizio o altre terze parti, incluse autorità governative o cybercriminali.

Oltre alle backdoor per la crittografia, ci si chiede sempre più se l’azienda francese OVHcloud possa garantire la sovranità dei dati. Un tribunale canadese(nuova finestra) ha tentato di costringere l’azienda a consegnare i dati dei clienti archiviati su server europei utilizzando la sua filiale canadese, di fatto aggirando i consueti canali legali tra governi.

Cos’è GrapheneOS e perché le persone lo usano?

GrapheneOS è un sistema operativo non-profit, open-source e basato su Android, utilizzato da molte persone in cerca di maggiore privacy, sicurezza e controllo. Ecco alcuni dei motivi per cui le persone lo preferiscono all’Android di Google:

  • Nessuna raccolta di dati in background, tracciamento o telemetria integrati di Google. Questo significa che il tuo dispositivo non invia dati di utilizzo, diagnostica o informazioni comportamentali a Google o ai suoi partner.
  • ID pubblicitario disabilitato per impostazione predefinita. L’ID pubblicitario è un identificatore unico assegnato al tuo dispositivo da Android che consente agli esperti di marketing di tracciarti per annunci mirati.
  • Nessun bloatware, come le app installate dal produttore o dall’operatore.
  • Nessuna app forzata che non puoi disinstallare, come l’Assistente Google o Gemini.
  • Nessun invito a vincolarsi a Google, come notifiche persistenti che incoraggiano l’uso dei servizi Google. Puoi anche usare GrapheneOS senza un account Google.
  • Nessuna integrazione cloud predefinita come il backup automatico di Google Foto.
  • Controlli avanzati dei permessi per la privacy, come una migliore protezione contro gli exploit zero-day.
  • Regole di sicurezza più rigide che controllano il comportamento delle app, come il sandboxing che impedisce alle app di accedere ai dati di altre app o alle risorse di sistema senza un’autorizzazione esplicita.

Perché le backdoor per la crittografia sono pericolose

GrapheneOS protegge i dispositivi mobili utilizzando la crittografia dell’intero disco per mettere in sicurezza tutti i dati, inclusi metadati come nomi dei file e timestamp. Una backdoor per la crittografia significherebbe aggiungere un metodo segreto che le forze dell’ordine potrebbero usare per sbloccare i dati crittografati senza il tuo consenso, PIN o volto.

Il problema di una backdoor per la crittografia è che, una volta che esiste, può essere scoperta, usata in modo improprio o sfruttata da chiunque la trovi, inclusi i cybercriminali. Questo mette tutti a rischio, non solo le persone oggetto di un’indagine, ed è per questo che i sostenitori della privacy si oppongono costantemente.

Perché GrapheneOS afferma che una backdoor è tecnicamente impossibile

Secondo GrapheneOS, recenti commenti pubblici e promemoria interni che circolano tra le forze dell’ordine francesi includevano avvisi di trattare i dispositivi Google Pixel come “altamente sospetti” e quella che il progetto definisce disinformazione su GrapheneOS.

GrapheneOS spiega che, anche se volesse, introdurre una backdoor per la crittografia è tecnicamente impossibile a causa dell’elemento sicuro hardware del telefono, che impone una rigorosa catena di fiducia. Solo il firmware firmato correttamente può essere eseguito e qualsiasi modifica non autorizzata farebbe fallire la verifica del dispositivo. Inoltre, le protezioni applicate a livello hardware limitano il numero di tentativi di sblocco e introducono ritardi tra di essi, prevenendo gli attacchi di forza bruta.

GrapheneOS non è la sola a rifiutarsi di creare backdoor per la crittografia

Anche le principali aziende tecnologiche hanno subito pressioni per indebolire la crittografia e si sono rifiutate. Ecco un paio di esempi recenti:

  • Nel 2023, quando il Regno Unito stava promuovendo l’Online Safety Bill, Signal ha dichiarato(nuova finestra) che preferirebbe chiudere il suo servizio in una giurisdizione che tradisce la fiducia dei suoi utenti piuttosto che conformarsi a una legge che introdurrebbe backdoor o funzionalità che abilitano la sorveglianza.
  • Nel 2025, il governo del Regno Unito ha di fatto costretto Apple a scegliere tra creare una backdoor per la crittografia e rimuovere la crittografia end-to-end per alcuni servizi. Apple ha scelto di ritirare la Protezione avanzata dati (ADP) — una funzionalità che estende la crittografia end-to-end a diversi servizi iCloud, inclusi backup, foto, note e file — piuttosto che compromettere il suo modello di sicurezza. Apple ha successivamente presentato un ricorso legale contro la richiesta del governo del Regno Unito.

Quando i governi indeboliscono la privacy, il prezzo lo paghi tu

La posizione della Francia contro le aziende che mettono la privacy al primo posto e i progetti open-source invia un messaggio più ampio: operate qui e dateci accesso ai vostri dati, oppure andatevene.

Quando piattaforme sicure come GrapheneOS scelgono di rimanere fedeli ai propri principi di sicurezza e di ritirare la propria infrastruttura dal paese, le persone stesse che servono alla fine perdono l’accesso agli strumenti progettati per proteggerle da violazioni dei dati, furto d’identità e censura di stato.

In Proton, una forte crittografia e la privacy online sono fondamentali per la nostra missione. Senza di esse, non saremmo in grado di fornire alla nostra community posta elettronica sicura, V(nuova finestra)P(nuova finestra)N(nuova finestra), archiviazione cloud o gestione delle password.