GrapheneOS sta lasciando la Francia per preoccupazioni legali e di sicurezza, inclusa la pressione del governo per una backdoor di crittografia. Ecco cosa è successo e perché è importante.

Cosa è successo con GrapheneOS in Francia?

Il 24 novembre 2025, GrapheneOS ha annunciato su X(nuova finestra) di aver rimosso tutti i server attivi dalla Francia e di essere in procinto di terminare il suo rapporto con il provider di hosting OVHcloud. “La Francia non è un paese sicuro per i progetti di privacy open source”, ha affermato il team, indicando quelle che descrive come le aspettative delle autorità francesi per le backdoor di crittografia.

Questa decisione arriva mentre la Francia diventa uno dei sostenitori più accesi della proposta legislativa EU Chat Control, che mira a costringere le piattaforme online e i servizi di messaggistica a scansionare automaticamente chat private, immagini e media alla ricerca di materiale pedopornografico (CSAM) e contenuti di adescamento. A marzo, l’Assemblea nazionale francese ha respinto una proposta(nuova finestra) che avrebbe richiesto a servizi di comunicazione sicuri come Signal di indebolire o rimuovere la loro crittografia end-to-end.

La crittografia end-to-end (E2EE) significa che solo il mittente e il destinatario possono leggere il contenuto di un messaggio — non il fornitore del servizio o altre terze parti, incluse le autorità governative o i criminali informatici.

Oltre alle backdoor di crittografia, ci sono crescenti interrogativi sul fatto che l’azienda francese OVHcloud possa garantire la sovranità dei dati. Un tribunale canadese(nuova finestra) ha tentato di costringere l’azienda a consegnare i dati dei clienti archiviati su server europei utilizzando la sua filiale canadese — aggirando di fatto i consueti canali legali tra governi.

Cos’è GrapheneOS e perché le persone lo usano?

GrapheneOS è un sistema operativo nonprofit, open source e basato su Android utilizzato da molte persone che cercano maggiore privacy, sicurezza e controllo. Ecco alcuni dei motivi per cui le persone lo preferiscono all’Android di Google:

  • Nessuna raccolta dati in background, tracciamento Google o telemetria integrati. Ciò significa che il tuo dispositivo non invia dati di utilizzo, diagnostica o informazioni comportamentali a Google o ai suoi partner.
  • ID pubblicitario disabilitato per impostazione predefinita. L’ID pubblicitario è un identificatore unico assegnato al tuo dispositivo da Android che consente agli operatori di marketing di tracciarti per annunci mirati.
  • Nessun bloatware, come app installate dal produttore o dall’operatore.
  • Nessuna app forzata che non puoi disinstallare, come Google Assistant o Gemini.
  • Nessun prompt di lock-in di Google, come notifiche persistenti che incoraggiano i servizi Google. Puoi anche utilizzare GrapheneOS senza un account Google.
  • Nessuna integrazione cloud predefinita come il backup automatico di Google Foto.
  • Controlli avanzati dei permessi per la privacy, come una migliore protezione contro gli exploit zero-day.
  • Regole di sicurezza più rigorose che controllano il comportamento delle app, come il sandboxing che impedisce alle app di accedere ai dati di altre app o alle risorse di sistema senza esplicito permesso.

Perché le backdoor di crittografia sono pericolose

GrapheneOS protegge i dispositivi mobili utilizzando la crittografia completa del disco per proteggere tutti i dati, compresi i metadati come i nomi dei file e le marche temporali. Una backdoor di crittografia significherebbe aggiungere un metodo segreto che le forze dell’ordine potrebbero utilizzare per sbloccare i dati crittografati senza il tuo consenso, PIN o volto.

Il problema con una backdoor di crittografia è che, una volta che esiste, può essere scoperta, usata impropriamente o sfruttata da chiunque la trovi, inclusi i criminali informatici. Questo mette tutti a rischio, non solo le persone oggetto di un’indagine, motivo per cui i sostenitori della privacy si oppongono costantemente ad essa.

Perché GrapheneOS afferma che una backdoor è tecnicamente impossibile

Secondo GrapheneOS, recenti commenti pubblici e note interne che circolano tra le forze dell’ordine francesi includevano avvisi di trattare i dispositivi Google Pixel come “altamente sospetti” e ciò che il progetto definisce come disinformazione su GrapheneOS.

GrapheneOS spiega che, anche se volesse, introdurre una backdoor di crittografia è tecnicamente impossibile a causa dell’elemento sicuro hardware del telefono, che impone una rigorosa catena di fiducia. Solo il firmware correttamente firmato è autorizzato a funzionare e qualsiasi modifica non autorizzata farebbe fallire la verifica del dispositivo. Inoltre, le protezioni imposte dall’hardware limitano il numero di tentativi di sblocco e introducono ritardi tra di essi, impedendo gli attacchi di forza bruta.

GrapheneOS non è sola nel rifiutarsi di creare backdoor di crittografia

Anche le principali aziende tecnologiche hanno subito pressioni per indebolire la crittografia e si sono rifiutate. Ecco un paio di esempi recenti:

  • Nel 2023, quando il Regno Unito stava portando avanti l’Online Safety Bill, Signal ha detto(nuova finestra) che avrebbe preferito chiudere il suo servizio in una giurisdizione che tradisce la fiducia dei suoi utenti piuttosto che conformarsi a una legge che introdurrebbe backdoor o funzionalità che consentono la sorveglianza.
  • Nel 2025, il governo del Regno Unito ha di fatto costretto Apple a scegliere tra creare una backdoor di crittografia e rimuovere la crittografia end-to-end per determinati servizi. Apple ha scelto di ritirare l’Advanced Data Protection (ADP) — una funzionalità che estende la crittografia end-to-end a diversi servizi iCloud, inclusi backup, foto, note e file — piuttosto che compromettere il suo modello di sicurezza. Apple ha successivamente presentato una contestazione legale contro la richiesta del governo del Regno Unito.

Quando i governi indeboliscono la privacy, paghi tu il prezzo

La posizione della Francia contro le aziende che mettono la privacy al primo posto e i progetti open source invia un messaggio più ampio: operate qui e dateci accesso ai vostri dati, o andatevene.

Quando piattaforme sicure come GrapheneOS scelgono di restare ferme con i loro principi di sicurezza intatti e ritirano la loro infrastruttura dal paese, le persone che servono finiscono per perdere l’accesso agli strumenti progettati per proteggerle da violazioni dei dati, furto di identità e censura di stato.

In Proton, una forte crittografia e la privacy online sono fondamentali per la nostra missione. Non saremmo in grado di fornire alla nostra comunità posta elettronica sicura, V(nuova finestra)P(nuova finestra)N(nuova finestra), archiviazione cloud o gestione delle password senza di esse.