Perché il governo inglese ha chiesto ad Apple di poter accedere ai dati degli utenti?
Secondo il Washington Post, il governo inglese avrebbe chiesto ad Apple di inserire nel proprio sistema iCloud una backdoor per consentire a servizi di intelligence e forze dell'ordine britannici di accedere ai dati di tutti gli utenti del servizio, compresi quelli memorizzati adottando il servizio di sicurezza avanzato offerto dalla società
Secondo il Washington Post, il governo inglese avrebbe chiesto ad Apple di inserire nel proprio sistema iCloud una backdoor per consentire a servizi di intelligence e forze dell’ordine britannici di accedere ai dati di tutti gli utenti del servizio, compresi quelli memorizzati adottando il servizio di sicurezza avanzato offerto dalla società
Coperta dal fragore mediatico suscitato dalla vicenda del software spia Paragon, è passata quasi inosservata la notizia che UK avrebbe chiesto ad Apple di creare una backdoor nel suo noto e usatissimo sistema di archiviazione iCloud, backdoor che consentirebbe al governo inglese di spiare chiunque abbia i propri dati salvati sul cloud della casa di Cupertino, che sia cittadino inglese o meno.
Risale al 31 gennaio scorso il tweet con il quale il direttore della testata Fanpage, Francesco Cancellato, informava pubblicamente di essere rimasto vittima di uno spionaggio illecito condotto tramite lo spyware Graphite, prodotto dalla società israeliana Paragon e venduto solo ad enti e agenzie governative.
Oggi sono stato avvisato da Meta di essere uno dei circa 90 giornalisti spiati con il software spia di #Paragon Solutions. Qui l'articolo che abbiamo scritto sulla vicenda. Sarà nostro interesse che sia fatta massima chiarezza sull'accadutohttps://t.co/SntJZPltRa
— Francesco Cancellato (@fcancellato) January 31, 2025
Malgrado la smentita del Governo, il sospetto che il governo possa aver utilizzato il sw Paragon per spiare propri cittadini sui quali non è in corso nessuna indagine giudiziaria ha infiammato il dibattito politico italiano, fino a oltrepassare i confini nazionali: il Guardian, ad esempio, si è occupato della vicenda il 6 febbraio riportando l’opinione di una esperto rimasto nell’anonimato secondo il quale il comportamento dell’Italia avrebbe comportato la violazione del codice etico di Paragon e la conseguente rescissione del contratto col Governo italiano.
Sul tema dello “spionaggio governativo”, tuttavia, è dovuto tornare lo stesso Guardian, il giorno successivo, ma per una notizia che coinvolge quello inglese e che, per pervasività ed estensione, avrebbe potuto far passare in secondo piano lo scandalo Paragon se da questo non fosse stata messa, paradossalmente, in un cono d’ombra: il governo inglese avrebbe chiesto ad Apple di modificare il proprio servizio iCloud in maniera da consentirgli l’accesso ai dati criptati di tutti gli utenti del servizio. E tutti significa tutti.
La richiesta del governo inglese ad Apple
A darne la notizia per primo è stato, nello stesso giorno, un articolo del Washington Post che già nel titolo (“U.K. orders Apple to let it spy on users’ encrypted accounts“) anticipava senza giri di parole il fatto: il governo inglese avrebbe chiesto ad Apple di inserire nel proprio sistema iCloud una backdoor per consentire a servizi di intelligence e Forze dell’Ordine britannici di accedere ai dati di tutti gli utenti del servizio, compresi quelli memorizzati adottando il servizio di sicurezza avanzato offerto dalla Apple denominato Advanced Data Protection.
La richiesta è stata fatta sulla base della legge inglese Investigatory Powers Act (IPA)del 2016 che autorizza le Forze dell’Ordine a richiedere ai provider di servizi quali Apple non solo la piena collaborazione nelle indagini, fornendo loro qualsiasi dato richiesto ma anche la rimozione o la modifica di sistemi di protezione elettronica delle informazioni, ipotesi disciplinata dalle Section 253, part 5(c) dell’IPA.
La stessa legge obbliga, inoltre, Apple a mantenere assoluta riservatezza sulle richieste pervenute e le vieta di avvisare gli utenti che, anche adottando il servizio di crittografia avanzata Advanced Data Protection, non sarebbe comunque garantita la piena confidenzialità dei dati.
Nei fatti, ciò dimostra la volontà del governo Starmer di proseguire nella stessa linea impostata dal precedente esecutivo Sunak con la bozza di revisione dell’Investigatory Power Act (di cui i lettori di StatMag avevano potuto leggere in questo articolo).
La stessa Apple, consultata insieme ad altri fornitori di servizi in occasione dei lavori preparatori della bozza di revisione, a Marzo 2024 aveva già espresso con un memorandum una decisa contrarietà al progetto di legge, sollevando, tra le altre, la questione della extraterritorialità e affermando che “There is no reason why the UK [government] should have the authority to decide for citizens of the world whether they can avail themselves of the proven security benefits that flow from end-to-end encryption” e ventilando l’ipotesi di sospendere i propri servizi verso gli utenti UK pur di non sottostare alle richieste del governo inglese.
D’altro canto, già nel 2023 il governo inglese aveva chiesto ad Apple l’accesso alle informazioni scambiate con iMessage e alle chiamate FaceTime, entrambi protetti da crittografia end-to-end. Anche in quell’occasione, Apple aveva minacciato di sospendere i servizi dal Paese piuttosto che modificare la propria politica di riservatezza. In quella occasione il Governo inglese aveva poi fatto marcia indietro, parlando di un semplice “rinvio” della misura.
Apple ha ora il diritto di appellarsi alla richiesta del governo inglese ma un eventuale ricorso al giudice non sospenderebbe l’efficacia del provvedimento, costringendola ad adempiere comunque fino a un eventuale decisione di accoglimento della sua istanza.
Cos’è la funzionalità Advanced Data Protection di iCloud
La funzionalità Advanced Data Protection di Apple è un’opzione di sicurezza aggiuntiva disponibile per gli utenti dal 2022 a partire dalla versione 16 di iOS e che offre un livello opzionale di protezione superiore per i dati archiviati in iCloud.
Questa funzionalità aggiunge, infatti, la crittografia end-to-end a una vasta gamma di dati, inclusi backup di iCloud, foto, note e altro. Ciò significa che solo l’utente, e nessun altro, può accedere a questi dati, poiché le chiavi di crittografia non vengono scambiate con Apple.
Quando la Advanced Data Protection è attiva, i dati vengono crittografati sul dispositivo dell’utente prima di essere inviati a iCloud. Le chiavi di crittografia necessarie per decrittografare i dati rimangono esclusivamente sui dispositivi registrati dell’utente.
Ciò significa che nemmeno Apple può accedere ai dati, garantendo la massima privacy e confidenzialità perché i dati rimarrebbero protetti anche in caso di data breach di iCloud da parte di hacker oppure, come dimostra la richiesta del governo inglese, da parte di soggetti “terzi”. Almeno fino ad oggi.
Le reazioni
Come era facile attendersi, né il Governo inglese né la Apple hanno voluto rilasciare dichiarazioni di commento rispetto alle questioni svelate dall’articolo del Washington Post.
Nessun commento neanche da parte di agenzie di sicurezza e forze dell’ordine USA che sul tema si trovano ora di fronte a due esigenze contrapposte: da una parte, come i loro omologhi inglesi, hanno in passato più volte manifestato l’esigenza di avere un passpartout per poter “aprire” le comunicazioni criptate end-to-end al fine di combattere le organizzazioni criminali che sempre più spesso ne fanno uso. Ma dall’altra parte considerano la stessa tecnologia indispensabile per mettere al riparo le comunicazioni da ascolti di soggetti “esterni” non autorizzati.
Sulla scelta tra le due tesi non sembrano avere dubbi gli esperti USA di Cybersecurity che stanno spingendo le istituzioni USA a sposare senza indugi la posizione favorevole alla crittografia end-to-end, al punto da arrivare a dichiarare “encryption is your friend“.
Al di fuori degli ambiti istituzionali va rilevata la presa di posizione contraria al governo inglese della Computer & Communications Industry Association, associazione che raggruppa molti grandi fornitori di servizi e tecnologia, che in un sintetico comunicato del proprio presidente ha censurato la richiesta del Governo inglese concludendo con: “Decisions about Americans’ privacy and security should be made in America, in an open and transparent fashion, not through secret orders from abroad requiring keys be left under doormats.”
