Una recente inchiesta di TechCrunch rivela che Microsoft ha fornito al FBI un set di chiavi di recupero BitLocker per sbloccare i laptop di alcuni sospetti. La richiesta è giunta in risposta a un mandato valido emesso lo scorso anno, relativo a tre dispositivi coinvolti in un’indagine su frodi nel programma di assistenza per la disoccupazione da Covid-19 nell’isola di Guam.
Il caso di Guam e la policy di Microsoft
Nel caso specifico, il governo ha ottenuto legalmente l’accesso alle chiavi BitLocker memorizzate sui server Microsoft. Questo meccanismo, sebbene utile in caso di smarrimento della password, introduce una potenziale vulnerabilità in termini di privacy e autorizzazione legale.
Come confermato da Microsoft, l’azienda risponde a richieste legittime e riceve circa 20 richieste di questo tipo all’anno.
Confronto con Apple e Meta: le differenze architetturali
A differenza di Microsoft, Apple e Meta adottano modelli in cui la chiave di criptazione può essere memorizzata in un’area cloud, ma in forma cifrata da una password dell’utente. Ciò significa che l’autorità governativa non può ottenere accesso diretto, rendendo di fatto impossibile la consegna automatica delle chiavi. Esperti come Matt Green sottolineano che Microsoft ha scelto un modello con accesso più vulnerabile: «Se Apple può farlo, se Google può farlo, allora Microsoft può farlo».
Implicazioni per la privacy e la fiducia dell’utente
Jennifer Granick dell’ACLU evidenzia che la disponibilità della chiave rende possibile l’accesso a dati ben più ampi rispetto a quelli legati all’indagine. In pratica, il contenuto completo del disco cifrato può essere esaminato, sollevando dubbi sulla cornice legale dell’accesso e sull’efficacia dei limiti imposti ai procuratori. Il senatore Ron Wyden ha definito l’architettura di questo tipo «semplicemente irresponsabile», perché consente l’accesso silente alla vita digitale dell’utente.
Un segnale per il futuro delle strategie di cifratura
Il caso rappresenta il primo esempio noto di consegna di chiavi BitLocker da parte di Microsoft. In passato, era stato riferito che un ingegnere aveva rifiutato richieste per inserire backdoor nel sistema.
Tuttavia, l’episodio odierno suggerisce che, a differenza di Apple o Meta, Microsoft non ha ancora adottato architetture crittografiche che escludano l’accesso dell’azienda o consentano all’utente il controllo esclusivo della chiave.
Rischi normativi e reputazionali
A livello europeo, questa vicenda rischia di suscitare attenzione da parte di autorità come il Garante Privacy. La dipendenza dal salvataggio server e la possibilità di un disclosure sotto mandato legale potrebbero essere interpretate come una limitazione dei diritti degli utenti. Il dibattito sarà inevitabilmente focalizzato sulle scelte architetturali predefinite, portando in primo piano modelli crittografici più resilienti alle pressioni legali.
In sintesi, la consegna delle chiavi BitLocker al FBI segna un punto di svolta nelle pratiche di sicurezza e privacy delle tecnologie di cifratura desktop. Rimane aperta la questione di come Microsoft e il settore intendano evolvere le proprie policy per garantire maggior controllo all’utente e minori margini di compromissione, anche sotto forma di mandati legali.
