Da anni l’industria di Internet si muove verso una promessa: tutto cifrato, tutto sicuro. Con Encrypted Client Hello (ECH), l’ultimo passo dell’evoluzione HTTPS, anche il nome del sito visitato viene nascosto. Fine della visibilità, inizio della privacy totale. O forse no. In realtà, la privacy non è davvero end-to-end, perché l’“end” non è quello che pensiamo. Quando un utente apre una connessione cifrata, il primo nodo che riceve il traffico non è il server finale, ma un elemento intermedio: il Client-Facing Server (CFS), gestito quasi sempre da una grande CDN globale. Il CFS conosce l’indirizzo IP dell’utente e il servizio richiesto. La cifratura protegge il contenuto, ma non l’identità. Abbiamo nascosto i dati, ma centralizzato la fiducia.
Indice degli argomenti
Tre squilibri della nuova Internet cifrata
1- Visibilità asimmetrica: Il CFS vede ciò che prima non poteva vedere nessuno: chi si connette e a cosa. Il punto dove identità e destinazione si incontrano – e dove la privacy smette di essere “end- to-end”.
2- Concentrazione di potere informativo. Pochi operatori globali gestiscono oggi una parte enorme del traffico mondiale.
3 – Asimmetria giurisdizionale. La cifratura è globale, ma la legge non lo è. Un utente europeo che accede a un servizio ospitato negli Stati Uniti attraversa infrastrutture
soggette a regole diverse.
Le tutele del GDPR valgono solo entro la giurisdizione europea: oltre quei confini, la legge statunitense sulla privacy – come la Privacy Act of 1974 – protegge i cittadini e i residenti permanenti USA, ma non garantisce gli stessi diritti agli utenti stranieri.
In alcuni casi, le CDN con sede negli Stati Uniti possono essere obbligate a fornire dati
rilevanti per la privacy, ad esempio chi ha avuto accesso a quali servizi, quando si tratta di utenti non statunitensi. Le richieste legali – come ordini di blocco o rimozione di contenuti – non riguardano più solo gli ISP, ma anche i grandi intermediari globali che controllano la consegna cifrata dei contenuti.
Il risultato è uno spostamento del potere regolatorio fuori dai confini nazionali, verso soggetti privati sotto giurisdizioni estere non sempre vincolate agli stessi standard di trasparenza.
Lo Scenario della pizza all’ananas
Per capire quanto questa concentrazione di potere possa incidere sulla vita reale,
immaginiamo Il Re Della Pizza, miglior pizzaiolo d’Italia ma anche genio della finanza.
Attraverso una serie di operazioni spericolate, riesce a prendere il controllo della più grande CDN mondiale. Promette una nuova era di “privacy per tutti” grazie a ECH.
Ma dietro le quinte usa la posizione privilegiata della CDN per profilare miliardi di persone – osservando chi ordina cosa, quando e da dove.
Decide così di dividere l’umanità in due categorie: gli amanti della pizza all’ananas e i puristi della tradizione. I suoi algoritmi identificano le preferenze gastronomiche (e digitali) e ne tracciano i comportamenti.
In poco tempo, agli amanti della pizza all’ananas è vietato entrare nel paese.
Sembra satira, ma è una metafora precisa: quando un singolo soggetto ha visibilità sull’intero traffico cifrato del pianeta, la profilazione diventa potere geopolitico.
(Disclaimer: amiamo -quasi- tutti allo stesso modo, indipendentemente dalle preferenze in fatto di pizza.)
IETF 124*: il dibattito si apre
Il tema della source privacy è stato al centro dei miei interventi nel corso del recente Internet Engineering Task Force (IETF 124), il principale forum tecnico mondiale per la definizione degli standard Internet.
Ho avuto l’occasione di presentare il tema in questi contesti diversi:
- nel forum architetturale, per delineare le implicazioni strutturali della concentrazione
di fiducia;
- nei gruppi dedicati a diritti umani, privacy e decentralizzazione, dove il problema è
stato riconosciuto come rilevante e urgente.
Da più parti è emersa la consapevolezza che la privacy non può più essere affrontata solo con la cifratura. Serve un riequilibrio architetturale che non introduca nuovi proxy, non aggiunga latenza e non scarichi tutto il peso sull’utente o sull’ISP.
Verso una fiducia distribuita
Una possibile direzione, che sto proponendo come prossimo passo di ricerca, è il Customer-Facing Relay (CFR): un modello che redistribuisce le responsabilità tra i diversi attori, senza alterare la logica dell’encryption.
- Gli ISP proteggono la sorgente (chi si connette) tramite funzioni leggere, integrate nella rete, senza nuovi proxy né perdita di performance.
- Le CDN continuano a proteggere la destinazione (cosa viene richiesto) mantenendo la cifratura end-to-end.
- Tra loro, la scelta del Client-Facing Server (CFS) avviene in modo consapevole
rispetto alla giurisdizione: ogni Paese può ospitare propri CFS di fiducia o partecipare a meccanismi di discovery trasparenti, così da garantire che i dati dei cittadini restino sotto le leggi del proprio ordinamento. Questa architettura riporterebbe la rete a un equilibrio originario: nessuno può vedere tutto, ma ciascuno custodisce solo ciò che deve sapere. È un modo per trasformare la privacy da promessa tecnica a responsabilità distribuita tra operatori, fornitori di contenuti e istituzioni.
Il prossimo passo
La discussione è appena iniziata. Il tema ha suscitato interesse da parte di diversi attori — dai gruppi tecnici ai tavoli dedicati a privacy, diritti digitali e governance della rete. La discussione proseguirà nei prossimi appuntamenti IETF e, auspicabilmente, anche in altre sedi istituzionali, per esplorare soluzioni che mantengano la cifratura end-to-end ma restituiscano equilibrio e trasparenza nella distribuzione della fiducia tra reti, contenuti e utenti. L’obiettivo non è introdurre nuovi intermediari, ma rendere la privacy una proprietà strutturale dell’architettura Internet, capace di garantire sicurezza, sovranità e interoperabilità tra giurisdizioni diverse.
