Immagina di aver costruito uno degli strumenti di sicurezza più utilizzati al mondo — un software open source che protegge le comunicazioni di milioni di persone, integrato in sistemi operativi, servizi VPN commerciali, infrastrutture critiche. Poi un giorno provi ad accedere al tuo account sviluppatore per pubblicare un aggiornamento critico, e trovi la porta sbarrata. Nessun avviso, nessuna email, nessuna spiegazione. Solo un messaggio: “accesso limitato”. È esattamente quello che è successo a Jason Donenfeld, il creatore di WireGuard, e a Mounir Idrassi, lo sviluppatore di VeraCrypt, quando Microsoft ha deciso — unilateralmente e senza preavviso — di sospendere i loro account nel Windows Hardware Developer Program.
Il fatto è gravissimo, e non solo per le conseguenze tecniche immediate. WireGuard è il protocollo VPN moderno più rispettato nel settore della sicurezza informatica, VeraCrypt è lo standard de facto per la crittografia completa dei dischi. Entrambi sono software libero, mantenuti da sviluppatori indipendenti, usati da attivisti, giornalisti, aziende e chiunque tenga alla propria privacy. Eppure, per esistere su Windows, dipendono interamente dalla benevolenza di Microsoft — che può togliere loro l’ossigeno con un clic. Questa storia non riguarda un banale problema burocratico. È la dimostrazione plastica di come il monopolio delle piattaforme proprietarie si traduca in potere reale: il potere di decidere chi può distribuire software e chi no, chi può aggiornare e chi deve restare fermo, chi esiste e chi scompare dal mercato.
Il blocco silenzioso: da WireGuard a VeraCrypt, gli sviluppatori tagliati fuori
Jason Donenfeld aveva passato settimane a modernizzare il codice Windows di WireGuard, preparando quello che sarebbe stato il primo aggiornamento significativo in quasi quattro anni per la versione Windows del software. Un lavoro meticoloso, atteso dalla comunità. Quando ha provato ad accedere al suo account nel Partner Center di Microsoft per inviare l’aggiornamento alla revisione, si è trovato davanti un muro: accesso limitato, account sospeso. Ha controllato ogni casella di posta, ogni cartella spam, ogni log delle email. Niente di niente. Microsoft non gli aveva mai inviato alcuna notifica. “Ho cercato in ogni inbox, in ogni cartella spam, in ogni log di posta — zero, niente, nulla”, ha dichiarato Donenfeld a TechCrunch. Il punto più inquietante della sua testimonianza riguarda le conseguenze sulla sicurezza: se fosse emersa una vulnerabilità di esecuzione remota del codice in WireGuard per Windows, lui non avrebbe potuto distribuire la patch. Milioni di utenti esposti, e le mani legate dalla burocrazia di Redmond.
La situazione di Mounir Idrassi, lo sviluppatore di VeraCrypt, è se possibile ancora più allarmante. Il suo account è stato chiuso già a metà gennaio 2026, senza alcuna comunicazione preventiva, con sole risposte automatizzate e nessun meccanismo di appello accessibile. Le conseguenze si profilano catastrofiche: senza la possibilità di aggiornare i certificati di firma digitale, gli utenti che utilizzano VeraCrypt per la crittografia di sistema rischiano di trovarsi con computer che non si avviano più dopo luglio 2026, quando Microsoft revocherà l’autorità di certificazione usata per firmare il bootloader di VeraCrypt. Tradotto in termini concreti: schermate blu della morte su computer che funzionavano perfettamente, solo perché Microsoft ha chiuso un account senza avvisare il proprietario. Non stiamo parlando di un’app qualsiasi — VeraCrypt protegge dati sensibili di giornalisti, dissidenti, aziende e chiunque prenda sul serio la crittografia del proprio disco.
Ma la lista non finisce qui. Lo stesso destino ha colpito Windscribe, un noto servizio VPN orientato alla privacy con un account verificato da otto anni nel Partner Center, e MemTest86, il tool diagnostico per la RAM utilizzato da tecnici hardware in tutto il mondo. Il pattern è cristallino: una serie di sospensioni automatiche, senza intervento umano, senza comunicazione preventiva, che ha colpito indiscriminatamente alcuni dei progetti open source e di sicurezza più importanti dell’ecosistema Windows. Secondo quanto ricostruito da BleepingComputer, la causa tecnica è un programma di verifica obbligatoria dell’identità per tutti i partner del Windows Hardware Program, avviato il 16 ottobre 2025 con una scadenza di 30 giorni. Chi non ha completato la verifica — caricando un documento d’identità governativo attraverso un servizio terzo — ha visto il proprio account sospeso automaticamente alla chiusura del programma, a fine marzo 2026. Donenfeld afferma di aver persino completato la verifica, ottenendo lo stato di “verificato” dal servizio terzo utilizzato da Microsoft — eppure il suo account è rimasto bloccato. E quando finalmente è stato messo in contatto con il team di supporto esecutivo, la risposta è stata: aspetti fino a 60 giorni per la revisione del ricorso. Sessanta giorni per lo sviluppatore di uno dei software VPN più diffusi al pianeta.
La firma digitale come leva di dominio
Per capire perché questa situazione è così grave — e perché non si tratta di un semplice disguido amministrativo — bisogna guardare come funziona il sistema di distribuzione dei driver su Windows. Da anni Microsoft richiede che tutti i driver a livello kernel siano firmati digitalmente attraverso il Windows Hardware Compatibility Program (WHCP). Il kernel è il cuore del sistema operativo, il livello più profondo dove operano VPN come WireGuard e strumenti di crittografia come VeraCrypt. Senza la firma digitale di Microsoft, su sistemi con Secure Boot attivato — cioè la stragrande maggioranza dei computer moderni — i driver semplicemente non vengono caricati. Il software non parte. È come se il proprietario di un’autostrada privata decidesse chi può guidare e chi no: puoi avere la macchina più sicura e ben costruita del mondo, ma se il padrone della strada ti revoca il permesso, resti a piedi.
Questo significa che Microsoft detiene un monopolio de facto sulla distribuzione di software a livello kernel per il sistema operativo più utilizzato al mondo, con una quota di mercato desktop che supera il 72%. Non importa che il tuo software sia open source, verificato da migliaia di ricercatori di sicurezza, utilizzato da milioni di persone, integrato nelle infrastrutture di aziende e governi. Se Microsoft ti toglie la capacità di firmare i driver, il tuo software su Windows è morto. E la situazione è destinata a peggiorare: con l’aggiornamento di aprile 2026, Microsoft rimuoverà la fiducia nei driver firmati con il vecchio programma di cross-signing, rendendo il WHCP l’unica via percorribile per la firma dei driver kernel su Windows 11 e Windows Server 2025. Un collo di bottiglia che si stringe ancora di più, con un’unica azienda che controlla il rubinetto.
La giustificazione ufficiale è la sicurezza, e non è del tutto infondata: i driver a livello kernel hanno accesso completo al sistema, e driver malevoli firmati con certificati rubati o compromessi sono stati usati in attacchi informatici sofisticati. Il problema non è il principio della firma digitale in sé — è una misura di sicurezza ragionevole. Il problema è chi la controlla e con quale responsabilità. Quando un’unica azienda privata detiene il monopolio sulla validazione — e quella stessa azienda è anche concorrente diretta dei software che deve certificare — siamo di fronte a un conflitto di interessi strutturale che nessuna policy di “buone pratiche” può risolvere. Microsoft ha il suo servizio VPN integrato in Windows, le sue soluzioni di crittografia (BitLocker), i suoi strumenti di sicurezza. WireGuard e VeraCrypt sono concorrenti diretti. E Microsoft ha il potere di togliere loro la capacità di esistere sulla propria piattaforma con una sospensione automatica dell’account. Non serve essere complottisti per riconoscere che questa struttura di potere è intrinsecamente tossica.
Scott Hanselman, vicepresidente di Microsoft, ha liquidato la questione con un post su X: “Non tutto è una cospirazione, a volte è solo burocrazia”. Facile da dire quando la burocrazia è la tua e il monopolio pure. Pavan Davuluri, executive vice president della divisione Windows, ha affermato che Microsoft “ha lavorato duramente per assicurarsi che i partner capissero che questo cambiamento stava arrivando” e si è impegnato a rivedere le pratiche di comunicazione. Peccato che gli sviluppatori coinvolti dicano esattamente il contrario — nessuna email, nessuna notifica, nessun avviso. Ma la parola di Microsoft, evidentemente, vale più di quella di chi costruisce software di sicurezza che protegge la privacy di milioni di persone. La risoluzione, ammesso che arrivi, arriverà perché la stampa ne ha parlato, perché il caso è diventato imbarazzante. Non perché il sistema funziona.
Software libero in gabbia: la contraddizione delle piattaforme proprietarie
Questa storia mette a nudo una contraddizione che l’ecosistema del software libero fatica ad affrontare da anni, e che preferisce spesso ignorare per quieto vivere. Si può essere veramente liberi se per raggiungere i propri utenti bisogna passare attraverso il cancello di un’azienda che vale oltre tremila miliardi di dollari? WireGuard è software libero nel senso più pieno del termine: il suo codice è aperto, verificabile, modificabile da chiunque, rilasciato sotto licenza GPLv2. Ma la versione Windows — quella che serve alla maggioranza degli utenti nel mondo — esiste solo con il permesso di Microsoft. È una libertà condizionata, e chi l’ha vista da vicino sa che la libertà condizionata non è libertà. È un privilegio revocabile, e questa settimana abbiamo visto quanto facilmente può essere revocato.
Il modello Linux offre un contrasto illuminante, quasi didascalico nella sua chiarezza. Nel mondo GNU/Linux, i driver vengono distribuiti attraverso i package manager delle distribuzioni, con un sistema di firma decentralizzato basato su chiavi crittografiche gestite dalle singole comunità. Non esiste un’unica azienda che possa sospendere la tua capacità di distribuire software a milioni di utenti con un processo automatizzato. Debian usa il suo sistema di verifica con chiavi pubbliche, Fedora ha il proprio, Arch Linux il proprio ancora. La fiducia è distribuita, non concentrata in un unico punto di fallimento — e di potere. Non a caso, WireGuard è integrato direttamente nel kernel Linux dalla versione 5.6: funziona, viene aggiornato, distribuito, senza bisogno del permesso di nessuna corporation. Nessun account da verificare, nessun documento d’identità da caricare su un servizio terzo, nessun rischio di svegliarsi una mattina con l’accesso bloccato. È la dimostrazione concreta che un altro modello è possibile — non in teoria, non in un futuro utopico, ma qui e adesso.
Chi segue il nostro blog conosce bene questa dinamica. Come abbiamo analizzato parlando delle alternative open source alle big tech, la concentrazione del potere tecnologico nelle mani di pochi giganti crea dipendenze strutturali che vanno ben oltre la semplice “convenienza” di un ecosistema. È una forma di controllo che permea ogni livello dello stack tecnologico, dal sistema operativo alla distribuzione delle applicazioni, dalla firma dei driver alla possibilità stessa di raggiungere i propri utenti. E il caso WireGuard-VeraCrypt non è un incidente isolato: è il sintomo di un modello di piattaforma che trasforma gli sviluppatori in affittuari e gli utenti in ostaggi. La risposta dal basso esiste, e non è solo teoria: l’adozione di Linux come sistema operativo desktop continua a crescere, le distribuzioni orientate alla privacy come Tails e Qubes OS diventano sempre più accessibili, e progetti come F-Droid dimostrano che la distribuzione decentralizzata del software funziona. Ma finché Windows dominerà il mercato desktop con oltre il 72% di quota, il problema strutturale resta.
Il caso è anche una lezione brutale sulla cybersicurezza nel 2026: la sicurezza degli utenti non dipende solo dalle vulnerabilità nel codice, ma dalla struttura di potere che governa la distribuzione del software. Un software perfettamente sicuro diventa inutile se chi lo sviluppa non può distribuire gli aggiornamenti. E in un mondo dove le patch di sicurezza sono questione di ore — non di settimane o mesi — un ritardo di 60 giorni imposto dalla procedura burocratica di Microsoft non è solo un inconveniente amministrativo. È un rischio concreto per la sicurezza di milioni di persone. Pensateci: se domani venisse scoperta una vulnerabilità critica in WireGuard per Windows, Donenfeld non potrebbe fare nulla. Zero. Dovrebbe aspettare che Microsoft, con i suoi tempi e le sue priorità, decida di riattivare il suo account. Nel frattempo, gli utenti restano esposti. Questa non è sicurezza informatica — è il suo contrario.
La domanda vera, quella che dovremmo porci tutti, non è se Microsoft risolverà il problema di Donenfeld e Idrassi — probabilmente lo farà, ora che la stampa ne ha parlato e l’imbarazzo è diventato pubblico. Hanselman ha già detto che ci sta lavorando. La domanda è: quanti sviluppatori meno famosi stanno subendo lo stesso trattamento senza che nessuno ne parli? Quanti progetti più piccoli, meno visibili, sono stati chiusi in silenzio dallo stesso processo automatizzato? E soprattutto: perché accettiamo un sistema in cui la possibilità di distribuire software di sicurezza — software che protegge la privacy, la libertà di comunicazione, i dati sensibili delle persone — dipende dalla benevolenza di un monopolista che non si prende nemmeno la briga di mandare un’email prima di chiuderti l’account?
Il nocciolo della questione è semplice, e va detto senza giri di parole: finché il software libero dipende da piattaforme proprietarie per raggiungere i propri utenti, la libertà è un’illusione. Microsoft può chiamarla burocrazia, incidente amministrativo, problema di verifica dell’identità. Ma il risultato è sempre lo stesso: un’azienda privata ha il potere di decidere chi può proteggere la tua privacy e chi no, chi può distribuire strumenti di sicurezza e chi viene tagliato fuori. La soluzione non verrà da Redmond, non verrà da un tweet conciliante di un vicepresidente, non verrà da una procedura di appello che richiede 60 giorni. Verrà dalle comunità che costruiscono alternative concrete, dalle persone che scelgono sistemi operativi liberi, dagli sviluppatori che rifiutano di essere ostaggi. La tecnologia al servizio delle persone si costruisce dal basso — non aspettando che il padrone di casa decida, quando gli fa comodo, di ridarti le chiavi.