Il Calyx Institute ha pubblicato un nuovo aggiornamento sullo stato di CalyxOS, la distribuzione Android orientata alla privacy che da oltre sette mesi non rilascia aggiornamenti di sicurezza per i suoi utenti.

La vicenda è nota a chi segue il progetto: nell’agosto 2025 il fondatore e presidente del Calyx Institute, Nicholas Merrill, ha lasciato l’organizzazione, seguito a ruota dal responsabile tecnico di CalyxOS. Il problema non era solo organizzativo: chi se n’è andato aveva accesso alle chiavi crittografiche usate per firmare ogni aggiornamento del sistema operativo. Risultato: tutto bloccato, infrastruttura di firma da ricostruire da zero, e la raccomandazione ufficiale agli utenti di disinstallare CalyxOS dai propri dispositivi in attesa di tempi migliori. La stima iniziale parlava di quattro, massimo sei mesi di pausa.

// affiliato ▸ Tuta · Email criptata, un mese extra gratuito · Provalo gratis →

Sette mesi dopo

Nell’ultimo report, datato 24 febbraio 2026, il team comunica di aver completato la nuova infrastruttura di firma basata su HSM (moduli di sicurezza hardware), sottoposta anche ad audit da parte di Trail of Bits. I lavori in corso riguardano la migrazione del server di rilascio e dell’istanza Gerrit, e l’ingresso di un nuovo amministratore di sistema dedicato.

Tutto molto ordinato sulla carta, ma la sostanza non cambia: a oggi non esiste ancora una nuova release di CalyxOS, e chi è rimasto con il sistema installato sta usando un software con patch di sicurezza ferme a giugno 2025. Considerando che la tabella di marcia originale prevedeva un ritorno operativo entro gennaio 2026, il ritardo è già significativo, e dal report non emerge una data concreta per il primo aggiornamento.

Per chi ha bisogno di un sistema Android attento alla privacy e regolarmente aggiornato, alternative come GrapheneOS o /e/OS restano al momento scelte più affidabili.