Whatsapp, Facebook Messenger, e Signal. Nelle ultime settimane abbiamo assistito ad una vera e propria rivolta da parte degli utenti che hanno cominciato ad abbandonare le app di messaggistica “storiche” per spostarsi su altre. Il motivo? La ricerca di una maggiore sicurezza dei dati e tutela della privacy, almeno sulla carta. Ma qual è la realtà? Facciamo un po’ di chiarezza.
Partiamo dal principio. La prima “bomba” è scoppiata quando Whatsapp ha informato i propri utenti che a partire dall’8 Febbraio 2021 avrebbe modificato la propria Privacy Policy e tutti gli utenti che non avessero accettato tali condizioni non sarebbero più stati in grado di utilizzare l’applicazione di messaggistica istantanea. I nuovi termini di utilizzo hanno destato scalpore tra gli utenti e preoccupazione per le autorità, tanto da spingere il Garante della Privacy a mettere sotto osservazione whatsapp con l’accusa di policy poco chiara.
Questo il comunicato ufficiale pubblicato sul sito del Garante:
“Whatsapp: Garante privacy, informativa agli utenti poco chiara
L’Autorità intenzionata ad intervenire anche in via d’urgenza
Il messaggio con il quale Whatsapp ha avvertito i propri utenti degli aggiornamenti che verranno apportati, dall’8 febbraio, nei termini di servizio – in particolare riguardo alla condivisione dei dati con altre società del gruppo – e la stessa informativa sul trattamento che verrà fatto dei loro dati personali, sono poco chiari e intelligibili e devono essere valutati attentamente alla luce della disciplina in materia di privacy.
Per questo motivo il Garante per la protezione dei dati personali ha portato la questione all’attenzione dell’Edpb, il Board che riunisce le Autorità privacy europee.
Il Garante ritiene che dai termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica dopo l’8 febbraio.
Tale informativa non appare pertanto idonea a consentire agli utenti di Whatsapp la manifestazione di una volontà libera e consapevole.
Il Garante si riserva comunque di intervenire, in via d’urgenza, per tutelare gli utenti italiani e far rispettare la disciplina in materia di protezione dei dati personali.”
Whatsapp, di rimando, ha deciso di posticipare la data dell’entrata in vigore delle nuove norme al 15 Maggio, così da apportare le modifiche e i chiarimenti richiesti dal Garante per la Privacy e dare il tempo agli utenti di percepire in maniera più chiara tali modifiche e dar loro modo di comprendere più consapevolmente quali termini andranno ad accettare. Ma il dado ormai era tratto.
Il web, sull’onda di questa notizia, si è scatenato contro Whatsapp accusando la società, di proprietà di Facebook, di rubare i dati personali e le informazioni sensibili degli utenti. Il risultato? Milioni di utenti in tutto il mondo hanno abbandonato le app di messaggistica di proprietà del colosso di Mark Zuckerberg. Non solo Whatsapp quindi, ma anche Facebook Messenger.
In concomitanza è successo un altro fatto eccezionale. Elon Musk, uno degli imprenditori più rilevanti di questo secolo, ha deciso di esporre al mondo il proprio punto di vista sulla questione consigliando agli utenti di utilizzare SIGNAL. Un’app che fino a pochi giorni fa quasi nessuno conosceva oggi è in cima alle classifiche degli app store. Questa applicazione di messaggistica gratuita era, fino ad oggi almeno, utilizzata principalmente da giornalisti e attivisti, o più in generale da coloro con un particolare interesse nel mantenere sicure le proprie comunicazioni.
Signal è stata sviluppata a partire dal 2013 da un gruppo di attivisti per la privacy e tra l’altro viene sostenuta da un’organizzazione non profit, la Signal Foundation. L’assenza di scopo di lucro, secondo alcuni, limiterebbe l’interesse all’acquisizione dei dati per un utilizzo a fini pubblicitari. Cosa che invece è alla base di colossi come Facebook o Google.
Il fatto che a fondarla ci abbia pensato un esperto di crittografia, Moxie Marlinspike, non guasta. Infatti, il sistema di sicurezza crittografico è particolarmente avanzato con un alto livello di sicurezza dei dati condivisi tramite l’applicazione soprattutto per quanto riguarda i tentativi esterni di violazione delle informazioni. Altro punto a favore è sicuramente la scelta di ridurre al minimo la raccolta dei dati da parte dell’applicazione.
Signal, così come Whatsapp dall’altra parte, utilizza un sistema di crittografia end-to-end. Cosa cambia quindi tra le due app? Il primo ha sistema open source, il secondo no. Qualsiasi esperto in cybersecurity può quindi andare a testare con mano il livello di sicurezza su Signal, ma non si può dire lo stesso per Whatsapp (o Facebook Messenger).
Parlando di sicurezza dei dati nella messaggistica istantanea (e non) c’è davvero un mondo da esplorare. Non abbiamo neppure cominciato a parlare di Telegram o di altre app meno note ma non per questo meno funzionali. Ma, la vera questione, è un’altra.
La migrazione Whatsapp – Signal o Facebook Messenger – Telegram non è stato il frutto di una decisione matura da parte degli utenti di prendere in mano una privacy policy piuttosto che un’altra per analizzare a fondo come vengono utilizzati i propri dati e se questo viene fatto nella maniera corretta. Si è trattato di un fenomeno molto più “banale” ma che dovrebbe farci riflettere. Il web si è scatenato contro Whatsapp e ha elogiato Signal. Quindi cosa hanno fatto gli utenti? Si sono spostati. Semplice, no?
Questi movimenti delle masse, guidate dal web, sono sicuramente una buona notizia per coloro che queste app le sviluppano. Il puntare i riflettori su una determinata app, d’altra parte, può diventare facilmente un’arma a doppio taglio. Non attira solo l’attenzione degli utenti, infatti, ma anche di coloro che semplicemente non avevano ancora provato a violarla. In questo caso, come se non bastasse, gli hacker hanno già anche l’accesso al codice sorgente (dato che stiamo parlando di sistemi open source).
Guardiamo adesso all’altro lato della medaglia. Abbiamo già parlato di quanto sia problematico che manchi una vera educazione digitale degli utenti del web. Gli utenti consapevoli, sanno ad esempio che dati come il codice fiscale, la carta di credito, lo spid, il puk etc etc non vanno mai condivisi via chat. Questa è una delle prime cose che vengono insegnate prima di cominciare a navigare. Ma la domanda che dovremmo porci è: perché siamo costretti a non condividere queste informazioni via chat? Perchè il livello di sicurezza non è abbastanza alto da permetterci di farlo? Quei dati si dovrebbero poter trasmettere senza problemi. Non ci facciamo tanti problemi infatti a dettare un pin al telefono (che potrebbe essere comunque intercettato in qualche modo), perché siamo costretti a farcene con una chat end-to-end?
Escludendo ovviamente persone come gli attivisti, i giornalisti d’inchiesta, i malavitosi o chiunque abbia qualcosa “da nascondere”, seppur per scopi non oscuri, che dovranno per forza di cose continuare a prendere le precauzioni poiché trattano “merce interessante”, dovrebbe essere un diritto di ogni utente quello di essere messo in condizione di stare tranquillo nel trasmettere informazioni personali, fosse anche solo la foto del nipotino alla zia.
Non va neppure sottovalutato il fatto che normalmente quando si pensa a dati sensibili, si pensa esclusivamente a codici segreti, codice fiscale etc etc. In realtà i dati più importanti e che più spesso vengono sfruttati in maniera massiva e generalizzata in particolar modo dalle grandi corporazioni, sono proprio quelli che ci sembrerebbero banali. La ricetta della nonna mandata alla Zia Pina non sarà importante come dato specifico per “sottrarre” la ricetta di famiglia. Sarà invece sfruttata per profilare l’utente e il suo comportamento sul web per poi vendere quel dato ad un inserzionista che molto probabilmente si occupa di siti per cucine.
A questo tipo di rischio siamo tutti, nessuno escluso, estremamente vulnerabili.
Le chat oggi non sono più uno strumento di nicchia, ma bensì uno strumento di massa e come tali, chi si occupa del loro sviluppo, dovrebbe quantomeno garantire oltre che la facilità d’uso (requisito fondamentale per venderla), anche un adeguato livello di sicurezza e trasparenza. Queste applicazioni devono garantire un livello minimo di sicurezza per poter essere commercializzate, ma basta a garantire la tranquillità degli utenti?
Il rischio più grande è che si sposti la responsabilità dei dati sugli utenti anziché su coloro che si occupano del loro sviluppo.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9519943