Una nuova class action scuote Meta: WhatsApp non è davvero privato come promesso?
In sintesi, una causa depositata in un tribunale californiano accusa Meta di mentire sui messaggi WhatsApp, che sarebbero leggibili dai dipendenti nonostante la crittografia end-to-end. Soluzione rapida per gli utenti: attiva i backup crittografati nelle impostazioni e usa VPN per ridurre i rischi sulla privacy. Questa controversia coinvolge oltre 2 miliardi di persone in 180 paesi e potrebbe cambiare le regole sulla sicurezza digitale.
La notizia sta rimbalzando in tutto il mondo: utenti da Australia, Brasile, India, Messico e Sudafrica rappresentano miliardi di persone accusando Meta di frode sulla privacy. WhatsApp, app di messaggistica leader con più di 2 miliardi di utenti attivi, promette che i messaggi siano protetti da una crittografia “inviolabile”, accessibile solo ai partecipanti della chat. Ma secondo la causa, non è così: l’azienda salverebbe, analizzerrebbe e permetterebbe ai suoi ingegneri di leggere i contenuti privati tramite tool interni.
La procedura legale, avviata venerdì scorso presso il Tribunale Federale del Distretto Nord della California a San Francisco, punta a diventare una class action globale. Gli avvocati di studi prestigiosi come Quinn Emanuel Urquhart & Sullivan, Keller Postman e Barnett Legal mirano a certificare la causa per includere utenti sotto i termini di servizio USA, Canada o Europa. I ricorrenti chiedono danni non specificati per violazione della privacy, sostenendo che le promesse di Meta hanno creato un falso senso di sicurezza.
Le accuse principali contro WhatsApp
Al centro del contendere c’è il marketing aggressivo di WhatsApp. Dal 2014, Mark Zuckerberg e l’app ripetono che “i messaggi e le chiamate sono crittografati end-to-end”, visualizzando avvisi come “solo le persone in questa chat possono leggere, ascoltare o condividere”. I querelanti ribattono che Meta accede al “contenuto sostanziale” delle comunicazioni, esponendo dati sensibili come informazioni sanitarie o dettagli intimi. Metadata non crittografati possono identificare utenti, ma il salvataggio dei testi completi minaccerebbe il benessere psicologico nelle relazioni digitali.
Ecco i dettagli chiave dalle accuse:
- Archiviazione messaggi: WhatsApp conserverebbe le chat dopo la consegna per analisi dati.
- Accesso dipendenti: Tool interni abiliterebbero la lettura di messaggi “privati”.
- Fonti interne: Whistleblower anonimi rivelerebbero capacità di decrittazione.
- Impatto globale: Coinvolge fino a 3 miliardi di utenti, con richiesta di class action mondiale.
Meta non ci sta e risponde picche. Il portavoce Andy Stone ha definito le affermazioni “categoricamente false e assurde”. “WhatsApp usa la crittografia end-to-end con il protocollo Signal dal 2016, auditato e verificato. Non conserviamo messaggi dopo la consegna e la privacy è la nostra priorità”, ha dichiarato. L’azienda minaccia sanzioni contro gli avvocati dei ricorrenti, bollata la causa come “opera di finzione frivola”.
Il contesto della crittografia end-to-end
La crittografia E2EE (end-to-end encryption) trasforma i messaggi in codici indecifrabili durante il transito, decifrabili solo sul dispositivo del destinatario. WhatsApp l’ha adottata per distinguersi dalla concorrenza, ma lacune note esistono: i backup opzionali su iCloud o Google Drive viaggiano non crittografati, accessibili se richieste dalle autorità. Inoltre, Meta raccoglie metadata (chi messaggia chi, quando) per tracciare comportamenti senza decrittare i contenuti.
Questa causa arriva in un momento caldo per la privacy digitale. Ricorda scandali passati come Cambridge Analytica e dibattiti su audit del protocollo Signal, confermati indipendenti. Nessuna prova tecnica concreta (codici o log) è emersa finora, ma evidenzia scetticismo utenti di fronte a sorveglianza crescente.
Esperti consigliano: abilita backup crittografati, riduci condivisioni sensibili e usa app open-source come Signal per maggiore trasparenza. La lite potrebbe spingere Meta a pubblicare report più dettagliati sulla sicurezza.
Approfondimento tecnico per esperti
Per utenti tecnici, entriamo nei dettagli del protocollo Signal, base della E2EE di WhatsApp. Il sistema usa Double Ratchet Algorithm per chiavi effimere: ogni messaggio genera una chiave unica, distrutta dopo la lettura, rendendo intercettazioni inutili. Curve ellittiche Curve25519 per scambio chiavi (X3DH) e AES-256 in modalità GCM per cifratura simmetrica garantiscono robustezza matematica.
Tuttavia, vulnerabilità potenziali:
- Backup cloud: Su iOS, iCloud non applica E2EE di default; Android con Google Drive simile. Soluzione: attiva ‘Backup crittografato’ in Impostazioni > Chat > Backup chat, impostando password personale (usa gestore come Bitwarden).
- Metadata: WhatsApp invia a Meta IP, timestamp, contatti. Mitiga con VPN (es. Mullvad, no-log) o Tor su Android via Orbot.
- Supply chain attacks: Se Meta compromette client-side (app o server proxy), E2EE decade. Verifica hash APK su sito ufficiale o usa App Manager per Android.
Audit indipendenti (2023 da Quarkslab, 2024 da NCC Group) confermano integrità Signal Protocol, ma criticano implementazione WhatsApp per feature enterprise (es. accesso admin in gruppi business). Per decrittazione forzata, servirebbe chiave privata dispositivo – impossibile senza accesso fisico o malware (es. Pegasus).
Confronto con alternative:
| App | Protocollo | Backup E2EE | Open-source | Metadata |
|---|---|---|---|---|
| Signal | Opzionale | No | Alta | |
| Signal | Signal | Sì | Sì | Bassa |
| Telegram | MTProto | No | Parziale | Alta |
| Threema | NaCl | Sì | Sì | Minima |
In un’era di quantum computing, Signal migra a PQXDH (post-quantum). Per test: usa Wireshark su rete locale (nessun plaintext visibile) o Signal’s own tester. Questa causa potrebbe accelerare open-sourcing WhatsApp, riducendo “black box” perceptions.
La battaglia legale è agli inizi: monitora aggiornamenti per evoluzioni. Proteggi i tuoi dati oggi – la privacy non è mai garantita al 100%. (Parole: 1024)
