Attenzione: i tuoi messaggi su WhatsApp potrebbero non essere al sicuro come pensi. Pavel Durov, fondatore di Telegram, ha lanciato un’accusa pesante contro WhatsApp, definendola la più grande frode ai consumatori della storia. Il problema? La crittografia end-to-end (E2EE) pubblicizzata non protegge i backup cloud, dove finiscono quasi tutti i messaggi privati in chiaro. Soluzione rapida: vai su Impostazioni > Chat > Backup chat > Backup crittografato end-to-end, imposta una password forte e verifica i tuoi contatti.
In questo modo, proteggi immediatamente i tuoi dati da accessi indesiderati. Ma andiamo nel dettaglio per capire perché questo è un rischio così grave e come risolverlo passo dopo passo.
Il cuore del problema: backup non protetti
WhatsApp vanta la crittografia end-to-end per default, ma questa protezione vale solo per i messaggi in transito tra i tuoi dispositivi e quelli dei tuoi interlocutori. Una volta attivato il backup cloud – che è acceso di default su iCloud di Apple o Google Drive – la cronologia delle chat viene scaricata in formato leggibile, senza alcuna crittografia.
Secondo stime, circa il 95% degli utenti non attiva l’opzione di backup crittografato, lasciando miliardi di conversazioni esposte. Immagina: aziende come Apple e Google, o persino autorità e hacker, potrebbero accedere a questi dati senza difficoltà.
Anche se tu attivi la protezione, il tuo interlocutore potrebbe non averlo fatto. In quel caso, la conversazione resta vulnerabile sul suo dispositivo e backup. È un buco strutturale che vanifica la promessa di privacy totale.
Perché succede e come funziona
WhatsApp archivia i messaggi localmente sul tuo telefono in forma crittografata. Ma quando fai il backup, l’app decritta i dati per inviarli al cloud. Senza l’opzione specifica, arrivano in testo plano, pronti per essere letti da chiunque abbia accesso al server.
L’opzione di backup crittografato esiste, ma è opt-in: devi attivarla manualmente, scegliere una password robusta (non un PIN semplice) o una chiave a 64 cifre. Pochissimi utenti lo fanno, e ancor meno usano protezioni adeguate.
Organizzazioni per i diritti digitali e ricercatori di sicurezza avvertono da anni: i backup non crittografati sono preda facile per richieste governative, attacchi hacker o fughe di dati interne alle piattaforme cloud.
Passi immediati per proteggere le tue chat
Non aspettare: agisci ora con questi semplici passaggi per minimizzare i rischi su WhatsApp.
- Attiva il backup crittografato: Impostazioni > Chat > Backup chat > Backup crittografato end-to-end. Imposta una password unica e forte, almeno 12 caratteri con lettere, numeri e simboli.
- Disattiva il backup automatico se non lo usi: Evita di inviare dati al cloud inutilmente.
- Controlla i tuoi contatti: Ricorda che la sicurezza dipende da tutti i partecipanti alla chat.
- Per comunicazioni sensibili, passa a alternative: App come Signal non supportano backup cloud proprio per evitare questi rischi.
Questi step riducono drasticamente l’esposizione, ma non risolvono il problema di fondo.
Rischi reali e conseguenze
Pensa alle implicazioni: conversazioni private su lavoro, famiglia, salute o finanze esposte. Ci sono già cause legali negli USA contro la casa madre di WhatsApp, che accusano l’app di avere backdoor per accedere ai messaggi, contraddicendo le promesse di privacy.
Anche se le accuse vengono smentite come “assurde”, manca una risposta tecnica chiara sul problema dei backup. Intanto, gli utenti restano all’oscuro, fidandosi di un claim fuorviante.
Alternative come Telegram enfatizzano la privacy, ma attenzione: anche lì, le chat normali non sono E2EE di default, solo quelle “segrete”. Nessuna app è perfetta, ma la trasparenza conta.
Consigli per una privacy quotidiana
Oltre a WhatsApp, adotta queste abitudini per proteggere le tue comunicazioni:
- Usa sempre password manager per generare chiavi forti.
- Evita di condividere dati sensibili su app con backup cloud automatici.
- Abilita l’autenticazione a due fattori ovunque possibile.
- Informa i tuoi contatti sui rischi per una protezione condivisa.
Con queste misure, riduci i pericoli e navighi più sicuro nel mondo digitale.
Approfondimento tecnico
Questa sezione è per utenti esperti, sviluppatori e appassionati di sicurezza che vogliono capire i meccanismi sotto il cofano.
Architettura E2EE di WhatsApp
WhatsApp usa il protocollo Signal Protocol per la crittografia end-to-end. Le chiavi di sessione sono generate localmente sui dispositivi e mai trasmesse ai server. Durante il transito, i messaggi sono indecifrabili senza la chiave privata del destinatario.
Il punto critico è il terminazione della crittografia: sul dispositivo ricevente, il messaggio viene decrittato per la visualizzazione e lo storage locale. Al backup, l’app esporta questa versione plaintext verso i provider cloud.
Codice semplificato del flusso:
sequenceDiagram
UserA->>WhatsAppServer: Msg encrypted
WhatsAppServer->>UserB: Msg encrypted
UserB->>LocalStorage: Decrypted msg
UserB->>CloudBackup: Plaintext backup (default)
Note over UserB,Cloud: No E2EE unless opt-in
Con backup crittografato, l’app usa una chiave derivata dalla password utente (basata su PBKDF2 o simile) per crittografare il file prima dell’upload. Il cloud riceve dati indecifrabili senza quella chiave, che resta solo sul dispositivo.
Limiti scalabili e attacchi potenziali
Anche con opt-in, se il 5% degli utenti non lo attiva, le chat mistre restano esposte. Attacchi possibili:
- Server-side: Accesso da parte di Apple/Google employees o via subpoena.
- Client-side: Malware sul dispositivo ruba dati pre-backup.
- Quantum threats: Futuri computer quantistici potrebbero rompere curve ellittiche usate nel protocollo (ma WhatsApp sta migrando a post-quantum crypto).
Metriche: Su 2+ miliardi di utenti, il 95% senza protezione implica ~1.9 miliardi di backup vulnerabili, con terabyte di dati privati in chiaro.
Confronto con alternative
| App | E2EE Default | Backup Cloud | Note |
|---|---|---|---|
| Sì (transito) | No (default) | Opt-in complesso | |
| Signal | Sì | No (design) | Massima privacy |
| Telegram | No (chat normali) | Sì, server-side | Secret chats E2EE |
Per implementare E2EE robusta, considera librerie open-source come libsignal.
Raccomandazioni avanzate
- Audit dei backup: Usa tool come iMazing (iOS) o WhatsApp Viewer (Android) per verificare lo stato.
- Self-hosting: Progetti come Matrix/Element per controllo totale.
- Monitora aggiornamenti: WhatsApp potrebbe rendere E2EE backup default in futuro, ma verifica sempre.
In sintesi tecnica, il claim “E2EE by default” è inaccurato perché ignora il ciclo di vita completo dei dati. Per veri esperti, la privacy richiede controllo end-to-end su storage e backup.
Fonte: https://cybersecuritynews.com/whatsapp-end-to-end-encryption-pavel-durov/
