In questa ultima settimana, complice l’arrivo dell’aggiornamento della privacy di WhatsApp, molte persone hanno scelto di passare a due altri servizi, Telegram e Signal, cancellando il primo. Su internet, oramai, si trovano una marea di articoli, post, immagini dedicati a denigrare WhatsApp a favore delle altre due applicazioni, ma tendenzialmente questo è tutto materiale fatto per attrarre interesse e poche volte giornalisti, portavoce e chi posta on-line ha approfondito veramente l’argomento; così ci si perde per strada dimenticando che tutti e tre i servizi, per esempio, non si allineano al GDPR europeo, ma seguono le leggi sulla privacy americane su cui si potrebbe aprire un capitolo a parte in quanto discutibilità dell’argomento. Lo stesso Signal, per esempio, non è allineato con gli articoli 27 e 28 del GDPR e relativi all’indicazione ed identificazione dei responsabili del trattamento dei dati.
Premettiamo, però, una cosa: quando scegliamo un’applicazione lo facciamo per varie concause che possono spaziare dall’ultilizzo che ne fanno i nostri contatti, a motivi personali e/o lavorativi, alla comodità dell’interfaccia.
Qui divideremo l’argomento in quattro sezioni, la prima cercherà di chiarire le differenze sostanziali tra GDPR europeo (quello che, per intenderci, utilizziamo in Europa) ed il Cloud Act a cui devono sottostare tutte le aziende americane; successivamente, ci saranno tre diverse sezioni dedicate specificamente alle applicazioni menzionate, mentre la quarta sarà un piccolo sommario di quanto detto.
GDPR EUROPEO VS CLOUD ACT AMERICANO: UN EQUILIBRIO DELICATO
Ogni nazione ha le proprie regolamentazioni e quando si tratta di internet si rivela difficile comprendere come muoversi all’interno di questa materia. In questi ultimi anni, proprio questa difficoltà anche da parte dei diversi Stati di gestire la situazione, ha portato alla creazione di protocolli di sicurezza che si tenta di estendere ad altri Paesi tentando di gestire delicati equilibri internazionali in cui la stessa cultura gioca un ruolo particolarmente importante. Semplificando e concentrandoci esclusivamente sulla privacy possiamo trovare il GDPR europeo (The General Data Protection Regulation), rispettato logicamente in Europa, ed il CLOUD Act americano entrambi con delle diverse specifiche che a volte non collimano, anzi il CLOUD Act in qualche modo riesce ad imporsi sul GDPR europeo..
Il CLOUD Act, per esempio, richiede di rilasciare informazioni personali così da permettere, in caso di necessità investigative, alle autorità US di accedere a tutti i dati salvati dai provider (appartenenti a qualsiasi cittadino del mondo); tutto ciò viene giustificato dalla lotta contro il crimine ed il terrorismo:
“A provider of electronic communication service or remote computing service shall comply with the obligations, of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States”.
Cosa significa tutto questo? Tutte le compagnie americane devono, forzatamente ed indipendentemente dalla localizzazione dei loro archivi (quindi, anche se questi si trovano in Europa), affidare i dati in loro possesso alle autorità americane qualora richieste per motivi investigativi. L’unico modo per aggirare questa specifica è che il cliente del provider non viva in US e che il trasferimento dei dati vada a violare le regolazioni del Paese a cui appartiene la persona. WhatsApp, Telegram e Signal sono tutte aziende americane che, però, gestiscono diversamente i dati; vedremo quali nella sezione a loro dedicata.
IL GDPR europeo, nato nel 2018, si focalizza nella disciplina e protezione dei dati personali dei cittadini europei in tutto il mondo. Per quanto riguarda la parte disciplinare, lo scopo è quello di regolare come i dati delle persone vengono trattati dalle aziende, come viene messo in forma tutto questo? Semplicemente, assicurandosi che le varie compagnie abbiano sviluppato una documentazione che descriva polizze e processi utilizzati. Quindi, il GDPR sottolinea l’importanza del criptaggio dati, della loro sicurezza, andando anche ad individuare i responsabili che possono avere accesso e monitorare tali dati. Questo implica anche la necessità, da parte delle aziende, per auto-tutelarsi, di richiedere la firma di presa visione della propria polizza a tutti quei clienti che rilasciano i propri dati.
IL CASO WHATSAPP: SOSPESO TRA CRIPTAGGIO E BACKUPS
WhatsApp in questo ultimo periodo ha avuto parecchi problemi con l’aggiornamento della propria polizza sulla privacy, complici informazioni pilotate e condivisione delle stesse che, paradossalmente, hanno iniziato a girare anche su Facebook (appartenente allo stesso gruppo aziendale). Dobbiamo anche calcolare che proprio questa sua parentela con Facebook rende WhatsApp un’applicazione che punta sulla monetizzazione e sulla pubblicità mirata, cosa che negli ultimi anni è diventata sempre più evidente anche sul social network.
Il 12 gennaio di quest’anno, infatti, WhatsApp è stata costretta a postare una comunicazione ufficiale che sottolineasse i propri sforzi nel proteggere i dati degli utenti, qui sotto riportata:

Di base, Whatsapp utilizza la end-to-end encryption (in specifico lo stesso protocollo Open Source che usa Signal, ovvero l’E2E sviluppato dalla Open Whisper Systems e che oggi viene considerato uno dei protocolli più sicuri per le applicazioni di messaggistica) criptando i dati dell’utente, quindi messaggi sia scritti che vocali e chiamate, sul suo dispositivo. I dati salvati e di passaggio sul server quindi saranno sempre protetti. Cercando informazioni sul sito stesso di Whatsapp è possibile risalire alla documentazione in cui la stessa ditta descrive, in inglese, i propri protocolli di sicurezza (qui).
In ogni caso, e come sottolineato in questi ultimi giorni da WhatsApp, le condizioni sulla privacy non hanno subito alcuna modifica sostanziale in merito al trattamento che veniva fatto precedentemente degli utenti; in definitiva, sono state solo puntualizzate alcune specifiche ed in particolare che i seguenti dati (che non hanno nulla a che vedere con i contenuti dei nostri messaggi) verranno collezionati e condivisi con Facebook:
- Rete telefonica
- Informazioni di connessione, ovvero numero di telefono, operatore mobile ed ISP
- Il livello della batteria dello smartphone in uso
- Il livello del segnale di servizio in uso
- L’indirizzo IP
- Informazioni relative alle operazioni dello strumento in uso
Ma, e qui ci cade sempre l’asino, persistono due specifici problemi noti da tempo e relativi alla modalità di backup, ovvero di salvataggio dei dati locali e su cloud, ed alla mancanza di criptaggio dei metadati; questi ultimi permettono, in caso di controllo da parte delle autorità, di dischiudere informazioni relative a chi ci ha contattati, quando e per quanto tempo sebbene i contenuti rimangano criptati.
Inoltre, tutti i backup, di mesia e messaggi, di WhatsApp salvati su Google Drive, su Google Cloud o iCloud non sono assolutamente soggetti all’end-to-end encrytion! Questo perché spostiamo i nostri dati in un’azienda terza che, logicamente, non risponde alle regole di WhatsApp e deve comunque permetterci l’accesso ai nostri dati: se i messaggi non venissero decriptati questo non sarebbe possibile.
TELEGRAM: SOLO CON CHAT SEGRETA
Telegram non ha grandissime differenze rispetto a Whatsapp, a parte la possibilità di creare ed utilizzare dei BOT, pertanto non dovrebbe essere considerato un’alternativa al servizio se la nostra preoccupazione è quella relativa alla privacy dei nostri messaggi. D’altro canto può risultare comodo perché ci permette di chattare con persone di cui non possediamo il numero di telefono ma solamente il nome utente (attenzione però a cambiare le impostazioni sulla privacy, altrimenti quella persona potrà automaticamente accedere al nostro numero). Allo stesso tempo, Telegram a volte sembra avere problemi a recapitare in tempi i messaggi inviati e, spesso, arrivano a destinazione parecchie ore più tardi.
Al contrario di quanto accade su Whatsapp in cui tutto avviene in automatico per ogni tipo di contenuto, su Telegram l’end-to-end encryption viene utilizzata solo il momento in cui l’utente esplicita che la comunicazione che intende effettuare con il contatto prescelto è una secret chat (una chat segreta che non viene salvata sui server di Telegram, i cui messaggi non potranno essere inoltrati ad altri contatti al di fuori di tale chat e che potrà autodistruggersi). Tutte le altre comunicazioni, quelle che, per intenderci, utilizziamo di norma non hanno questa peculiarità e, quindi, vengono criptate sul server e non direttamente sul proprio dispositivo come avviene con le chat segrete.
In definitiva, se il nostro cruccio è la privacy e vogliamo usare Telegram dovremo necessariamente impostare e generare solo chat segrete e non quelle che naturalmente apriamo in automatico.
SIGNAL: L’APP CHE SI DISCOSTA EVIDENTEMENTE DALLE ALTRE DUE
Signal appare l’applicazione più consigliata dagli altri media, il motivo? Edward Snowden ne aveva parlato tempo fa ed, ora, anche Elon Musk ha deciso di renderla ulteriormente nota; il derivante sillogismo aristotelico, quindi, suggerisce che Signal deve essere la migliore applicazione al mondo per la comunicazione… non proprio, ma sicuramente è l’ideale per coloro che non vogliono spendere.
L’unico nostro dato che Signal ci chiede è il nostro numero di telefono (Threema, la app che attualmente preferiamo in termini di sicurezza e privacy, la cui giurisdizione risponde alla Svizzera e di cui avevamo parlato qui, non ci chiede nessun dato personale, né il numero di telefono, né un’e-mail! Inoltre, utilizza il proprio servizio di server senza appoggiarsi a terzi).
Come già accennato, WhatsApp e Signal condividono lo stesso protocollo Open Source di criptaggio (l’E2E sviluppato dalla Open Whisper Systems) rendendo la propria applicazione sicura. La differenza sostanziale è che Signal è Open Source e ci permette pertanto di studiare ed accedere al suo codice sorgente da GitHub.
Signal non salva i nostri messaggi sul proprio server ma direttamente sul nostro dispositivo; logicamente, nel momento in cui vengono inviati interagiranno con il server e cancellati una volta conclusasi l’azione. Inoltre, come nel caso di Telegram è possibile generare dei messaggi che scompaiano da soli automaticamente; oppure impostare la cancellazione di tutti i messaggi nel giro di un tempo da noi prescelto.
Al contrario di Telegram e WhatsApp, Signal utilizza un servizio decentralizzato in cui le liste dei nostri contatti, i gruppi ed i profili degli utenti sono gestiti all’interno del nostro smartphone e non da un server centrale.
Siamo costretti a notare che, purtroppo, il servizio di questa applicazione è stato bloccato nei seguenti Stati: Egitto, Oman, Iran, Qatar ed Emirati Arabi Uniti.
PICCOLO SOMMARIO PER IL CONFRONTO
- Richiede i seguenti dati: numero di telefono, dati di identificazione, e-mail, contatti, dati a scopi pubblicitari, cronologia degli acquisti, informazioni di pagamento, location, performance degli strumenti utilizzati, diagnostica, rete telefonica ed operatore mobile, informazioni di connessione ed indirizzo IP ed ISP (internet service provider)
- Utilizza l’end-to-end encryption, ma non per i backups!
- I messaggi vengono archiviati e salvati sebbene criptati
- Può utilizzare i dati per scopi commerciali
TELEGRAM
- Richiede numero di telefono, contatti e dati di identificazione ma è possibile chattare con sconosciuti senza consegnargli il proprio numero di telefono (modificando le impostazioni di base)
- End-to-end encryption presente solo ed esclusivamente nelle secret chats!
- I messaggi vengono archiviati e salvati
- Open Source
- BOTS
- Solo le chat segrete si auto-distruggono
SIGNAL
- Richiede solo il numero di telefono ed i contatti
- Utilizza l’end-to-end encryption
- Chat e messaggi non vengono salvati nel server
- Architettura decentralizzata
- Open Source
Comincia la discussione