Non ho nulla da nascondere: perché è l’errore più pericoloso sulla privacy

“Non ho nulla da nascondere” è una delle frasi più diffuse quando si parla di sorveglianza digitale, raccolta dati e privacy. L’argomento è entrato nel dibattito pubblico con l’esplosione dei servizi online tra anni 2000 e 2010, quando la crescita delle piattaforme cloud, dei social network e dei sistemi di tracciamento ha reso possibile un monitoraggio sistematico delle attività individuali.

Oggi la raccolta di dati personali è una componente strutturale dei modelli economici digitali e delle politiche di sicurezza: secondo varie analisi di settore, la maggioranza delle applicazioni mobili integra almeno un sistema di tracciamento e la profilazione comportamentale alimenta mercati pubblicitari da centinaia di miliardi di euro.

In questo contesto, l’idea di “non avere nulla da nascondere” appare intuitiva ma trascura aspetti tecnici, giuridici e sociali fondamentali legati alla gestione delle informazioni personali.

Sostenere che non ti interessa il diritto alla privacy perché non hai nulla da nascondere equivale a dire che non ti interessa la libertà di parola perché non hai nulla da dire. — Edward Snowden

“Non ho nulla da nascondere, tanto i miei dati li hanno già…”

Negli ultimi tempi ci è ripetutamente capitato di ascoltare frasi del genere.

A una prima lettura il “non ho nulla da nascondere” potrebbe suonare ragionevole perché sposta la discussione su un terreno morale semplice: se non fai nulla di illecito, perché dovresti preoccuparti? Il fatto è che la privacy non nasce per proteggere il crimine. Nasce per proteggere la libertà di vivere, scegliere, sbagliare, cambiare idea, sperimentare, curarsi, amare e parlare senza che ogni gesto diventi un dato archiviato, correlato, interpretato e potenzialmente usato contro di te o comunque per venderti qualcosa oppure, ancora, per influenzare le tue decisioni.

Chi aggiunge “hanno già i miei dati, quindi…” abbia una seconda scorciatoia: il fatalismo. Come se l’esistenza di una perdita pregressa rendesse inevitabile e accettabile qualsiasi perdita futura.

Privacy e segretezza non sono la stessa cosa

La prima distinzione tecnica riguarda il significato di privacy, spesso confuso con il tema della segretezza. La privacy riguarda soprattutto chi decide, per quale scopo, per quanto tempo e con quali conseguenze un’informazione viene trattata.

Un dato può essere innocuo nel tuo contesto (una ricerca medica, un luogo visitato, un acquisto), ma può cambiare significato quando inserito in un sistema che lo usa per valutarti, profilarti o limitarti. Il punto non è “nascondere”, è evitare che altri possano riassemblare frammenti della tua vita in un giudizio operativo: un prezzo più alto, un’offerta di lavoro diversa, una pubblicità predatoria, un controllo “selettivo”, un sospetto automatizzato.

Si tratta di mantenere il controllo su come le informazioni sono raccolte, aggregate e riutilizzate. I dati personali includono identificativi diretti come nome o numero di telefono, ma anche metadati e informazioni indirette che, una volta combinate, permettono agli interessati di derivare orientamento politico, stato di salute o condizioni economiche.

Sistemi di analisi basati su profilazione algoritmica sono in grado di estrarre tali informazioni da segnali apparentemente innocui, ad esempio cronologia di navigazione o pattern di acquisto.

Non è che ho qualcosa da nascondere: ho qualcosa da decidere. Decido io chi deve avere informazioni che mi riguardano.

Il problema del cambiamento normativo e politico

L’argomento “non ho nulla da nascondere” presuppone che le regole attuali restino immutate nel tempo. Dal punto di vista giuridico, tuttavia, le norme che definiscono cosa sia lecito o illecito possono cambiare rapidamente.

La storia dimostra che dati raccolti in un contesto neutrale possono diventare strumenti di controllo quando muta l’assetto politico. Archivi anagrafici, registri sanitari o dati di appartenenza a gruppi sociali sono stati in passato utilizzati per discriminare minoranze.

La permanenza dei dati digitali e la facilità di correlazione tramite data broker rendono questo rischio tecnicamente più concreto rispetto alle epoche precedenti. Ed è qui che il “non ho nulla da nascondere” diventa una scommessa sul futuro fatta con leggerezza.

Oggi non ti serve nascondere niente. Il problema è che stai costruendo l’archivio che qualcuno userà quando la definizione di “niente” cambierà.

Aggregazione dei dati e perdita di contesto

Un ulteriore elemento critico riguarda l’aggregazione di informazioni provenienti da fonti diverse. Le piattaforme digitali raccolgono dati per finalità specifiche, ma attraverso fusioni aziendali, cambi di policy o rivendita a intermediari, tali informazioni possono girare verso usi non previsti inizialmente.

La domanda corretta non è “che cosa scoprono?”, ma “che cosa possono fare con quello che scoprono?”

La combinazione di dataset eterogenei consente inferenze sempre più accurate. Inoltre, i sistemi automatici di classificazione possono generare falsi positivi, specialmente quando si basano su analisi di contenuti senza contesto, come nel caso di sistemi di rilevamento automatico di messaggi sospetti.

La profilazione degli individui consente micro-targeting, manipolazione delle scelte, ottimizzazione dei messaggi per colpire vulnerabilità (paura, rabbia, solitudine, impulsività).

La questione non è la tua innocenza: è la capacità di terzi di orientare scelte e opportunità usando i tuoi dati.

Sicurezza dei dati e superfici di attacco

Le violazioni di database e le aggressioni che portano a data breach espongono informazioni sensibili a soggetti non autorizzati. Anche in assenza di attacchi esterni, il rischio deriva da accessi interni impropri o errori di configurazione nei sistemi cloud. Ogni dato raccolto aumenta la superficie di attacco disponibile e, una volta esfiltrato, è difficilmente recuperabile o cancellabile in modo definitivo.

Per anni abbiamo assistito a una durissima “stretta” sui cookie. Come se bloccare i cookie fosse lo strumento per sentirsi al sicuro. In realtà la questione è molto più complessa. I cookie sono soltanto uno degli strumenti di tracciamento, e nemmeno il più sofisticato. Anche quando l’utente li rifiuta o li limita, il browser continua a esporre un’enorme quantità di informazioni tecniche — versione del sistema operativo, font installati, risoluzione dello schermo, fuso orario, plug-in, caratteristiche hardware — che, combinate tra loro, permettono di creare un fingerprint digitale unico e persistente.

I cookie sono il dito, quando non vediamo la trave…

La trave è l’intero modello di raccolta, accumulo e sfruttamento dei dati su cui si regge gran parte dell’economia digitale contemporanea. Non è un singolo strumento di tracciamento, ma un sistema che opera a più livelli, spesso in modo invisibile e continuativo.

Un elemento da tenere presente è la centralizzazione massiva dei dati. Piattaforme, app, servizi cloud e dispositivi connessi raccolgono quantità crescenti di informazioni su abitudini, interessi, spostamenti e relazioni sociali. Questi dati vengono conservati per periodi lunghi, replicati su più infrastrutture e spesso condivisi con una filiera estesa di partner commerciali e data broker. In questo contesto, il singolo database violato non è un incidente isolato, ma una porta d’accesso a ecosistemi informativi interconnessi.

Una volta raccolta, un’informazione difficilmente scompare davvero. Backup, copie, log, archivi di terze parti rendono la cancellazione completa quasi impossibile. Anche quando un servizio promette la rimozione, versioni derivate o dataset aggregati possono continuare a circolare. Il risultato è una memoria digitale potenzialmente indefinita, pronta a essere riutilizzata in contesti futuri, anche molto diversi da quelli originari.

L’utente medio non ha visibilità reale su dove vadano i propri dati, chi li utilizzi, con quali modelli e con quali conseguenze. Le organizzazioni, invece, dispongono di strumenti analitici avanzati e capacità di incrocio su larga scala.

Abbiamo parlato di data broker: in Europa, invece, pur esistendo diritti forti sulla carta, manca ancora un registro pubblico centralizzato dei broker e un meccanismo unico e automatizzato di opt-out e cancellazione: così, l’onere resta sulle spalle del singolo cittadino.

Il ruolo dei sistemi di scansione lato client

Alcune proposte normative, come i sistemi di analisi dei contenuti direttamente sui dispositivi degli utenti, prevedono meccanismi di client-side scanning integrati nei sistemi operativi.

Tali tecnologie analizzano file e comunicazioni prima della cifratura, con l’obiettivo dichiarato di individuare contenuti illegali. Dal punto di vista tecnico, ciò implica l’accesso a tutti i dati locali e la possibilità di aggiornare nel tempo i criteri di rilevamento. L’infrastruttura che nasce con uno scopo circoscritto può essere estesa ad altri utilizzi, introducendo un potenziale vettore di abuso.

Ecco perché provvedimenti come quelli che, in Europa, potrebbero portare alla cancellazione dell’anonimato con Chat Control sono pericolosi e possono di fatto attivare una sorveglianza di massa, non solo sui cittadini europei ma anche su quelli residenti al di fuori di confini dell’Unione.

Controllo informativo e autonomia individuale

La disponibilità di grandi volumi di dati personali consente a piattaforme e istituzioni di influenzare l’ambiente informativo utilizzato dalle persone per prendere decisioni.

La personalizzazione dei contenuti, la definizione dinamica dei prezzi o la selezione delle opportunità lavorative sono esempi di applicazioni in cui la conoscenza dettagliata del comportamento individuale produce effetti concreti. La privacy, in questo senso, protegge l’autonomia decisionale e limita asimmetrie informative tra individui e organizzazioni.

Il rischio non è solo lo Stato: sono anche aziende, intermediari e fughe di dati

Torniamo alla considerazione fatalista “loro hanno già i miei dati…”.

Chi è “loro”? Un’app? Un data broker? Un partner commerciale? Un subfornitore? Un sistema di advertising? Una piattaforma che domani sarà acquisita?

La catena è lunga e opaca. E più la catena è lunga, più è probabile che qualcosa finisca fuori controllo: violazioni, insider, accessi impropri, errori, correlazioni sbagliate, riutilizzi non previsti. Il danno tipico non è “mi arrestano”: è furto d’identità, truffe credibili, stalking, ricatti, discriminazione invisibile (creditizia, lavorativa, assicurativa).

Le mosse da mettere in campo per preservare la privacy nell’era digitale

Nell’era digitale la privacy non è più un concetto astratto né un lusso per pochi, ma una componente essenziale della libertà individuale e della sicurezza personale. Ogni interazione online — dalla navigazione ai pagamenti, dalle conversazioni alle ricerche — lascia tracce che possono essere raccolte, correlate e trasformate in profili estremamente dettagliati. In questo contesto, preservare la propria riservatezza non significa “avere qualcosa da nascondere”, ma mantenere il controllo su come, quando e da chi le proprie informazioni vengono utilizzate.

Le misure da applicare sono allo stesso tempo tecniche e comportamentali: riguardano la protezione degli account, la gestione consapevole dei dispositivi, la scelta degli strumenti digitali e l’adozione di abitudini più attente nella vita quotidiana online. Sì, perché il concetto di privacy va di pari passo con quello di “sicurezza”.

Comprendere questi meccanismi e applicare contromisure concrete consente non solo di ridurre i rischi di sorveglianza, abuso e manipolazione, ma anche di riaffermare un principio fondamentale: la privacy è una condizione necessaria per l’autonomia, la dignità e il pieno esercizio dei diritti nella società contemporanea.

Metti in sicurezza gli account (riduce furti d’identità e abusi subito)

• Utilizza password uniche, lunghe e complesse ovunque.
• Attiva l’autenticazione a due fattori (2FA) con app (Aegis su Android, 2FAS o Authy su iOS/Android).
• Attiva passkey dove disponibili (Google, Microsoft, Apple, ecc.) e rimuovi metodi di recupero “deboli”.

Sul telefono: taglia la raccolta di dati “passiva”

• Disattiva l’Advertising ID / “Personalizzazione annunci”.
• Revoca permessi non necessari: posizione, microfono, foto, rubrica (soprattutto alle app social/commerce).
• Concedi il rilevamento della posizione geografica solo alle app essenziali ed eventualmente imposta “solo mentre usi l’app”.
• Disattiva “condivisione analytics/diagnostica” se presente.

Messaggistica: usa E2EE “seria” dove conta

• Per chat e chiamate private: Signal (E2EE forte, pochi metadati rispetto a molte alternative).
• WhatsApp: va bene per comodità, ma considera che metadati e integrazioni/backup possono degradare la privacy. È bene disabilitare i backup non cifrati.

Email: riduci profilazione e tracciamento

• Valuta un provider più orientato alla privacy (es. Proton Mail) per comunicazioni strettamente riservate o utilizza meccanismi di cifratura asimmetrica per le email (i.e. OpenPGP).
• Usa email alias (SimpleLogin, o alias del tuo provider) per iscrizioni/servizi: se un sito vende il tuo indirizzo, lo “bruci” senza perdere tutto.
• Nel client email, disattiva caricamento immagini remoto (in questo modo si evitano di innescare i cosiddetti tracking pixel).
• Attenzione al phishing: è responsabile di almeno il 90% degli attacchi informatici, a ogni livello. E impara a riconoscere le email truffa oltre ai messaggi malevoli. Guarda come un semplice messaggio WhatsApp può causare danni ingenti.

Separa le “identità” digitali

• Un profilo browser per lavoro, uno per gli aspetti personali, uno per i social.
• Account separati quando serve (es. niente login Google su profilo “generico”).
• Niente “Accedi con Google/Facebook” su siti a caso e attenzione alle richieste di permessi OAuth da parte di applicazioni di terze parti.

Abitudini che fanno davvero la differenza

• Aggiorna sistema operativo e app: privacy e sicurezza vanno insieme, come osservato in precedenza.
• Installa solo app necessarie e ogni 2–3 mesi fai “pulizia”.
• Evita quiz/app inutili che chiedono rubrica, foto, microfono: sono spesso mini-data broker.
• Attenzione ai concorsi e alle raccolte punti: non concedere il consenso per la condivisione dei tuoi dati con soggetti terzi.
• Concedi i tuoi dati soltanto con chi merita di averli. Non cliccare sul Continua accettando passivamente la condivisione di dati personali.
• Non usare mai dispositivi con password di default e credenziali predefinite.

Una questione di diritti fondamentali

Il diritto alla riservatezza è strettamente collegato ad altri diritti civili, come la libertà di espressione e di associazione. Difendere la privacy non implica nascondere comportamenti illeciti, ma preservare uno spazio di libertà in cui le persone possano sviluppare idee, relazioni e attività senza un monitoraggio costante.

L’argomento “non ho nulla da nascondere” ignora la dimensione collettiva di questi diritti e il fatto che le infrastrutture di sorveglianza, una volta implementate, possono essere riutilizzate con finalità sempre diverse.