WhatsApp, cosa può sapere Meta senza leggere i messaggi: il problema dei metadati

Parlando di effettiva riservatezza dei messaggi privati, come quelli che scambiamo ogni giorno attraverso WhatsApp, esiste una semplificazione estremamente diffusa: WhatsApp utilizza la cifratura end-to-end, quindi Meta non può sapere nulla delle comunicazioni degli utenti. Dal punto di vista strettamente crittografico, l’affermazione è corretta solo in parte. Il contenuto dei messaggi personali è effettivamente protetto avvalendosi di un protocollo di cifratura che si occupa di proteggere il contenuto dei messaggi scambiati da un capo all’altro della comunicazione: tra il dispositivo del mittente e quello del destinatario. Per questo si chiama cifratura “end-to-end”.

Il sistema di messaggistica, tuttavia, produce enormi quantità di dati “di contorno”: si chiamano metadati. Nel mondo delle telecomunicazioni, i metadati rappresentano tutte quelle informazioni che descrivono una comunicazione senza contenere direttamente testo, audio o video. Nel caso di WhatsApp, parliamo di timestamp, indirizzi IP, pattern di connessione, relazioni tra account, identificatori dei dispositivi, frequenza delle interazioni, routing dei messaggi, stato online, sincronizzazioni multi-device, token push e informazioni necessarie per la gestione dell’infrastruttura.

Negli ultimi anni, il valore informativo dei metadati è diventato persino superiore a quello del contenuto stesso. Sapere che due persone comunicano ogni sera alle 23:40 da determinate aree geografiche può avere un valore investigativo enorme anche senza conoscere una singola parola della conversazione!

Signal Protocol: cosa protegge davvero WhatsApp

Dal 2016 WhatsApp utilizza il Signal Protocol sviluppato originariamente da Open Whisper Systems, oggi Signal Foundation, e in particolare dal crittografo conosciuto come Moxie Marlinspike. La piattaforma si serve di una combinazione di protocolli e algoritmi crittografici, tra cui X3DH per lo scambio sicuro delle chiavi, Double Ratchet per aggiornare continuamente le chiavi di cifratura, Curve25519 per la crittografia a chiave pubblica, HKDF per derivare nuove chiavi, HMAC-SHA256 per verificare l’integrità dei dati e AES per cifrare i messaggi, così da garantire sia la forward secrecy, che impedisce di decifrare vecchi messaggi anche in caso di compromissione di una chiave, sia la post-compromise security, che permette di ripristinare la sicurezza delle comunicazioni dopo un’eventuale violazione.

Nel white paper ufficiale, i tecnici di WhatsApp spiegano che le sessioni sono inizializzate attraverso chiavi effimere e ogni messaggio aggiorna continuamente il materiale crittografico attraverso il meccanismo di ratcheting. Come già osservato in precedenza, significa che la compromissione di una chiave attuale non permette automaticamente di decifrare l’intera cronologia passata.

L’aspetto realmente sofisticato del Double Ratchet è proprio l’evoluzione continua dello stato crittografico: ogni messaggio genera nuove chiavi di cifratura e distrugge progressivamente quelle precedenti. In questo modo, il protocollo cerca di ridurre drasticamente la finestra temporale utile a un eventuale attaccante.

Le chat di gruppo utilizzano invece il sistema Sender Keys, progettato per evitare l’enorme overhead computazionale che deriverebbe dalla cifratura pair-to-pair completa su gruppi molto numerosi. Ogni client genera una chiave simmetrica condivisa distribuita individualmente agli altri partecipanti tramite canali già cifrati. Successivamente il mittente usa quella chiave per cifrare i messaggi destinati all’intero gruppo.

La cifratura protegge il contenuto, non il comportamento

Uno degli errori più comuni consiste nel confondere privacy del contenuto con anonimato relazionale. WhatsApp protegge il testo dei messaggi, ma il sistema deve comunque sapere dove consegnare i pacchetti, quale dispositivo contattare, quale account sincronizzare e quale endpoint risulta online. L’infrastruttura sottostante continua insomma a conoscere e gestire enormi quantità di informazioni.

La privacy policy europea di WhatsApp elenca esplicitamente categorie come:

• informazioni sul dispositivo
• sistema operativo
• livello batteria
• intensità del segnale
• browser
• rete mobile
• ISP
• indirizzo IP
• identificatori del dispositivo
• timestamp
• log diagnostici
• informazioni sulle interazioni.

Questi dati sembrano innocui se osservati singolarmente: aggregati su miliardi di utenti diventano invece una gigantesca piattaforma di analisi comportamentale.

Sfruttando il concetto di correlazione temporale, ad esempio, anche senza accedere al contenuto, un osservatore che abbia visibilità sui log di rete può ricostruire pattern estremamente accurati. Se un utente apre WhatsApp pochi secondi dopo l’accesso online di un secondo account e la sequenza si ripete centinaia di volte, il legame relazionale diventa statisticamente evidente.

Contact discovery: il componente più delicato dell’intero ecosistema

La parte più vulnerabile di WhatsApp è forse il meccanismo necessario a capire quali contatti utilizzano il servizio.

Per funzionare, infatti, WhatsApp deve confrontare la rubrica dell’utente con il database globale degli account registrati: è un’operazione apparentemente banale ma estremamente critica. Se implementata male, permette l’enumerazione massiva degli utenti: è esattamente ciò che alcuni ricercatori hanno dimostrato negli ultimi anni.

Uno studio pubblicato da SBA Research e Università di Vienna (novembre 2025) ha mostrato come l’infrastruttura di WhatsApp potesse essere abusata per interrogare enormi quantità di numeri telefonici e determinare quali fossero registrati sulla piattaforma. Secondo i ricercatori, era possibile raggiungere velocità superiori ai 100 milioni di numeri verificati all’ora.

Il dato tecnicamente più interessante non era soltanto l’enumerazione: i ricercatori notarono anche comportamenti anomali nel riutilizzo di chiavi pubbliche X25519 associate a differenti account o dispositivi. Il comportamento ha suggerito la presenza di dinamiche interne dell’infrastruttura non immediatamente visibili all’esterno.

Il risultato finale si è rivelato davvero impressionante, con la possibilità di costruire database giganteschi a partire dai dati degli utenti WhatsApp (senza rompere in alcun modo la cifratura end-to-end) contenenti:

• numero attivo
• foto del profilo
• stato
• chiavi pubbliche
• pattern di registrazione
• informazioni temporali sugli account.

Il multi-device ha moltiplicato la complessità del sistema WhatsApp

Per anni WhatsApp ha utilizzato un modello fortemente incentrato sul singolo dispositivo mobile. Ad esempio, lo stesso WhatsApp Web non era realmente indipendente: il browser agiva quasi come un terminale remoto controllato dallo smartphone e il servizio restava indisponibile allorquando lo smartphone con l’app WhatsApp installata risultasse spento oppure irraggiungibile. L’introduzione dello schema multi-device ha modificato radicalmente l’architettura interna del client di messaggistica.

Ora ogni companion (ovvero WhatsApp Web e qualsiasi eventuale dispositivo collegato) deve mantenere e gestire proprie chiavi, sessioni crittografiche, token, canali di comunicazione e sincronizzazioni.

Dal punto di vista ingegneristico è stata una trasformazione enorme: Meta e WhatsApp hanno dovuto progettare un sistema capace di mantenere la forward secrecy su più endpoint contemporaneamente, sincronizzando cronologia, stato dei messaggi e gruppi senza compromettere la cifratura.

Il problema è che ogni nuovo endpoint genera inevitabilmente nuovi metadati. Un singolo account può oggi produrre simultaneamente connessioni dal telefono, sessioni desktop, sincronizzazioni tablet, aggiornamenti push, notifiche, refresh delle chiavi ed eventi di pairing.

Sealed Sender: perché Signal prova a nascondere persino il mittente

Dopo la concessione dell’utilizzo dell’algoritmo di cifratura sviluppato da Moxie Marlinspike, Signal e WhatsApp hanno iniziato a divergere.

Rispetto al tema dei metadati, Signal affronta il problema in modo molto diverso: con la funzione Sealed Sender, introdotta nel 2018, il server cerca di non conoscere direttamente l’identità del mittente. Tecnicamente il sistema utilizza certificati temporanei e delivery token per autenticare il messaggio senza esporre completamente la relazione tra mittente e destinatario.

È una differenza colossale: WhatsApp protegge soprattutto il contenuto della comunicazione; Signal tenta di proteggere anche il contesto relazionale anche senza eliminare completamente i metadati. Nessun sistema distribuito globale può realisticamente farlo.

Tuttavia, Signal riduce sensibilmente la quantità di informazioni immediatamente disponibili lato server ed è una differenza davvero importante.

Nel 2023 alcuni ricercatori mostrarono che persino applicazioni progettate con forte attenzione alla privacy, come Signal, restano vulnerabili a tecniche di analisi del traffico per quanto riguarda i gruppi. Analizzando timing, dimensioni dei pacchetti, pattern di consegna e correlazioni temporali, era possibile inferire dinamiche comunicative con precisione sorprendente.

WhatsApp, avendo una base utenti immensamente più ampia e un’infrastruttura molto più integrata con sistemi centralizzati, produce inevitabilmente una superficie osservabile ancora più grande.

Il futuro della privacy non riguarda più soltanto la crittografia

Per oltre 20 anni ci siamo concentrati soprattutto sugli algoritmi crittografici e sulla loro sicurezza: RSA, AES, Diffie-Hellman, curve ellittiche, lunghezza delle chiavi.

Oggi il problema si sta spostando sugli enormi volumi di informazioni collaterali che la stragrande maggioranza delle piattaforme produce: pattern comportamentali, relazioni sociali, abitudini temporali, fingerprint dei dispositivi, correlazioni geografiche, sincronizzazioni, grafo sociale.

La questione, quindi, non è più soltanto se qualcuno possa leggere i messaggi scambiati ma anche quanto possa essere ricostruita la vita di una persona semplicemente osservando il modo in cui comunica.

Il problema della verificabilità: WhatsApp resta un software closed source

Uno degli aspetti meno discussi riguarda un punto estremamente importante: il client di WhatsApp non è open source (né, tanto meno, lo è la parte server).

Ricercatori, accademici, esperti e analisti di sicurezza non possono esaminare liberamente l’intera base di codice dell’applicazione per verificare in modo indipendente la reale implementazione della cifratura, la gestione puntuale dei metadati, i meccanismi di logging interni e di telemetria, la gestione delle chiavi e la raccolta dati lato client.

Di contro, Signal pubblica il codice sorgente dei client e del server su GitHub sotto le licenze GPLv3 e AGPLv3. Il protocollo, le librerie crittografiche e gran parte dell’infrastruttura possono essere analizzati pubblicamente.

WhatsApp, pur utilizzando il Signal Protocol resta un’applicazione proprietaria: è possibile verificare la robustezza teorica del protocollo crittografico, ma non si ha piena visibilità sull’intera implementazione reale distribuita agli utenti. Tant’è vero che molti non hanno digerito l’improvvisa chiusura di un’indagine a carico di WhatsApp.

Nel campo della sicurezza informatica, infatti, la fiducia non deriva soltanto dall’uso di algoritmi robusti ma anche dalla possibilità di audit indipendenti effettuati con regolarità. Un software closed source richiede inevitabilmente un maggiore livello di fiducia verso il fornitore.

Telegram, nella persona del fondatore Pavel Durov, ha più volte attaccato WhatsApp sostenendo che non sia possibile verificare completamente ciò che accade all’interno del client proprietario Meta. Le critiche si sono concentrate soprattutto sull’impossibilità di controllare indipendentemente eventuali componenti di telemetria, logging o integrazioni interne non documentate pubblicamente.

La situazione di Telegram, però, è a sua volta particolare e spesso fraintesa. I client Telegram sono open source, ma il backend server-side non è completamente aperto. Inoltre le normali chat cloud non usano cifratura end-to-end: solo le Secret Chat utilizzano E2EE reale. Questo significa che Telegram offre maggiore trasparenza del client rispetto a WhatsApp, ma un modello di protezione del contenuto standard meno rigoroso (Durov ha sottolineato che la sua piattaforma non ha mai consegnato a terzi, neppure alle Autorità, i dati di nessun utente).

I backup cloud: la critica più dura di Telegram a WhatsApp

Uno degli attacchi più pesanti rivolti da Durov a WhatsApp riguarda un aspetto che molti utenti ignorano completamente: i backup cloud.

Dal punto di vista strettamente tecnico, la cifratura end-to-end protegge i messaggi durante il transito tra i dispositivi ma questo livello di protezione non si estendeva automaticamente ai backup dei contenuti WhatsApp caricati su Google Drive o iCloud.

Durov ha più volte sostenuto che “le chat WhatsApp non sono realmente private“ se una copia completa delle conversazioni finisce in backup cloud accessibili al provider o recuperabili tramite account compromessi.

Questo creava una situazione paradossale: il canale di comunicazione era sicuro, ma l’archivio storico delle conversazioni poteva diventare il vero punto debole.

La questione è diventata particolarmente rilevante in ambito investigativo. Diverse società di digital forensics hanno per anni concentrato parte delle proprie attività proprio sull’acquisizione dei backup cloud piuttosto che sull’attacco diretto alla cifratura del protocollo Signal usato da WhatsApp.

Nel 2021, Meta ha introdotto i backup cloud con cifratura: il sistema utilizza una chiave a 64 cifre generata lato client oppure custodita tramite Hardware Security Module con meccanismi di recovery basati su password dell’utente. Per avvalersene, basta accedere alle impostazioni, toccare Chat, Backup delle chat e infine Backup crittografato end-to-end.

Come contesta Durov, tuttavia, l’uso della cifratura è disattivato per impostazione predefinita; inoltre, anche se un utente attiva questa misura, i suoi interlocutori possono non farlo, rendendo i suoi messaggi accessibili dal gestore dello storage cloud.

Conclusioni

La crittografia end-to-end utilizzata da WhatsApp è reale e dal punto di vista strettamente tecnico, il Signal Protocol offre protezioni molto avanzate contro intercettazioni del contenuto, compromissioni temporanee delle chiavi e attacchi retrospettivi sulle comunicazioni passate.

Allo stesso tempo, però, la sicurezza non può più essere valutata esclusivamente osservando gli algoritmi crittografici impiegati per proteggere il contenuto dei messaggi. Il tema emerso negli ultimi anni riguarda la quantità enorme di informazioni collaterali generate dall’infrastruttura: metadati, pattern temporali, sincronizzazioni, correlazioni tra account, eventi di rete, dispositivi associati, backup cloud e informazioni di contesto.

WhatsApp protegge ciò che gli utenti scrivono e i messaggi che si scambiano, ma continua inevitabilmente a produrre una grande quantità di dati relazionali necessari al funzionamento di un’infrastruttura globale utilizzata da oltre 2 miliardi di persone. Signal cerca invece di ridurre il più possibile la visibilità lato server, sacrificando parte della comodità e della scalabilità.

La privacy, tuttavia, non dipende soltanto dalla capacità di impedire a terzi di leggere un messaggio; come abbiamo visto, dipende infatti anche da quanto sia possibile ricostruire la vita digitale di una persona osservando semplicemente il modo in cui comunica.