/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/01/causa-contro-whatsapp-meta-crittografia-end-to-end.jpg "WhatsApp è davvero “privato”? Causa contro Meta mette in discussione la crittografia end-to-end")
I promotori di una nuova azione legale avviata presso il tribunale della Corte distrettuale di San Francisco (USA) sostengono che Meta e WhatsApp avrebbero indotto in errore gli utenti facendo leva sull’idea che le chat siano “private” grazie alla crittografia end-to-end (E2EE), mentre in realtà l’azienda “conserverebbe, analizzerebbe e potrebbe accedere” a comunicazioni che gli utenti ritengono indisponibili al provider. Meta respinge le accuse definendole infondate e ribadisce che i messaggi sono cifrati, illeggibili al personale di Meta.
Come funziona tecnicamente la crittografia end-to-end di WhatsApp
Dal punto di vista tecnico, la crittografia end-to-end, così come implementata da WhatsApp tramite il protocollo Signal, è progettata affinché il contenuto dei messaggi sia cifrato sul dispositivo del mittente e decifrato solo su quello del destinatario. I server intermediari non sono in grado di leggere il contenuto dei messaggi, limitandosi a gestire il trasporto dei dati cifrati. Meta ha sempre sostenuto che questa protezione sia attiva di default e che impedisca all’azienda stessa di accedere alle conversazioni.
I limiti della E2EE: cosa resta fuori dalla cifratura
La crittografia end-to-end, per definizione, protegge il contenuto “in transito” da intercettazioni tra mittente e destinatario. Non prende in considerazione:
- Cosa succede sul dispositivo prima della cifratura (input, clipboard, accessibilità, keylogging, componenti terze parti).
- Ciò che avviene dispositivo dopo la decodifica dei dati (rendering, indicizzazione locale, crash report, diagnostica).
- Quello che avviene quando i dati lasciano l’applicazione (backup cloud, esportazioni chat, notifiche, integrazioni, account linking).
- Quanti metadati sono raccolti (chi parla con chi, quando, da dove, con che frequenza), informazioni che possono essere largamente rivelatrici anche senza mettere le mani sui contenuti veri e propri.
Il ruolo dei regolatori: audit, verifiche e trasparenza del codice
Nell’Unione Europea, molte norme puntano a far sì che un’azienda dimostri sicurezza e conformità (accountability), anche tramite audit, documentazione tecnica e controlli, ma non affermano che sia necessario pubblicare il codice sorgente. Questo perché esso può contenere segreti industriali.
I regolatori potrebbero comunque richiedere audit che includano verifiche su client (app) e backend WhatsApp, verifica dei flussi dati reali, analisi di build e supply chain. Se un’azienda dice “non possiamo leggere alcun contenuto”, deve poter mostrare che nessun processo o ruolo ha una via pratica per farlo, e che qualsiasi eccezione è strettamente controllata. In termini di eccezioni, Meta e WhatsApp hanno sempre sottolineato che l’unico momento in cui i contenuti degli utenti arrivano in chiaro lato server è quando l’utente usa la funzione Segnala a WhatsApp per inviare notifica di un comportamento censurabile o illecito.
Al di là di WhatsApp, affrontando la questione con un approccio che guarda ai clienti di messaggistica nel loro complesso, ci sono comunque aree in cui la promessa di crittografia end-to-end è indebolita senza che l’utente se ne accorga:
- Backup (se non E2EE, è spesso il punto più debole).
- Integrazioni AI (se il contenuto è inviato a servizi di elaborazione, la gestione della privacy cambia).
- Notifiche (anteprime contenuto).
- Strumenti enterprise (archiviazione e compliance).
- Migrazioni multi-device (gestione chiavi, pairing, recovery).
Ci vorrebbe un opt-in esplicito, spiegazioni non ambigue (“questa funzione invia contenuti a…”) e impostazioni conservative abilitate di default.
Metadati, backup e integrazioni: il cuore della contestazione
L’accusa, tuttavia, non sembra limitarsi a una contestazione astratta del modello crittografico, ma punta piuttosto su una presunta discrepanza tra ciò che viene comunicato agli utenti e la configurazione in cui WhatsApp opera. In particolare, l’attenzione si sposta su elementi spesso trascurati nel dibattito pubblico: metadati, backup, integrazioni con altri servizi Meta e processi interni di analisi automatizzata. Anche in presenza di messaggi cifrati end-to-end, la raccolta sistematica di metadati, come orari, contatti, frequenza delle comunicazioni e informazioni sul dispositivo, può consentire una profilazione dettagliata degli utenti.
Un altro punto critico riguarda i backup delle chat. Se l’utente attiva il salvataggio delle conversazioni su servizi cloud di terze parti, come Google Drive o iCloud, la protezione end-to-end può venire meno o dipendere da chi detiene le chiavi di cifratura. Questo aspetto, pur tecnicamente noto da tempo, è spesso poco chiaro agli utenti, che potrebbero essere indotti a credere che la riservatezza sia totale e incondizionata in ogni scenario.
Il profilo giuridico della causa e la strategia difensiva di Meta
Dal punto di vista giuridico, la causa si fonda sull’accusa di pratiche ingannevoli e frode nei confronti dei consumatori. I promotori della vertenza mirano a ottenere la “promozione” della loro iniziativa a class action, evidenziando la portata globale del presunto danno. L’argomentazione centrale non è solo che Meta avrebbe accesso ai contenuti, ma che avrebbe costruito una comunicazione commerciale tale da indurre gli utenti a una fiducia non pienamente giustificata.
Meta ha reagito con fermezza, definendo la causa priva di fondamento e ribadendo che qualsiasi affermazione secondo cui i messaggi WhatsApp non sarebbero cifrati è tecnicamente falsa.
La difesa dell’azienda si appoggia a un dato oggettivo: il protocollo Signal è open source, ampiamente analizzato dalla comunità di sicurezza e considerato uno standard elevato in termini di protezione delle comunicazioni. Tuttavia, il nodo della questione potrebbe vertere sul contesto in cui la soluzione crittografia è implementata, gestita e comunicata agli utenti.
Conclusioni
Indipendentemente dall’esito del procedimento, il caso rappresenta un precedente potenzialmente rilevante. Potrebbe spingere le aziende tecnologiche a rivedere il modo con cui descrivono le proprie misure di sicurezza, adottando un linguaggio più preciso e meno assoluto. Allo stesso tempo, rafforza l’idea che la privacy digitale non possa essere ridotta a uno slogan tecnico, ma debba essere valutata lungo l’intera catena di trattamento dei dati, dalla cifratura alla governance interna.
/https://www.ilsoftware.it/app/uploads/2026/01/wp_drafter_494888.jpg "NexPhone: il sorprendente smartphone che fa girare Android, Linux e Windows 11")
/https://www.ilsoftware.it/app/uploads/2026/01/airalo-3.jpg "Airalo è l'eSIM che ti fa viaggiare in gruppo al sicuro in oltre 200 paesi")
/https://www.ilsoftware.it/app/uploads/2026/01/Offerta-Iliad-Top-250.jpg "Iliad Giga 250: a 11,99€ con 5G incluso, minuti e SMS illimitati")
/https://www.ilsoftware.it/app/uploads/2025/12/tastierino-numerico-bluetooth-calcolatrice-techly.jpg "Il tastierino numerico Bluetooth che mancava: velocità e precisione per chi lavora in mobilità")