WhatsApp è la app di messaggistica più usata al mondo. Ma non è sempre tutto così chiaro, come le nuove regole ci ricordano.
Sebastian Meineck per Motherboard
Aggiornamento del 7/01/21:
Nelle ultime ore, gli utenti di WhatsApp di diversi paesi (Italia compresa) stanno ricevendo una notifica interna alla app e relativa a un nuovo aggiornamento dei termini e delle condizioni di utilizzo.
L’aggiornamento sta facendo discutere utenti ed esperti di privacy per due principali ragioni. La prima è che, stando al messaggio stesso, non sarà più possibile utilizzare la app senza accettare i nuovi termini entro l’8 febbraio prossimo. La seconda è che una parte dell’aggiornamento riguarda la condivisione automatica (e non più su base volontaria) di determinati dati utente di WhatsApp con l’azienda madre Facebook, tra cui informazioni di registrazione dell’account, numeri della rubrica, dati relativi alle transazioni economiche, interazioni sulla piattaforma, informazioni sul dispositivo utilizzato, indirizzo IP. Lo scopo della condivisione è “migliorare i servizi [dei prodotti delle aziende di Facebook] e le esperienze dell’utente quando li utilizza, ad esempio fornendo suggerimenti all’utente (ad esempio, suggerimenti di amici o gruppi con cui collegarsi oppure di contenuti interessanti), personalizzando funzioni e contenuti, aiutando a completare acquisti e transazioni e mostrando offerte e annunci rilevanti all’interno dei prodotti delle aziende di Facebook,” si legge sulla nuova informativa. La condivisione dei dati degli utenti di WhatsApp con Facebook sarà inoltre valida anche qualora un utente non abbia un account Facebook.
Per i paesi europei, però, è diverso: grazie al GDPR (il regolamento sulla privacy approvato a maggio 2016 ed entrato in vigore a partire dal 2018), infatti, questa specifica clausola non è inclusa nell’aggiornamento. Sulla versione dell’aggiornamento dei termini di WhatsApp dedicata ai paesi dell’Unione Europea si legge che “non condividiamo dati per migliorare i prodotti di Facebook e fornire esperienze pubblicitarie più pertinenti su Facebook,” e che “oggi, Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook o per fornirti esperienze pubblicitarie più pertinenti su Facebook.”
L’aggiornamento per l’Italia riguarda dunque una riscrittura delle informazioni relative a “servizio di Whatsapp e modalità del trattamento dei dati” e un aggiornamento nell’uso da parte delle aziende dei servizi disponibili su Facebook per conservare e gestire le proprie chat WhatsApp, perché “molte aziende si affidano a WhatsApp per comunicare con i propri clienti. Collaboriamo con le aziende che usano Facebook o con terzi per archiviare e gestire al meglio le comunicazioni fra aziende e utenti su WhatsApp,” si legge nell’aggiornamento, che avrebbe comunque scopi pubblicitari.
IL MESSAGGIO DI AGGIORNAMENTO DEI TERMINI E DELLE CONDIZIONI DI UTILIZZO DI WHATSAPP CHE STA COMPARENDO AGLI UTENTI IN QUESTE ORE. A SINISTRA LA VERSIONE ITALIANA (SENZA INTEGRAZIONE CROSS PIATTAFORMA CON GLI ALTRI PRODOTTI FACEBOOK), A DESTRA QUELLA PER I PAESI NON EUROPEI.
Per quanto il messaggio comparso agli utenti di WhatsApp in Italia non includa la parte sull’integrazione con tutti i prodotti del gruppo Facebook, vietata dal GDPR, è chiaro che la sua entrata in vigore nel resto del mondo è comunque problematica, così come lo è la comparsa di un messaggio di conferma obbligata, una modalità già criticata in passato dal Garante della Privacy italiano.
Conosciamo tutti i metodi che i colossi dei social media usano per raccogliere i nostri dati, ma per alcune ragioni i difetti di WhatsApp (che è proprietà di Facebook) passano sempre inosservati. Con due miliardi di utenti mensili, è la app di messaggistica più popolare, soprattutto da quando, nel 2016, ha implementato la crittografia end-to-end per tutti i messaggi e le chiamate. In pratica, le persone si fidano del fatto che i contenuti dei loro scambi su WhatsApp siano al sicuro, che sembra anche vero. Ma ci sono altre cose che devi considerare quando scegli di scaricare o disinstallare una piattaforma di messaggistica.
La crittografia end-to-end fa sì che nessuno, tranne il mittente e il destinatario di un messaggi, abbiano accesso al contenuto della conversazione - neanche WhatsApp stessa. Usare una app senza questo livello di crittografia è come andare sulle Alpi in infradito: una mossa molto stupida.
WhatsApp non è, però, un’app buona come dice di essere. A ben vedere, la privacy e la protezione dei dati dell’utente non sono più tra le sue priorità, e il piano che prevede la sua fusione con altri servizi di Facebook, come Messenger e i DM di Instagram, è preoccupante. Ma vediamolo nel dettaglio.
WhatsApp vuole accedere a tutti i tuoi contatti
WhatsApp ci tiene proprio un sacco a leggere la lista di tutti i tuoi contatti, non solo quelli che usano a loro volta la piattaforma. Stando ai termini di servizio della app, l’utente “fornisce regolarmente, conformemente alle leggi applicabili, i numeri di telefono degli utenti di WhatsApp e di altri contatti presenti nella rubrica del suo dispositivo mobile, compresi quelli degli utenti dei nostri servizi e degli altri contatti.”
WhatsApp è piuttosto manipolatoria da questo punto di vista. Tecnicamente puoi negare l’accesso, ma la app ti punisce, non facendoti visualizzare i nomi nelle chat - una bella scocciatura per una piattaforma di messaggistica - e impedendoti di fare chiamate o creare gruppi.
Ma, se consenti l’accesso, WhatsApp legge le informazioni di tutti, dal tuo ginecologo al tuo spacciatore. C’è un dibattito in corso per stabilire se sia persino legale questa cosa, specialmente rispetto al GDPR europeo, che proibisce la condivisione di dati personali senza consenso. Mettiamo che conosci qualcuno che non usa WhatsApp, ma il suo numero è salvato sul tuo telefono. Nome e numero potrebbero essere condivise con WhatsApp, senza il suo consenso.
Per fare un paragone, Signal non ha bisogno di accedere alla tua rubrica. Anzi, la app converte i numeri di telefono dei tuoi contatti che la usano in una stringa di valori unici, chiamata “hash.” Signal conosce solo le hash, non i numeri reali, e cancella immediatamente le informazioni dai suoi server.
WhatsApp non sembra avere grande interesse per soluzioni simili. L’azienda madre Facebook, il cui modello economico è interamente basato sulle inserzioni, vuole raccogliere più dati possibili, e acconsentendo ai suoi termini di utilizzo, concedi a WhatsApp il diritto di condividere informazioni con altre parti di Facebook e collegare il tuo numero di telefono al tuo account su Facebook. Tutto questo già ora, prima che si realizzi il piano di Mark Zuckerberg di fondere WhatsApp, DM di Instagram e Messenger in un unico mostro.
WhatsApp tiene traccia di ciò che fai
WhatsApp non conosce il contenuto dei messaggi che mandi - ok, fantastico. Ma si prende praticamente qualsiasi altra cosa. Stando alla sua policy sulla privacy, questo include anche “la modalità di interazione con gli altri attraverso i nostri Servizi, oltre agli orari, alla frequenza e alla durata delle attività e delle interazioni.” In altre parole, WhatsApp non tiene traccia di cosa comunichi, ma potrebbe sapere dove, con chi e per quanto lo fai. A seconda se cambi o no le impostazioni di sicurezza, WhatsApp e chiunque abbia il tuo numero di telefono può vedere la tua foto profilo, nickname, stato e “ultimo accesso”.
Informazioni come queste spesso sono sottovalutate come “metadati.” Ma come ha scritto il whistleblower Edward Snowden nella sua autobiografia: “La triste verità, però, è che il contenuto delle tue comunicazioni di rado è rivelatore tanto quanto altri elementi - le informazioni non scritte, non dette, che possono esporre il contesto più ampio e le abitudini.”
WhatsApp potrebbe condividere le tue informazioni con la polizia
WhatsApp non è uno strumento di sorveglianza e le aziende tech rischiano grosso se collaborano con leggerezza con le autorità. A prescindere, però, in determinate circostanze, è possibile che un giudice chieda a WhatsApp tuoi dati. “Siamo pronti ad analizzare, valutare e rispondere alle richieste delle forze dell'ordine in base alle leggi e normative applicabili,” sottolinea WhatsApp in una pagina allestita apposta per spiegare il rapporto con le forze di polizia.
In teoria, non è una brutta cosa se un serio crimine può essere risolto grazie alla piattaforma. Ma, in pratica, il potere e le motivazioni della polizia dipendono da dove vivi e in che epoca storica. Nessuno garantisce che le cose non cambino in futuro, o che il tesoro di dati custodito da WhatsApp non sia hackerato da un dipendente.
Gli unici dati sicuri sono dati che non sono mai stati raccolti. App come Signal e Threema che raccolgono informazioni minime sono dunque le opzioni migliori.
Brian Acton, co-fondatore di WhatsApp, ha abbandonato l’azienda
È difficile fidarsi della direzione di WhatsApp sotto Mark Zuckerberg quando non lo fa neanche il co-fondatore della app, Brian Acton. Dopo aver venduto tutto a Facebook per la cifra assurda di 22 miliardi di dollari nel 2014, Acton ha tagliato i ponti brutalmente con tutto nel 2017, per divergenze di opinioni su privacy e monetizzazione. “Ho venduto la privacy dei miei utenti per un beneficio maggiore,” ha detto Acton a Forbes nel 2018. “Ho fatto una scelta e un compromesso.”
Acton ha dichiarato che le alte cariche di Facebook, compresa Sheryl Sandberg, intendevano trasformare WhatsApp in una piattaforma con inserzioni, e avevano “testato” Acton su come offrire informazioni di mercato sul comportamento degli utenti. In pratica, volevano vendere dati degli utenti come fanno su Facebook e Instagram. Acton se n’è andato, rifiutandosi di firmare un accordo di riservatezza e rinunciando a 850 milioni di dollari di stock option. A marzo 2018, quando lo scandalo Cambridge Analytica è esploso, Acton ha twittato un semplice messaggio: “È giunta l’ora. #deletefacebook.”
WhatsApp ti chiede di spezzare la crittografia end-to-end
Di tanto in tanto, avrai notato che WhatsApp ti chiede se vuoi salvare un backup della cronologia delle chat su Google Drive o iCloud. Sembra una cortesia, ma è una trappola: questo tipo di backup immagazzina la cronologia delle tue chat su server di Apple o Google senza crittografia end-to-end. “I file multimediali e i messaggi dei quali esegui un backup non sono protetti dalla crittografia end-to-end di WhatsApp quando sono su Google Drive,” stando alla pagina di FAQ della app stessa. Lo stesso vale per iCloud.
Dunque, quando è importante avere accesso alla cronologia delle chat? Dopo tutto, i backup implicano sempre il rischio che qualcuno possa ficcare il naso tra i tuoi messaggi. I messaggi che si autodistruggono dopo un certo periodo sono esenti da questo problema, ma al momento WhatsApp non offre una funzione simile. Wickr, Signal e Wire invece sì.
WhatsApp non vuole rivelare il suo codice
WhatsApp non vuole svelare come è stato programmato esattamente. Sembrerà una misura di sicurezza, ma è proprio l’opposto. I software sono più sicuri quando il loro codice è pubblico, così che esperti indipendenti possano esaminarlo e trovare difetti e potenziali punti deboli. In altre parole, quando il codice è open source.
Signal, Wire e Wickr sono open source, e Threema lo sarà presto. Se non altro, WhatsApp usa una tecnologia di crittografia simile a quella d Signal e, almeno in questo senso, parte della app può essere messa alla prova in modo indipendente.
Sarebbe così facile - se solo lo facessero tutti
Il motivo principale per cui usi WhatsApp è uno, ed è per convenienza: lo usano tutti gli altri. È più che comprensibile, ma da qualche parte bisogna iniziare, se vogliamo cambiare la situazione.
Le migliori alternative a WhatsApp sono Signal, Threema, Wickr e Wire. No, non Telegram. E se i dettagli tecnici non ti spaventano, qui puoi leggere perché anche Signal non è perfetta. Quando si parla di tecnologia, d’altronde, la sicurezza completa non esiste mai.