WhatsApp. Cosa cambia e mi devo preoccupare?
Dall’8 febbraio molti dei nostri dati potranno essere scambiati con Facebook, Instagram e altre società che fanno riferimento a Zuckerberg. E la privacy…
Di Federica Cameroni
Da settimane si parla molto di WhatsApp. Ad alcuni sarà già comparsa la richiesta dell’applicazione di accettare i nuovi termini di servizio, altri, invece, avranno ricevuto il messaggio da parte dei propri amici decisi a passare a Signal. Alcuni esperti del settore, così come alcuni siti di debunking (i cacciatori di bufale e fake news), hanno rassicurato i residenti europei per i quali “non cambierà niente siccome i nuovi termini non saranno validi in Europa”. Cosa vera, perché la Legge sulla privacy (GDPR) a cui la Svizzera è allineata, impedisce alle aziende di cedere dati a terzi per fini pubblicitari. È altrettanto vero che in un mondo così interconnesso risulta un po’ paradossale sostenere che: “se succede in qualsiasi altro continente non sia l’Europa, allora non ci riguardi”.
Cosa farà WhatsApp dopo l’8 febbraio, non in Europa?
Obbligherà a condividere le informazioni raccolte su WhatsApp con Facebook e le altre società dell’omonimo gruppo (pratica che già avveniva, ma che fino ad ora era possibile rifiutare). Lo scopo, stando alle loro dichiarazioni, sarebbe offrire agli utenti una pubblicità mirata più performante, migliorare i sistemi di infrastruttura e consegna; così come la sicurezza e la protezione dell’acquirente. I dati che WhatsApp potrà condividere saranno: nomi, foto profilo, stati, rubrica, elenchi, indirizzi IP, informazioni sul dispositivo, ed eventuali interazioni con aziende oltre a indirizzi postali di spedizione e importi degli acquisti.
Crittografia “end-to-end”
Una tesi comune riguarda la crittografia end-to-end, usata da WhatsApp così come Telegram e Signal, per cui sarebbe assurdo considerare WhatsApp meno sicura. Il fatto che la chat sia criptata usando il medesimo sistema usato dalle rivali è cosa vera, ma, infatti, la raccolta e condivisione dati che attuerà WhatsApp non riguarda gli elementi testuali presenti all’interno delle conversazioni private. Piuttosto tutto ciò che c’è attorno. Immaginiamo la chat WhatsApp (o qualsiasi chat criptata dal modello end-to-end) come un appartamento vuoto: io, proprietaria, ne possiedo le chiavi. Una la tengo con me, l’altra (o le altre) la consegno alla persona con cui voglio parlare. Nessuno può ascoltarci mentre siamo all’interno, non legalmente. Ciò non significa che chi osserva non sappia: con chi mi sono incontrata, da dove venisse questa persona, dove fosse l’appartamento, a che ora o per quanto tempo ci siano rimasti… Nel caso specifico queste informazioni consistono in: numero di telefono, indirizzo e-mail, contatti, posizione, ID dispositivo, ID utente, dati pubblicitari, cronologia acquisti, interazione con il prodotto, informazioni di pagamento, arresti anomali, prestazioni e altri dati diagnostici, assistenza clienti e metadati. Telegram raccoglie nome, numero di telefono, contatti e l’ID utente; mentre Signal il numero di cellulare. Non esattamente: “la stessa cosa”, anche se la sicurezza delle chat è la medesima.
In Europa
In Europa, Svizzera compresa, WhatsApp è fornito da WhatsApp Ireland, nel resto del mondo da WhatsApp Inc. WhatsApp Ireland sottostà alle leggi della Commissione Irlandese per la Protezione dei Dati personali (IDPC) con cui WhatsApp dovrebbe convenire un accordo prima di poter proporre dietro semplice messaggio “accetta/rifiuta” un cambiamento così importante. Il Regolamento Generale per la Protezione dei Dati Personali (GDPR) per ora ci protegge dall’eventuale condivisione a scopi di marketing dei dati raccolti da WhatsApp con il gruppo Facebook. Come riportato dall’Ansa, Wired e numerosi altri media, la stessa azienda ha dichiarato che “non ci sono modifiche alle modalità di condivisione dei dati di WhatsApp nella Regione europea” (Svizzera e Regno Unito compresi).
Non è chiaro, come scrive anche Attivissimo nel suo blog Il Disinformatico, cosa accadrà nel caso di conversazione tra residenti in Europa e non. Allo stesso modo chi utilizza WhatsApp Business non sarà protetto dai medesimi regolamenti vigenti in Europa e che regolano WhatsApp Ireland.
Legittimo preoccuparsi della propria privacy anche in Europa?
L’avvocato italiano Diego Dimalta, per CyberSecurity360, spiega come questo aggiornamento debba essere considerato preoccupante a qualsiasi latitudine. Sostiene innanzitutto che le informazioni inviate negli USA non siano da considerarsi sicure, motivo per cui l’autorità di Controllo irlandese ha ingiunto alla società di Zuckerberg di portare i server in UE. Un altro problema risiederebbe nelle motivazioni per cui i dati verranno condivisi con il gruppo Facebook, da lui definite “quanto meno troppo generiche”. Dimalta non ritiene poi la protezione della GDPR sufficiente a proteggere i cittadini europei: se WhatsApp non dovesse rispettare le sue promesse e condividere comunque i dati dei cittadini europei si parlerebbe di una mole talmente grande che, nonostante le leggi, sarebbe impensabile esercitarne il controllo.