Instagram, stop alla crittografia DM: sicurezza o controllo?

Meta ha recentemente annunciato che a partire dall'8 maggio 2026 Instagram rimuoverà la modalità di chat con crittografia end-to and dai messaggi privati. La notizia riguardante questa scelta è già stata pubblicata all’interno della sezione “centro assistenza” del social network, e presto dovrebbe essere confermata con l’invio di apposite notifiche ai singoli utenti. Questo significa che i cosiddetti DM (Direct Message) non saranno più così “direct”, perché Meta potrà accedere ai contenuti delle conversazioni.

Ad essere impattati da questa scelta non saranno, a detta di Meta, tutti gli utenti, perché l’utilizzo di questa funzione non sarebbe così esteso. O almeno questa è la versione ufficiale fornita dalla Big tech. Non essendo mai stata impostata per default, come su WhatsApp (dove l’impostazione è predefinita dal 2016) e Messenger (standard da dicembre 2023), l’E2EE sembrerebbe essere rimasta una funzione poco utilizzata. Meta aveva infatti promesso nel 2022 di estenderla a tutti gli utenti di Instagram in automatico, ma quell'impegno non è mai stato mantenuto.

Come funziona la crittografia end-to-end

Ma come funziona la crittografia end-to-end? E perché questa modifica tocca di fatto la sfera della privacy? La crittografia end-to-end si basa su un sistema chiamato Public-Key Cryptography, che utilizza due chiavi diverse.

Chiave pubblica → può essere condivisa con chiunque.

Chiave privata → resta solo sul dispositivo del destinatario.

Il mittente usa la chiave pubblica per cifrare il messaggio. Il messaggio viaggia già cifrato sui server. Solo il destinatario, con la chiave privata, può leggerlo. Questo significa che quando è attiva, nessun altro può leggere il contenuto delle chat. Almeno fino ad oggi.

Cosa cambia dall’8 maggio?

Quello che accadrà dall’8 maggio, dunque, è che quel sistema cifrato non sarà più attivabile nelle chat private (da coloro che oggi non lo utilizzano). Parallelamente, coloro che, invece, utilizzavano questa opzione facoltativa, vedranno venir meno la possibilità di mantenerla attiva.

Per questi ultimi, inoltre, le chat esistenti e già cifrate diventeranno inaccessibili. Chi ha conversazioni crittografate dovrà dunque seguire le istruzioni per scaricare i contenuti prima della disattivazione (se è in uso una versione precedente di Instagram, potrebbe essere necessario aggiornare l'app prima di poter scaricare le chat interessate).

Che si tratti di attività di moderazione, analisi interne o di risposta a richieste legali, quel che è certo è che tra poco più di un mese i quasi 33 milioni di utenti Instagram italiani non potranno più contare su comunicazioni crittografate.

Privacy, sicurezza e pressioni politiche

Si incrina così sempre di più quel delicato equilibrio tra privacy e sicurezza che fino ad oggi ha caratterizzato la gestione dei dati degli utenti da parte delle grandi piattaforme. Un equilibrio precario, in cui le pressioni di governi e autorità che considerano la crittografia end-to-end un ostacolo all’individuazione di contenuti illegali, soprattutto a sfondo pedopornografico, continuano ad alimentare il dibattito pubblico e politico.

Proprio l’imposizione della scansione dei messaggi cifrati prevista dal cosiddetto regolamento Chat Control, costituisce infatti, da un po' di tempo a questa parte, il cuore dello scontro tra Parlamento Europeo e singoli governi. Scontro che riguarda, nello specifico, la deroga alla direttiva ePrivacy del 2002 (il provvedimento europeo che da 24 anni impedisce intrusioni nei messaggi privati online, nel nome della riservatezza) e le modalità di attuazione della stessa.

In virtù dell’eccezione, fino ad oggi le piatteforme digitali hanno avuto la possibilità di accedere ai messaggi degli utenti, segnalando alle forze dell’ordine i casi di presunte molestie sessuali. Facebook, ad esempio, scansiona le comunicazioni alla ricerca di materiali pedopornografici: il 95% delle segnalazioni giunge proprio dalla piattaforma social. Ma fin qui la scelta delle piattaforme di controllare i contenuti è stata volontaria, non vi era nessun obbligo di legge.

Il nodo europeo e la scadenza del 2026

Ebbene, questa deroga, in vigore dal 2021, è stata prorogata nel 2024 ed era in scadenza il prossimo 3 aprile 2026. Dopo essersi pronunciato sulla questione già lo scorso 11 marzo, votando per sostituire la sorveglianza di massa indiscriminata con un monitoraggio mirato dei sospetti, il Parlamento Europeo è stato chiamato due giorni fa (26 marzo) a votare di nuovo sulla proroga del regolamento.

Con 311 voti contrari, 228 favorevoli e 92 astenuti, l’Eurocamera ha bloccato l’estensione della deroga alle norme europee sulla privacy, respingendo dunque la proroga del cosiddetto Chat Control. Al centro delle polemiche c’è la scansione lato client (client-side scanning), una tecnologia che analizzerebbe immagini, video e testi, direttamente sui dispositivi degli utenti prima della crittografia end-to-end. Questo sistema, secondo gli esperti di sicurezza e le organizzazioni per i diritti digitali, creerebbe una backdoor vulnerabile ad hacker e cybercriminali.

Inoltre, vale la pena evidenziare che le stesse forze dell’ordine avrebbero segnalato il fatto che un sistema che “setaccia” indiscriminatamente i contenuti produce una mole di falsi positivi, e che le reti di predatori utilizzano da tempo canali criptati e non ufficiali, che difficilmente vengono intercettati da queste scansioni di massa.

La sfida politica del prossimo futuro dovrà essere dunque quella di trovare soluzioni che evitino di dare sostanza alle preoccupazioni di numerosi esperti e attivisti, che da tempo lanciano l’allarme rispetto al rischio di andare in direzione di una vera e propria forma di “sorveglianza di massa mascherata”.

Ed è in questa cornice ancora incerta ed in evoluzione che si inserisce la scelta di Meta di abolire la crittografia end-to-end dai DM di Instagram. Così facendo, Meta riacquista la capacità tecnica di accedere ai contenuti dei messaggi diretti.

Le implicazioni economiche e tecnologiche

Nel frattempo, per “chi vuole continuare a proteggere le proprie comunicazioni”, la Big tech consiglia di passare a WhatsApp. Ed è proprio questo suggerimento che mostra il vero volto dell’operazione: al netto di quella che sarà l’evoluzione delle scelte operate a livello europeo, è del tutto evidente che l’abolizione della crittografia end-to-end (definita a prescindere) verrà credibilmente utilizzata su Instagram per targettizzare i contenuti pubblicitari e per l’addestramento delle AI (la moderazione dei contenuti richiederà nei fatti l’analisi gli stessi. E come farla se non utilizzando l’intelligenza artificiale?).

Un equilibrio sempre più fragile

In questo contesto, dunque, in cui si punta alla luna ma il vero obiettivo sembra essere il dito, quello che è certamente in pericolo è la nostra privacy. Per questa ragione bisognerebbe tenere sempre a mente che, su tutto ciò che condividiamo (non solo in DM), perdiamo di fatto il controllo.

È un esercizio di riflessione da fare costantemente, ogni volta che siamo in procinto di veicolare messaggi o contenuti. Inoltre, è sempre bene proteggere i propri account social, proprio per la quantità di informazioni personali che possono fornire. Il miglior modo per farlo è scegliere una password complessa e attivare l’autenticazione a due fattori.

Nel frattempo, attendiamo i prossimi negoziati tra Parlamento, Consiglio e Commissione per capire se l’Unione Europea intende insistere e perseguire la strada della sorveglianza digitale di massa indiscriminata o se saprà invertire la rotta verso strumenti mirati e dunque più rispettosi dei diritti fondamentali. In gioco c’è la sicurezza dei nostri dati.

Barbara Apuzzo, Responsabile Politiche e sistemi integrati di telecomunicazioni Cgil nazionale