Qual è l’app di messaggistica più sicura e come vengono gestiti i nostri dati? La parola a un esperto di Cyber Security e Data Protection.
Dopo che il 9 gennaio l’app di proprietà di Facebook ha richiesto l’aggiornamento della policy privacy ai propri utenti, di fatto chiedendo maggiori autorizzazioni per accedere ai loro dati personali, in tanti si sono chiesti se fosse giusto accettare e quale fosse l’alternativa a Whatsapp.
Simone Pobiati, Data Protection Engineer e Cyber Security Specialist, ci ha spiegato le differenze tra Whatsapp, Telegram e Signal offrendoci un quadro generale e la sua opinione.
Come facciamo a capire quale app di messaggistica usa i nostri dati personali nella maniera più corretta dal punto di vista della privacy?
Il concetto fondamentale da capire prima di tutto è quello della End to End Encryption, un sistema di comunicazione cifrata nel quale solo le persone che stanno comunicando possono leggere i messaggi.
Per capire come funziona questo tipo di comunicazione digitale facciamo un esempio: Bob vuole mandare un messaggio a Alice tramite un’app di messaggistica. Possiedono una chiave pubblica ciascuno, condivisa con chi è iscritto alla piattaforma, e una privata ciascuno.
Nel momento in cui Bob invia un messaggio a Alice l’app lo cifra attraverso la chiave pubblica di Alice. Una volta cifrato, il messaggio passa dai server e arriva da Alice. Solo lei lo potrà leggere (decifrare) grazie alla sua chiave privata.
Perché è importante questo concetto quando paragoniamo Signal, Telegram e Whatsapp?
Perché solo Signal possiede una vera e propria End to End Encryption. Sui server di Signal non rimane nessuna traccia del messaggio che Bob ha inviato a Alice (o se rimane è indecifrabile). I server sono un puro servizio di trasmissione e non fungono anche da Cloud come accade per Whatsapp e Telegram.
In questo modo l’unico possibile accesso al contenuto di una chat privata di Signal è attraverso il cellulare dell’utente, quello è l’unico “point of failure” della sicurezza di un utente. Lo svantaggio è che qualora il cellulare vada perso, con lui andranno perse per sempre tutte le conversazioni.
Whatsapp e Telegram invece fanno anche da cloud. In questo modo gli utenti, facendo un backup, salvano le loro chat sui cloud dell’app. Il cloud però diventa così un possibile “second point of failure” nella protezione dei dati degli utenti.
Oltre a questo aspetto cosa differenzia Signal dalle altre due app?
Signal, al contrario di Whatsapp e Telegram, non è un’azienda: ma è un’app finanziata da una fondazione. Quindi non ha lo scopo di fare utili ma di offrire un servizio. È anche Open Source: navigando sul sito ufficiale è possibile accedere ai codici dell’app per capire come funziona e cosa c’è dentro a livello tecnico. È un libro aperto per chi voglia informarsi.
Ma allora perché anche Telegram è così apprezzato?
Telegram rispetto alle altre due app, è un ibrido. È sì un’azienda come whatsapp, però è Open Source come Signal. Quindi qualunque utente potrebbe sapere come è strutturata quest’app.
Inoltre anche Telegram ha una End to End Encryption come quella di Signal. La troviamo nella modalità chat segreta. Una impostazione particolare che protegge maggiormente la privacy dell’utente non conservando sui server nessuna copia delle nostre chat.
Perché un’app come Telegram dovrebbe accedere alle nostre conversazioni?
Telegram è un’azienda. Per questo deve raggiungere degli obiettivi economici. La discussione su come crescere da questo punto di vista è aperta: c’è chi propone di far pagare l’app e chi di inserire pubblicità all’interno della piattaforma.
Emergono poi però due questioni. Quanti utenti scaricherebbero un’app a pagamento quando già ci sono alternative free altrettanto valide? E poi, come fa una società che non ha accesso a un sistema di gestione della pubblicità come quello di Facebook a customizzare la pubblicità per i propri utenti? I maligni potrebbero suggerire: guardando dentro le loro chat!
Perché Whatsapp è così criticata?
Perché Whatsapp è parte del gruppo Facebook, un’azienda già sotto l’occhio del ciclone per l’utilizzo irresponsabile dei dati degli utenti. Inoltre il fatto che il codice non sia Open Source alimenta i dubbi verso la sua trasparenza.
Ho anche letto di persone che temono backdoor… Non ci sono assolutamente prove a riguardo, ma questi dubbi indicano che l’azienda non dà molta fiducia.
Cosa dovrebbe fare quindi un utente medio?
Il punto fondamentale è la consapevolezza. Dobbiamo essere a conoscenza del fatto che ci sono aziende che fanno profitto su qualcosa che è nostro. È fondamentale partire da qui per farsi delle domande e prendere scelte consapevoli su cosa condividere e su che piattaforma farlo.