Non hanno accesso ai vostri dati? Da chi vi proteggono, esattamente?
Privacy, cifratura, Apple, Meta e l'ombra di Snowden: un'indagine funzione per funzione per distinguere ciò che è vero, ciò che è marketing, e contro chi
0. Introduzione: la domanda sbagliata
« È una presa in giro? » La domanda torna a ogni scandalo, a ogni promessa di riservatezza affissa su un cartellone gigante, a ogni richiamo alle rivelazioni di Edward Snowden. La si pone in blocco, e ci si aspetta una risposta in blocco: o queste aziende ci proteggono, o si fanno beffe di noi. Il problema è che la domanda, posta così, non ha risposta, perché tralascia l’unica variabile che decide tutto: da chi si cerca di proteggersi. La risposta onesta non è né « è tutto una presa in giro » né « siete protetti », è una mappa, le cui voci sono la funzione precisa, l’impostazione predefinita e l’avversario.
La riservatezza non è una promessa globale da credere o respingere in un solo gesto: è una questione di fatto, che si verifica funzione per funzione, guardando l’architettura tecnica, la crittografia e il diritto. Non ci chiederemo se il cinismo diffuso sia comprensibile, ci chiederemo se sia esatto, e dove.
Immaginate la scena più banale. Un’app mostra, in lettere rassicuranti, che la vostra vita privata le sta a cuore, e voi esitate tra due riflessi ugualmente pigri: bere tutto, o spazzare via tutto con « mentono tutti ». Nessuno dei due vi dice cosa, in quella frase, è vero per voi, perché la frase non precisa né la funzione che copre né l’avversario da cui pretende di separarvi. Lo slogan è concepito per rassicurare in blocco, ed è proprio perché parla in blocco che non può rispondere alla vostra domanda, che è sempre particolare: proteggere cosa, da chi, in quale situazione.
Lo strumento che struttura tutta l’indagine ha un nome nella sicurezza informatica: il modello di minaccia. Una protezione non si giudica mai in astratto, ma rispetto a un avversario preciso, e il ventaglio è ampio: un inserzionista, l’azienda stessa, un ladro che raccoglie il vostro telefono, il vostro Stato, uno Stato straniero, un servizio di intelligence munito di mandato. Una funzione molto efficace contro l’uno può essere del tutto inutile contro un altro, sicché rispondere « protetto » o « non protetto » senza nominare l’avversario non vuol dire nulla.
Resta la postura più diffusa, e la più onesta delle tre: « non ho nulla da nascondere ». Nella sua versione forte, essa assume un arbitrato piuttosto che un’ingenuità: accetto una parte di esposizione perché ho fiducia nello Stato di diritto, e blindare il minimo dettaglio della mia vita non vale lo sforzo che costerebbe. Presa così, merita meglio di un’alzata di spalle. Due constatazioni la spostano senza ridicolizzarla. Avere una vita privata non equivale a nascondere un reato: si chiude la porta del bagno senza dissimulare nulla di colpevole, e l’intimità resta un bisogno quando non si ha nulla da rimproverarsi. E la cernita tra ciò che sarebbe « da nascondere » e ciò che sarebbe innocuo vi sfugge: spetta a chi detiene il dato, il cui criterio può differire dal vostro e cambiare col tempo.
Un’ultima precauzione, la simmetria, che sarà il filo conduttore. Il fatto che un’azienda abbia mentito o ceduto su un punto non prova che tutto sia falso, e il fatto che la cifratura regga matematicamente non prova che voi siate protetti. Una falla locale non fa un teatro generale, una matematica solida non fa una sicurezza globale. Il tecno-cinico e l’ottimista pubblicitario commettono lo stesso errore in senso inverso: sostituiscono l’esame caso per caso con un verdetto d’umore.
Questa simmetria non è una comodità di neutralità, è un’esigenza di metodo. Vieta due scorciatoie opposte: concludere da una falla rivelata che tutto l’edificio è una scenografia, e concludere da una garanzia tecnica reale che l’utente è al sicuro. Entrambi i movimenti consolano, l’uno autorizzando la rinuncia, l’altro l’incoscienza, e entrambi dispensano dall’unico lavoro che illumina davvero, quello di guardare una funzione alla volta.
Diciamo anche ciò che questo testo non fa. Esaminiamo le promesse di riservatezza al grande pubblico di Apple e Meta, funzione per funzione, e il loro rapporto con l’accesso reale da parte dell’azienda e dello Stato; non proponiamo una guida alla sicurezza, non entriamo nel dettaglio giuridico paese per paese, e lasciamo da parte gli attacchi mirati con software spia salvo per ciò che illuminano del ragionamento. Quanto a Snowden, l’ex consulente della NSA la cui ombra aleggia sul tema, va collocato nel tempo: le sue rivelazioni del 2013 hanno esposto una sorveglianza di massa, ma hanno anche in parte causato la generalizzazione della cifratura che è seguita, sicché citarlo come prova che nulla è cambiato sarebbe un anacronismo (Lyon 2014).
1. Apple non è Meta
Il primo errore consiste nel trattare « i giganti del web » come un blocco omogeneo. Apple e Meta hanno modelli economici opposti: Apple vende principalmente hardware, e fa della riservatezza un argomento di vendita, mentre Meta vende pubblicità mirata e trae l’essenziale dei suoi ricavi dallo sfruttamento dei dati dei suoi utenti (Apple ; Meta 2024; Acquisti et al. 2015). Questa differenza non è un dettaglio di comunicazione, è una differenza di incentivo: per l’uno, proteggere il dato rafforza il prodotto; per l’altro, il dato è il prodotto. Non ci si aspetta la stessa cosa da un fabbro e da uno scassinatore, anche se entrambi abili.
Questo incentivo reale non fa però di Apple un angelo, e lo scetticismo deve restare simmetrico. Apple sviluppa la propria concessionaria pubblicitaria, preleva una commissione sull’App Store e resta un’azienda commerciale il cui interesse va al margine piuttosto che alla purezza (Apple ; Meta 2024; Acquisti et al. 2015). La riservatezza è, per lei, un vantaggio competitivo oltre che un valore, ed è più sicuro ragionare sugli incentivi che sulle intenzioni dichiarate.
Dal lato di Meta, il funzionamento è documentato più che supposto: la raccolta estesa di dati comportamentali per mirare la pubblicità è stata oggetto di azioni delle autorità di regolazione, in particolare della FTC negli Stati Uniti (Englehardt e Narayanan 2016; Federal Trade Commission (FTC) 2023). La parola d’ordine « il dato è il prodotto » non è un’immagine: in questo modello, il servizio gratuito che usate non è ciò che si vende, ciò che si vende è l’accesso alla vostra attenzione, calibrato da ciò che l’azienda sa di voi, e più ne sa, più quell’accesso vale (Englehardt e Narayanan 2016; Federal Trade Commission (FTC) 2023). La raccolta estesa non è dunque un difetto del sistema, ne è il motore, il che spiega perché una promessa di riservatezza proveniente da un simile attore richiede, per costruzione, un esame più stretto della stessa promessa proveniente da un venditore di hardware. Il modello non si nasconde, si misura. Ma bisogna subito complicare il quadro, perché un gruppo non è omogeneo funzione per funzione: Meta possiede WhatsApp, il cui contenuto dei messaggi è cifrato end-to-end, pur sfruttando largamente i metadati e i dati di Facebook e Instagram (WhatsApp 2023; Englehardt e Narayanan 2016). Lo stesso proprietario offre dunque una protezione forte del contenuto su un servizio e un modello di sorveglianza pubblicitaria sugli altri, il che vieta di giudicare Meta con una sola parola.
Questa griglia degli incentivi vale più di un processo alle intenzioni, in un senso come nell’altro. Non esige di credere Apple virtuosa né Meta malvagia, solo di guardare ciò che ciascun modello spinge a fare: un’azienda il cui prodotto è l’hardware ha interesse a che la riservatezza sia credibile, un’azienda il cui prodotto è il pubblico ha interesse a che il dato circoli (Apple ; Meta 2024; Acquisti et al. 2015). Quando una promessa va nel senso dell’interesse di chi la formula, merita meno diffidenza di quando lo contraria, ed è sotto questo angolo che bisogna leggere ciascuna delle funzioni che seguono, piuttosto che alla luce delle intenzioni dichiarate.
2. La cifratura end-to-end: ciò che la matematica garantisce
Al cuore di ogni promessa di riservatezza c’è una parola che si usa spesso senza pesarla: la cifratura end-to-end. Là dove è realmente attiva, significa che solo il mittente e il destinatario possono leggere il contenuto, e che il fornitore del servizio non può, il che è una proprietà crittografica verificabile, e non una formula pubblicitaria (Abelson et al. 2015; Cohn-Gordon et al. 2017). È il punto che rovina l’affermazione pigra « tanto hanno accesso a tutto »: per il contenuto correttamente cifrato, non ce l’hanno, ed è dimostrabile.
La parola « verificabile » merita una sosta, perché fa tutta la differenza tra una credenza e una constatazione. Un protocollo pubblicato può essere studiato da qualunque crittografo, le sue ipotesi scritte nero su bianco, le sue debolezze cercate alla luce del sole; una garanzia che riposa invece sulla sola parola di un’azienda, senza specifica né codice consultabili, reclama una fiducia che nulla controlla (Abelson et al. 2015; Cohn-Gordon et al. 2017). La cifratura end-to-end del contenuto appartiene alla prima categoria, ed è per questa ragione che « non possono leggere i vostri messaggi » può essere, per questa funzione precisa, un’affermazione esatta invece di un argomento di vendita.
Bisogna ancora sapere dove questa proprietà è realmente in vigore. La cifratura end-to-end è effettivamente attiva su diversi servizi di largo pubblico: iMessage tra dispositivi Apple, il contenuto dei messaggi WhatsApp, e la Protezione avanzata dei dati di iCloud quando è attivata (Apple 2024b; WhatsApp 2023; Cohn-Gordon et al. 2017). WhatsApp, in particolare, cifra il contenuto con il protocollo Signal, un protocollo pubblico le cui proprietà sono state oggetto di analisi crittografiche formali, il che colloca la garanzia oltre la sola parola dell’azienda (Cohn-Gordon et al. 2017; WhatsApp 2023). Questa sfumatura è decisiva, perché una garanzia di riservatezza vale solo se può essere verificata indipendentemente, tramite un protocollo pubblico, analisi di crittografi e implementazioni controllabili; è ciò che separa una promessa di marketing da una proprietà stabilita.
Il caso di Apple merita una precisazione tecnica. Quando la Protezione avanzata dei dati è attivata, la maggior parte delle categorie iCloud, tra cui i backup e le foto, passa alla cifratura end-to-end, sicché Apple non detiene più le chiavi e non può più consegnare il contenuto in chiaro, anche su richiesta legale (Apple 2024a; Abelson et al. 2015). La promessa è qui forte quanto la matematica lo permette. Il rovescio, lo vedremo, sta nel fatto che questa protezione è opzionale.
Questa precisazione cambia la lettura di uno slogan corrente. Quando Apple afferma di non poter accedere a certi dati, l’affermazione è esatta per le categorie realmente passate alla cifratura end-to-end con la Protezione avanzata, e cessa di esserlo per quelle che restano fuori (Apple 2024a; Abelson et al. 2015). La stessa azienda può dunque dire il vero e l’incompleto nella stessa frase, a seconda che si parli di un dato coperto o di un dato lasciato fuori dal perimetro. Leggere una promessa di riservatezza significa anzitutto chiedere a quali categorie precise si applica, anziché accontentarsi della sua ampiezza rassicurante.
Tutto ciò impone di diffidare delle etichette. Non tutte le messaggistiche reputate « sicure » si equivalgono: Telegram, per esempio, non cifra end-to-end per impostazione predefinita, la sua cifratura end-to-end essendo limitata a una modalità opzionale, il che mostra che l’etichetta non garantisce la funzione (Telegram 2024; Cohn-Gordon et al. 2017). Un’app può così presentarsi come protettrice della vita privata pur riservando la cifratura end-to-end a una modalità separata e poco visibile che la maggior parte delle persone non usa mai, sicché l’utente crede di beneficiare di una garanzia che, per le sue conversazioni ordinarie, non si applica (Telegram 2024; Cohn-Gordon et al. 2017). Il riflesso utile consiste nel verificare ciò che è realmente cifrato per impostazione predefinita, piuttosto che fidarsi del registro rassicurante del nome o della presentazione. Allo stesso modo, la cifratura di iMessage vale solo tra dispositivi Apple: un messaggio scambiato con un telefono non Apple ripiegava classicamente sugli SMS, e da fine 2024 sull’RCS interpiattaforma, i cui scambi tra iPhone e Android non sono cifrati end-to-end, sicché la protezione dipende anche dal dispositivo dell’interlocutore (Apple 2024b; Cohn-Gordon et al. 2017).
Per dare la forma più forte al campo della « vera protezione », bisogna citare gli sforzi recenti. Per i suoi trattamenti di intelligenza artificiale, Apple presenta un’architettura di calcolo confidenziale nel cloud, Private Cloud Compute, concepita perché nessun dato personale sia accessibile nemmeno ad Apple; l’architettura è documentata e parzialmente verificabile, ma la sua garanzia riposa su ipotesi di fiducia che vanno nominate piuttosto che inghiottite (Apple 2024d; Abelson et al. 2015). L’atteggiamento giusto non è né applaudire né sogghignare, ma chiedere ciò che, nella promessa, è verificabile.
3. I metadati: ciò che la cifratura non copre
La cifratura end-to-end protegge il contenuto, ed è già molto. Ma non protegge i metadati: chi comunica con chi, quando, da dove, con quale frequenza e per quanto tempo restano largamente visibili al fornitore e alle reti (Mayer et al. 2016; Abelson et al. 2015). È la sfumatura che il grande pubblico manca più spesso, perché l’attenzione cade naturalmente sul messaggio e non sulla busta.
Eppure la busta dice moltissimo. Lavori empirici hanno mostrato che i soli metadati telefonici permettono di inferire relazioni, attività e informazioni sensibili su una persona, senza mai accedere al contenuto (Mayer et al. 2016; Lyon 2014). L’importanza di questi dati per l’intelligence è stata d’altronde riassunta dagli interessati stessi, l’ex direttore della NSA e della CIA Michael Hayden avendo dichiarato « we kill people based on metadata », uccidiamo persone sulla base di metadati (Hayden, Michael 2014; Mayer et al. 2016). La frase è brutale, e dice la verità di un sistema in cui sapere chi parla con chi basta spesso ad agire.
Un esempio rende la cosa concreta. Senza leggere un solo messaggio, constatare che un numero ha chiamato un centro di oncologia, poi un laboratorio di analisi, poi un gruppo di sostegno disegna già una diagnosi; constatare che ha chiamato ogni notte, tardi, un numero unico per settimane disegna già una relazione (Mayer et al. 2016; Lyon 2014). Il contenuto non aggiunge quasi nulla a ciò che la mappa delle chiamate ha rivelato, ed è per questo che proteggere il solo contenuto lascia intatta una parte essenziale dell’intimità.
Bisogna aggiungere che anche le messaggistiche cifrate end-to-end conservano o vedono certi metadati, numero di telefono, rubrica dei contatti, orari, indirizzi di rete, con differenze notevoli secondo i servizi quanto alla quantità trattenuta (WhatsApp 2023; Mayer et al. 2016). Signal ne segna la soglia bassa, con il suo « sealed sender » che maschera il mittente e l’assenza di una rubrica di contatti conservata lato server, là dove altre ne trattengono ben di più (il presente esame si attiene ad Apple e Meta, l’ecosistema Google/Android restando fuori campo) (WhatsApp 2023; Mayer et al. 2016). Nessuna cancella interamente la traccia della comunicazione. Ciò illumina una confusione frequente tra « contenuto » e « dati »: la promessa « non leggiamo i vostri messaggi » può essere perfettamente vera per il contenuto cifrato pur lasciando all’azienda sfruttare abbondantemente altri dati, il che costituisce una distinzione da tenere, e non una contraddizione.
Un’ultima via d’accesso sfugge alla cifratura dal basso, attaccando il dispositivo stesso. La cifratura end-to-end protegge le comunicazioni in transito, ma non protegge da un software spia che compromette direttamente il terminale, come Pegasus, che legge il contenuto dopo la decifratura sul telefono (Citizen Lab 2021; Abelson et al. 2015). La protezione dipende dunque anche dalla sicurezza del dispositivo, e l’avversario cambia: non si parla più di un fornitore curioso, ma di un attaccante capace di entrare in casa vostra.
Questo spostamento di avversario è istruttivo, perché mostra che una stessa comunicazione può essere insieme ben protetta ed esposta. Contro un fornitore che volesse leggere i vostri messaggi in massa, la cifratura end-to-end è efficace; contro un software spia che prende il controllo del vostro telefono, non serve a nulla, poiché il contenuto vi è letto una volta decifrato, sullo schermo stesso su cui lo leggete (Citizen Lab 2021; Abelson et al. 2015). Questo tipo di attacco è costoso e resta, in pratica, riservato a bersagli di valore, il che lo toglie dal modello di minaccia della maggior parte delle persone pur ricordando che nessuna funzione protegge contro tutto.
4. La trappola dell’impostazione predefinita
Una promessa vera può proteggere pochissime persone se è disattivata per impostazione predefinita, ed è una delle molle più sottovalutate del tema. Le protezioni più forti sono spesso opzionali, e la loro adozione reale resta bassa, sicché la funzione esiste ma copre solo una minoranza di utenti in pratica (Acquisti et al., s.d.). L’impostazione predefinita conta tanto più che la grande maggioranza delle persone non modifica mai le opzioni proposte, per abitudine, ignoranza o fiducia; un’impostazione meno protettiva protegge dunque meno gente, indipendentemente dall’esistenza di un’opzione più forte (Acquisti et al., s.d.).
L’esempio più parlante riguarda i backup. Per impostazione predefinita, i backup iCloud non sono cifrati end-to-end: Apple detiene allora le chiavi e può consegnare il contenuto, compresi i messaggi salvati, in risposta a una richiesta legale valida (Apple 2024b, 2024c; Abelson et al. 2015). La conseguenza è concreta e spesso ignorata: un iMessage cifrato end-to-end può tornare accessibile se è incluso in un backup iCloud non cifrato end-to-end, di cui Apple possiede la chiave (Apple 2024b; Abelson et al. 2015). La porta chiusa a chiave sulla messaggistica resta aperta dalla finestra del backup.
Questo potere dell’impostazione predefinita non ha nulla di aneddotico, è una delle leve meglio stabilite del design: ciò che è proposto da subito diventa, per la quasi totalità delle persone, ciò che resterà (Acquisti et al., s.d.). Un’azienda che lascia la sua protezione più forte opzionale, dietro più menu e un avviso, può dunque mostrare una promessa esatta pur sapendo che la maggior parte dei suoi utenti non la attiverà mai. La sincerità di una funzione si giudica anche dal posto che le si riserva nelle impostazioni, e una protezione sepolta in un sottomenu invia un messaggio diverso dalla stessa protezione attivata d’ufficio.
La stessa trappola vale oltre Apple. A lungo, i backup delle conversazioni WhatsApp verso un cloud di terzi non erano cifrati end-to-end, e la loro cifratura è diventata un’opzione da attivare, sicché l’anello debole è spesso il backup piuttosto che la messaggistica stessa (WhatsApp 2023; Abelson et al. 2015). La lezione generale sta in una frase: per giudicare una protezione, bisogna guardare l’impostazione predefinita tanto quanto la funzione annunciata.
5. Lo strato statale: Snowden, e cosa è cambiato da allora
Resta l’avversario che la crittografia non basta a tenere fuori: lo Stato. È qui che le rivelazioni di Snowden conservano tutta la loro portata. Il programma PRISM, rivelato nel 2013, permetteva all’intelligence americana di ottenere dati dai grandi fornitori sotto costrizione legale, appoggiandosi all’articolo 702 del FISA, che autorizza la raccolta mirata su persone non americane all’estero (Privacy and Civil Liberties Oversight Board (PCLOB) 2014; Lyon 2014). Lungi dall’essere un residuo, questo quadro resta attivo: l’articolo 702 è stato riautorizzato dal Congresso americano, in particolare nel 2024 (Congres des Etats-Unis 2024; Lyon 2014).
L’arsenale legale si è perfino allargato. Il CLOUD Act del 2018 permette alle autorità americane di esigere da un fornitore dati che esso controlla anche quando sono archiviati fuori dagli Stati Uniti, il che estende la portata delle richieste oltre i confini (Congres des Etats-Unis 2018; Lyon 2014). A ciò si aggiungono le lettere di sicurezza nazionale, che permettono all’FBI di esigere certi dati di abbonati senza mandato giudiziario preliminare, spesso accompagnate da un divieto di parlarne che limita la trasparenza delle aziende (Electronic Frontier Foundation 2023; Lyon 2014). Il cittadino vede solo una parte di ciò che si chiede in suo nome.
È qui che lo strato tecnico e lo strato legale si incontrano. La cifratura end-to-end limita ciò che può essere imposto, perché un fornitore non può consegnare un contenuto che non può leggere, ed è precisamente per questo che gli Stati cercano di indebolirla. Sotto il termine « going dark », diversi Stati spingono da anni per introdurre un accesso eccezionale o porte di servizio, in nome della sicurezza pubblica (Abelson et al. 2015). Ma un ampio consenso di crittografi conclude che non esiste una porta di servizio sicura riservata alle autorità: ogni accesso eccezionale introduce una vulnerabilità sfruttabile da altri, il che indebolisce tutti (Abelson et al. 2015, 2024).
Questo argomento non è una posa militante, è una conseguenza tecnica. Una porta di servizio è una debolezza deliberatamente introdotta, e una debolezza non sceglie chi la imbocca: la chiave prevista per le autorità può essere rubata, copiata, o esigita domani da un altro governo, sicché indebolire la cifratura per raggiungere i criminali la indebolisce allo stesso colpo per i giornalisti, i dissidenti e i cittadini comuni (Abelson et al. 2015, 2024). La vera scelta oppone dunque una cifratura solida per tutti a una cifratura fragile per tutti, e non si riduce a un comodo bilanciamento tra la sicurezza e la vita privata.
L’attualità recente illustra questa battaglia meglio di un discorso. Nel 2025, il Regno Unito ha notificato ad Apple, con un ordine segreto ai sensi dell’Investigatory Powers Act, un’esigenza di accesso ai dati iCloud cifrati; piuttosto che inserire una porta di servizio, Apple ha ritirato la Protezione avanzata dei dati per i suoi utenti britannici, prima che l’ordine fosse abbandonato nell’estate del 2025, il Regno Unito avendo fatto marcia indietro sotto la pressione diplomatica americana (Electronic Frontier Foundation ; Apple 2025; Abelson et al. 2015). Sul versante europeo, il progetto di regolamento sul rilevamento dei contenuti pedopornografici, detto « chat control », ha a lungo previsto un’analisi lato client dei messaggi; sotto la pressione di esperti e di diversi Stati, l’obbligo di scansionare i messaggi cifrati è stato ritirato dalle versioni recenti del testo, il dibattito proseguendo su altri punti come la verifica dell’età (Electronic Frontier Foundation 2026; Abelson et al. 2024). Apple stessa aveva annunciato nel 2021 un dispositivo di analisi lato client delle foto, prima di abbandonarlo di fronte alle critiche (Apple 2022; Abelson et al. 2024).
Questi episodi ruotano tutti attorno alla stessa tecnica e allo stesso pericolo. L’analisi lato client, che consiste nello scansionare il contenuto sul dispositivo prima della sua cifratura, aggira la promessa della cifratura end-to-end, ed esperti di sicurezza hanno mostrato che crea un meccanismo di sorveglianza generalizzabile e deviabile (Abelson et al. 2024, 2015). Bisogna tuttavia mantenere una distinzione di precisione: l’accesso legale mirato, in cui un’azienda risponde a una richiesta valida per dati che può leggere, non è la stessa cosa della sorveglianza di massa, e confondere l’uno con l’altra confonde il dibattito.
Due fatti finiscono di situare il reale. Una parte importante dell’esposizione dei dati sfugge del tutto al dibattito sulla cifratura: i broker di dati aggregano e rivendono dati di localizzazione e di comportamento raccolti da applicazioni di terzi, un canale che né la cifratura né la Protezione avanzata coprono (Englehardt e Narayanan 2016). E dal lato delle aziende, i loro stessi rapporti di trasparenza mostrano che rispondono regolarmente a decine di migliaia di richieste legali all’anno per i dati che possono fornire, il che conferma che la promessa di riservatezza non sopprime l’accesso legale ai dati non cifrati end-to-end (Apple 2024c; Meta 2024; Lyon 2014).
Questi fatti richiudono il cerchio tra la tecnica e il diritto. Finché un dato resta leggibile dal fornitore, resta raggiungibile da una richiesta legale, ed è esattamente ciò che la cifratura end-to-end sottrae alla costrizione. Lo strato statale non annulla dunque lo strato crittografico, ne sposa i contorni: impedito là dove la cifratura protegge, presente ovunque altrove. Capire dove passa questa linea vale più che crederla assente o invalicabile, perché è essa a decidere, funzione per funzione, ciò che uno Stato può ottenere senza il vostro consenso.
6. La trasparenza del tracciamento: una protezione reale e interessata
Per restare equi, bisogna riconoscere le protezioni che funzionano, e una delle più visibili viene da Apple. La funzione App Tracking Transparency, che esige il consenso esplicito al tracciamento tra app, ha ridotto il tracciamento pubblicitario e notevolmente diminuito i ricavi pubblicitari di Meta, il che mostra che ha un effetto reale e non cosmetico (Kollnig et al. 2022). Una promessa di riservatezza può dunque avere conseguenze misurabili, e sarebbe disonesto negarle.
Lo scetticismo deve però restare simmetrico. Limitando il tracciamento di terzi pur sviluppando la propria concessionaria pubblicitaria, Apple serve anche un interesse commerciale, e la sua funzione di protezione non è un atto puramente disinteressato (Kollnig et al. 2022). La stessa misura protegge l’utente e avvantaggia il fornitore, il che è possibile senza contraddizione. Bisogna infine notare che la protezione è parziale: la restrizione degli identificatori non ha fatto scomparire il tracciamento, l’industria pubblicitaria essendosi in parte spostata sull’impronta del dispositivo e su misure aggregate, sicché il tracciamento si adatta piuttosto che cessare (Kollnig et al. 2022; Englehardt e Narayanan 2016).
La lezione di questo episodio supera la pubblicità. Una stessa funzione può servire l’utente e danneggiare un concorrente nello stesso gesto, senza che l’uno squalifichi l’altro, e lo scetticismo ben regolato consiste nel tenere i due insieme piuttosto che scegliere il racconto più comodo (Kollnig et al. 2022). Apple ha reso un vero servizio ai suoi utenti e un cattivo servizio a Meta in un solo movimento; riconoscere il primo non obbliga a negare il secondo, e sospettare il secondo non obbliga a cancellare il primo. È l’applicazione, nel registro commerciale, della simmetria che guida tutto il testo.
7. Ciò che questo stabilisce, ciò che non stabilisce
Possiamo ora assemblare la mappa. La stessa funzione dà risposte opposte secondo l’avversario: la cifratura end-to-end di iMessage protegge molto bene contro un ladro di telefono o un inserzionista, ma non protegge contro una richiesta su un backup iCloud non cifrato, né contro un software spia installato sul dispositivo. È l’illustrazione centrale del modello di minaccia: senza precisare l’avversario, la parola « protetto » è vuota.
La risposta onesta è dunque una mappa a tre voci: per funzione, cioè ciò che è realmente cifrato end-to-end; per impostazione, cioè ciò che è attivo per impostazione predefinita o lasciato in opzione; e per avversario, cioè da chi si cerca di proteggersi. Applicata ai due racconti che si scontrano, la simmetria dà un verdetto condiviso: la cifratura end-to-end reale non ha nulla del marketing, sicché « è tutto una presa in giro » è falso; eppure i metadati, le impostazioni predefinite e l’accesso legale sussistono, sicché « siete protetti » lo è altrettanto. Ciascuno dei due campi detiene una metà della verità, e sbaglia prendendola per il tutto.
Questa mappa non è un’evasione prudente, è la forma esatta della risposta. Per una data funzione, si può dire ciò che è cifrato e ciò che non lo è; per un’impostazione, si può dire se protegge per impostazione predefinita o solo su iniziativa volontaria; per un avversario, si può dire se la funzione regge o cede. Una volta riempite queste tre caselle, la domanda iniziale riceve una risposta precisa, spesso rassicurante su un punto e inquietante su un altro, il che vale più di un sì o di un no globale che sarebbe falso nella metà dei casi.
Questo non discolpa però il marketing. Una parte delle promesse di riservatezza è davvero sopravvendita: formule ampie del tipo « la vostra vita privata è la nostra priorità » lasciano credere a una protezione generale che vale solo per certe funzioni e certi avversari, ed è legittimo distinguerle dalle garanzie tecniche verificabili. Il riflesso giusto consiste meno nel credere o respingere questi slogan che nel chiedere loro di quale funzione e di quale avversario parlano.
8. Conclusione: spostare la lettura
Da tutto ciò emerge una condotta semplice, e sostenibile. Prima di credere o respingere una promessa di riservatezza, chiedetevi da chi volete proteggervi, su quale funzione precisa, e con quale impostazione; attivate le opzioni forti, cifratura dei backup, Protezione avanzata, quando l’avversario lo giustifica, e non aspettatevi dalla cifratura che copra ciò che le sfugge. È meno riposante di uno slogan, e nettamente più utile.
Concretamente, ciò si riduce a qualche gesto proporzionato all’avversario. Se temete soprattutto un furto del telefono o un inserzionista, la cifratura per impostazione predefinita e un buon codice bastano largamente; se temete una richiesta legale o un attore più determinato, attivare la Protezione avanzata e la cifratura dei backup cambia realmente le cose; e in ogni caso, non chiedete alla cifratura di proteggere ciò che non copre, come i metadati o un dispositivo compromesso.
Lo spostamento sta in una frase. La domanda giusta smette di essere « è una presa in giro » per diventare « da chi mi protegge questa funzione precisa, con questa impostazione ». La risposta è una mappa piuttosto che un verdetto, è meno soddisfacente di un grido del cuore in un senso o nell’altro, ed è la sola scala alla quale è vera.
Questo spostamento ha un costo e una ricompensa. Il costo è abbandonare il conforto di un giudizio netto, il « sono tutti marci » come il « va tutto bene », a favore di una risposta che cambia da una funzione all’altra. La ricompensa è smettere di essere sballottati tra il panico e l’ingenuità, e poter finalmente agire: scegliere i propri strumenti, attivare le impostazioni giuste, accordare la propria fiducia alla misura precisa di ciò che è verificabile, e ritirarla là dove non è meritata. Sapere da cosa si è protetti, e da cosa non lo si è, è già una forma di lucidità, e la lucidità vale di più, qui, della tranquillità che sostituisce.