Meta ha rimosso la crittografia end-to-end (E2EE) dai messaggi diretti di Instagram, a partire dall'8 maggio 2026. Si tratta di una decisione che priva delle tutele sulla privacy circa 2 miliardi di utenti in tutto il mondo. La modifica annulla una funzione che Instagram aveva introdotto come opzione alla fine del 2023, e apre la strada a Meta, alle forze dell'ordine e ai sistemi automatizzati di scansione per accedere a conversazioni private, foto e messaggi vocali.
Cosa è cambiato e quando
Meta ha annunciato il passo indietro il 13 marzo 2026, citando come giustificazione la scarsa adozione da parte degli utenti. L'azienda ha dichiarato che "pochissime persone stavano attivando la messaggistica crittografata end-to-end nei DM, quindi stiamo rimuovendo questa opzione da Instagram". Dall'8 maggio in poi, tutti i DM di Instagram tornano alla crittografia standard lato server: ciò significa che Meta detiene le chiavi e può leggere il contenuto dei messaggi quando richiesto dalle autorità o imposto dalle policy della piattaforma.
Instagram aveva sperimentato l'E2EE dal 2021 e l'aveva implementata più ampiamente come funzione facoltativa alla fine del 2023, posizionando la privacy come punto di forza rispetto ai rivali. Questo posizionamento è ora di fatto abbandonato.
I veri motivi dietro la marcia indietro
Gli esperti di privacy e i ricercatori di sicurezza sono scettici sulle motivazioni fornite da Meta. Rimuovere una funzione perché pochi utenti la attivano (invece di lasciarla semplicemente a disposizione di chi la desidera) punta verso pressioni normative e commerciali molto più profonde.
- EU Chat Control: La legislazione proposta dalla Commissione Europea richiederebbe alle piattaforme di messaggistica di scansionare le comunicazioni private alla ricerca di materiale pedopornografico (CSAM). L'E2EE rende tutto ciò tecnicamente impossibile. La rimozione dell'E2EE elimina un ostacolo significativo alla conformità nel caso in cui il regolamento venga approvato.
- US Take It Down Act: Diventato legge ed entrato in vigore il 19 maggio 2026 (solo 11 giorni dopo l'annullamento della crittografia di Instagram), la legge impone alle piattaforme di rilevare e rimuovere immagini intime non consensuali, inclusi i deepfake generati dall'IA, entro 48 ore dalla segnalazione. La conformità richiede anche in questo caso la capacità di scansionare il contenuto.
- UK Online Safety Act: L'autorità di regolamentazione del Regno Unito, Ofcom, detiene già i poteri per imporre alle piattaforme la scansione del CSAM ai sensi dell'Online Safety Act. La conformità di Meta in diverse giurisdizioni diventa significativamente più semplice senza E2EE.
Cosa significa per gli utenti
In termini pratici, i DM di Instagram non sono più privati nel senso tradizionale del termine. I metadati relativi a chi invii messaggi e quando sono sempre stati accessibili a Meta, ma ora anche il contenuto stesso è leggibile dall'azienda e condivisibile con i governi che presentano richieste legali valide.
Per giornalisti, attivisti, informatori e chiunque viva sotto un governo autoritario, questo rappresenta un aumento significativo del rischio. Instagram è ampiamente utilizzato in Paesi con regimi restrittivi proprio perché era considerato un canale relativamente privato. Questo presupposto non è più valido.
Per gli utenti comuni, la modifica significa che i DM di Instagram ora comportano le stesse aspettative di privacy delle e-mail ospitate su un server di terze parti: i tuoi messaggi sono al sicuro da sconosciuti qualsiasi, ma non dall'operatore della piattaforma o da procedimenti legali.
Alternative che offrono ancora l'E2EE
Se la messaggistica privata è importante per te, la salvaguardia tecnica che Meta ha appena rimosso è ancora disponibile in app di messaggistica dedicate. Signal rimane lo standard di riferimento: è open source, controllata in modo indipendente e utilizza l'E2EE per impostazione predefinita per tutti i tipi di messaggi. Anche WhatsApp (sempre di proprietà di Meta) mantiene l'E2EE per i messaggi individuali, sebbene la sua raccolta di metadati sia estesa. Telegram offre l'E2EE solo nella modalità "Chat Segrete".
La lezione più ampia che si trae dal passo indietro di Instagram è che la crittografia fornita da una piattaforma è duratura solo finché la piattaforma è disposta a mantenerla sotto la pressione normativa. La crittografia integrata in un'app controllata da un'azienda soggetta alle forze dell'ordine è fondamentalmente diversa dalla crittografia che controlli in prima persona.
Una VPN può aiutare?
Una VPN non può ripristinare la crittografia end-to-end nei tuoi messaggi di Instagram: si trattava di una funzione lato server che Meta ha scelto di rimuovere. Ciò che fornisce una VPN è un diverso livello di protezione: crittografa la connessione tra il tuo dispositivo e il server VPN, in modo che il tuo provider Internet non possa vedere che stai usando Instagram o registrare la tua attività. Questo è importante in particolare nei Paesi in cui i provider sono tenuti per legge a monitorare l'uso dei social media. Una VPN nasconde anche il tuo indirizzo IP dai server di Instagram. Tuttavia, non impedisce a Meta stessa di leggere i tuoi messaggi una volta arrivati sui suoi server: quella protezione è ormai sparita del tutto da Instagram.
• Meta U-turns on encryption push for Instagram as DMs go plaintext - The Register
• Instagram is dropping end-to-end encrypted chats - Euronews
• Meta is killing end-to-end encryption in Instagram DMs - Engadget
• Instagram Encrypted Messaging Ends on Friday, May 8 - MacRumors
• Instagram Kills End-to-End Encryption - AndroidHeadlines
• Instagram is removing end-to-end encryption from DMs - NotebookCheck
