Il procuratore generale del Texas, Ken Paxton, ha intentato una vasta causa legale contro Meta, sostenendo che la crittografia end-to-end di WhatsApp sia fraudolenta. Secondo Paxton, alcuni whistleblower interni a Meta avrebbero confermato che i dipendenti dell'azienda hanno accesso a messaggi che gli utenti ritengono privati, esponendo una delle piattaforme di messaggistica più popolari al mondo a una grave controversia legale ai sensi della legge del Texas sulla tutela dei consumatori.
Whistleblower e un'indagine federale sulla crittografia di WhatsApp
La causa si fonda su due pilastri: le testimonianze di attuali ed ex dipendenti Meta che hanno riferito agli investigatori che l'azienda è in grado di leggere i messaggi di WhatsApp presumibilmente crittografati, e un'inchiesta riservata del Dipartimento del Commercio degli Stati Uniti che avrebbe accertato l'assenza di "alcun limite" ai contenuti che Meta è tecnicamente in grado di visionare.
La crittografia end-to-end, così come WhatsApp la promuove dal 2016, è progettata in modo che i messaggi possano essere letti esclusivamente dal mittente e dal destinatario - non da WhatsApp, Meta, governi o terze parti. Se le testimonianze dei whistleblower dovessero trovare riscontro, l'azienda avrebbe venduto a oltre due miliardi di utenti in tutto il mondo una funzionalità di sicurezza che non funziona come pubblicizzato.
Il caso legale: DTPA e il rischio di sanzioni colossali
Paxton sta portando avanti il caso sulla base del Texas Deceptive Trade Practices Act (DTPA), una severa normativa a tutela dei consumatori che consente allo Stato di richiedere penali pari a 10.000 dollari per ogni singola violazione. Considerata l'enorme base di utenti di WhatsApp - e il fatto che ogni singolo messaggio inviato sotto la falsa promessa della crittografia end-to-end potrebbe configurarsi come una violazione distinta - l'esposizione finanziaria per Meta potrebbe rivelarsi sbalorditiva.
Il DTPA non è uno strumento inedito in Texas. L'ufficio di Paxton lo ha già utilizzato in passato per perseguire data broker e aziende tecnologiche che avevano fornito informazioni fuorvianti sulle modalità di raccolta, condivisione e protezione dei dati personali. Tuttavia, il suo impiego per contestare l'integrità tecnica di uno standard di crittografia rappresenta un'escalation significativa - e segnala che l'applicazione a livello statale delle promesse sulla privacy digitale sta entrando in una nuova fase.
Implicazioni per la sicurezza della messaggistica
La posta in gioco va ben oltre le aule di tribunale del Texas. WhatsApp è la piattaforma di messaggistica principale per centinaia di milioni di persone in America Latina, Asia meridionale, Africa ed Europa. Giornalisti, attivisti, avvocati, professionisti in campo medico e famiglie comuni si affidano alle sue promesse di crittografia per discutere di argomenti sensibili.
Se le accuse venissero confermate, le conseguenze potrebbero ridefinire la regolamentazione delle piattaforme di comunicazione digitale:
- Effetto a catena normativo: Altri procuratori generali statali e agenzie federali potrebbero avviare indagini parallele, in particolare la FTC in virtù del decreto di consenso già in vigore con Meta.
- Interventi legislativi: Il Congresso potrebbe imporre verifiche tecniche indipendenti sulle dichiarazioni relative alla crittografia delle grandi piattaforme - una misura richiesta da tempo dalle associazioni per i diritti civili.
- Perdita di fiducia: Gli utenti che dipendono da WhatsApp in contesti ad alto rischio - come attivisti, dissidenti e whistleblower - potrebbero dover riconsiderare completamente i propri modelli di minaccia.
I precedenti di Meta con le promesse sulla privacy
Non è la prima volta che Meta affronta accuse legate alla sopravvalutazione delle proprie tutele sulla privacy. L'azienda ha pagato una sanzione di 5 miliardi di dollari alla FTC nel 2019 a seguito dello scandalo Cambridge Analytica, sottoscrivendo un decreto di consenso che imponeva pratiche sulla privacy nettamente migliorate. I regolatori europei hanno inoltre comminato molteplici sanzioni da miliardi di euro ai sensi del GDPR per l'uso improprio dei dati. Secondo i critici, ogni sanzione è stata considerata da Meta come un semplice costo aziendale piuttosto che come un effettivo deterrente.
La causa del Texas ha tuttavia una natura differente: anziché contestare quali dati siano stati raccolti o come siano stati condivisi, mette direttamente in dubbio il reale funzionamento dell'architettura di sicurezza interna rispetto a quanto pubblicizzato. Una simile accusa è decisamente più complessa da liquidare con un semplice accordo transattivo.
Cosa comporta la causa a Meta e WhatsApp per gli utenti attenti alla privacy
Vicende di questo tipo ricordano che la crittografia a livello di applicazione costituisce un singolo livello di protezione, non una soluzione di privacy completa. Gli utenti combinano sempre più spesso la messaggistica crittografata con strumenti a livello di rete: una VPN crea un tunnel crittografato indipendente che protegge i metadati del traffico e i pattern di connessione dagli ISP e dagli osservatori di rete, a prescindere da ciò che accade all'interno delle singole app.
