Meta rimuove la crittografia end-to-end da Instagram: dall’8 maggio i tuoi DM sono leggibili dall’azienda

Smartphone con chat Instagram esposta e lucchetto spezzato, osservato da una lente corporate in vetro

Meta prometteva un futuro privato e cifrato per tutti i suoi servizi di messaggistica, ma ha scelto di rimuovere l'unica protezione crittografica disponibile sui DM di Instagram proprio mentre 50 organizzazioni per i diritti digitali ne chiedevano l'estensione. Il punto di convergenza tra esigenze commerciali e tutela degli utenti sembra oggi più lontano. Se la cifratura è tecnicamente sostenibile su WhatsApp e Messenger, perché su Instagram viene smantellata anziché resa predefinita?

Dall'8 maggio 2026 i messaggi diretti di Instagram non sono più protetti dalla crittografia end-to-end. Meta ha disattivato la funzione che, dal dicembre 2023, permetteva agli utenti di attivare manualmente la cifratura delle conversazioni private tramite il Signal Protocol. La motivazione ufficiale fornita dall'azienda è che meno dell'1% degli utenti aveva scelto di utilizzarla. Il risultato pratico è che Meta possiede ora le chiavi di decrittazione per ogni messaggio, foto, video e nota vocale scambiati sulla piattaforma.

La decisione è stata comunicata con un aggiornamento silenzioso dei termini d'uso pubblicato a marzo 2026, senza alcun annuncio ufficiale. Gli utenti hanno scoperto il cambiamento attraverso una notifica in-app che li invitava a scaricare i contenuti delle chat cifrate prima della disattivazione definitiva.

📩 Cosa cambia tecnicamente nei messaggi diretti

Fino al 7 maggio 2026, chi attivava la funzione "Chat cifrata" su una singola conversazione beneficiava del Signal Protocol, lo stesso schema crittografico che protegge Signal, WhatsApp e Messenger. Le chiavi private restavano esclusivamente sul dispositivo dell'utente: Meta non poteva accedere ai contenuti, nemmeno su ordine di un tribunale. L'azienda stessa, in caso di richiesta legale, avrebbe potuto consegnare solo metadati — chi ha scritto a chi, quando e da dove — ma mai il contenuto effettivo dei messaggi.

A partire dall'8 maggio, tutti i DM di Instagram viaggiano con quella che Meta definisce "standard encryption": cifratura in transito tramite TLS e cifratura a riposo lato server. La differenza rispetto alla E2EE è sostanziale: la chiave di decrittazione si trova sui server di Meta, non sui dispositivi degli utenti. Questo significa che i contenuti delle conversazioni possono essere:

  • analizzati da sistemi di moderazione automatizzata per individuare contenuti illeciti
  • consegnati alle autorità giudiziarie o di pubblica sicurezza su richiesta legale
  • potenzialmente utilizzati per profilazione pubblicitaria, targeting o addestramento di modelli di intelligenza artificiale

Il crittografo Matthew Green, professore alla Johns Hopkins University, ha sottolineato pubblicamente che la rimozione della E2EE rende tecnicamente possibile per la prima volta l'utilizzo dei DM Instagram per l'addestramento dei modelli linguistici di Meta. Adam Mosseri ha negato che i DM vengano utilizzati a questo scopo, ma la capacità tecnica è ora disponibile.

📣 La reazione: 50 organizzazioni chiedono il ripristino immediato

Il 18 maggio 2026, una coalizione di 50 organizzazioni per i diritti umani guidata da Fight for the Future, Electronic Frontier Foundation e Access Now ha inviato una lettera aperta a Meta chiedendo il ripristino immediato della crittografia end-to-end e la sua attivazione per impostazione predefinita su tutti i DM di Instagram.

Le organizzazioni denunciano quello che definiscono un "tradimento degli utenti" e ricordano la traiettoria degli impegni pubblici assunti da Meta nel corso degli anni. Nel 2019, Mark Zuckerberg pubblicò un manifesto intitolato "A Privacy-Focused Vision for Social Networking", in cui prometteva la cifratura di default su tutta la messaggistica dell'ecosistema Meta. Nel 2023, Rob Sherman, VP e Deputy Chief Privacy Officer di Meta, confermò per iscritto a Fight for the Future l'impegno a estendere la E2EE di default anche a Instagram "shortly after" il completamento su Messenger.

Leila Nashashibi di Fight for the Future ha dichiarato: "Meta sta smantellando l'E2EE per compiacere Trump, che vuole accesso senza limiti ai nostri messaggi, o perché il profitto dalla violazione della privacy è troppo grande?". Le organizzazioni firmatarie ricordano il precedente del 2022, quando Meta consegnò alle autorità del Nebraska messaggi Messenger non cifrati che portarono all'incriminazione di una teenager per aver scelto di interrompere una gravidanza.

🔙 Il voltafaccia di Mosseri e la comunicazione ambigua

Adam Mosseri ha affrontato la questione in una sessione AMA (Ask Me Anything) nelle sue Instagram Stories, con un'affermazione che ha generato polemiche: "I DM di Instagram non sono mai stati cifrati". L'affermazione è tecnicamente riferita ai messaggi standard, che effettivamente non hanno mai avuto E2EE attiva per default. Tuttavia, come riportato dalla BBC, è stata percepita come fuorviante dalla comunità degli esperti di sicurezza e dagli attivisti per i diritti digitali, che hanno sottolineato come la disponibilità dell'opzione E2EE rappresentasse di per sé una garanzia per chi ne aveva bisogno.

Mosseri ha aggiunto che la rimozione riguarda "meno dell'1% dei DM totali", presentando il dato come irrilevante. Diversi commentatori hanno però osservato che l'adozione minima è il risultato diretto della scelta di Meta di non attivare mai la funzione per default e di nasconderla in un sottomenu raggiungibile solo conversazione per conversazione.

⚖️ Il nodo GDPR: articolo 25 e protezione per impostazione predefinita

Sul piano giuridico europeo, la rimozione della crittografia apre un potenziale conflitto con l'articolo 25 del GDPR, che impone due obblighi distinti al titolare del trattamento.

Il paragrafo 1 (protezione dei dati fin dalla progettazione) richiede l'adozione di misure tecniche e organizzative adeguate per dare effetto ai principi di protezione dei dati. La crittografia end-to-end è considerata da anni lo "stato dell'arte" per la riservatezza delle comunicazioni private. Meta dimostra concretamente di poterla implementare su scala globale attraverso WhatsApp (attiva per default dal 2016) e Messenger (attiva per default da dicembre 2023).

Il paragrafo 2 (protezione dei dati per impostazione predefinita) è ancora più stringente: impone che le impostazioni predefinite garantiscano il trattamento dei soli dati strettamente necessari. Offrire la E2EE come opzione nascosta e poi rimuoverla per scarsa adozione ribalta la logica prevista dal legislatore europeo. Le linee guida dell'EDPB chiariscono che rendere disponibile un'impostazione protettiva non è sufficiente se non viene attivata per default.

La Corte europea dei diritti dell'uomo, nella sentenza Podchasov v. Russia, ha stabilito che le normative che indeboliscono sistematicamente la cifratura sono incompatibili con il diritto alla vita privata tutelato dall'articolo 8 della CEDU e dall'articolo 7 della Carta dei diritti fondamentali dell'UE. Sebbene la pronuncia riguardasse un obbligo statale, il principio sottostante ha rilevanza diretta nella valutazione della scelta volontaria di Meta.

Il rischio sanzionatorio per Meta è significativo: fino al 4% del fatturato globale annuo, corrispondente a diverse decine di miliardi di euro. Nessuna autorità europea ha ancora aperto un procedimento formale, ma la questione è considerata imminente da diversi osservatori.

🎯 Chi è più esposto alla rimozione

La rimozione della E2EE colpisce in modo sproporzionato alcune categorie di utenti per i quali la disponibilità di un canale cifrato non era un dettaglio tecnico ma una condizione di sicurezza personale:

  • giornalisti investigativi che utilizzano i DM di Instagram per il primo contatto con le fonti, in quanto la piattaforma è ubiqua e la barriera d'accesso è bassa — senza E2EE, un ordine giudiziario o una violazione dei server espone l'identità della fonte
  • attivisti e difensori dei diritti umani in regimi autoritari (Iran, Bielorussia, Cina, Russia, Egitto, Turchia) che utilizzano Instagram proprio perché il ban dell'intera app è politicamente costoso anche per i governi più repressivi
  • professionisti vincolati al segreto (avvocati, medici, psicologi) che utilizzano Instagram come canale informale con clienti e pazienti — continuare a condividere informazioni cliniche o legali su un canale leggibile dal fornitore del servizio li espone a responsabilità disciplinare
  • sopravvissute a violenza domestica e sessuale e gruppi di supporto riproduttivo che, in alcuni Stati con legislazioni restrittive, perdono uno strumento di contatto sicuro

🔄 La strategia di Meta: Instagram diventa piattaforma commerciale

La rimozione si inserisce in una riorganizzazione strategica dell'ecosistema Meta. Come analizza Wired Italia, l'azienda sta consolidando WhatsApp come prodotto dedicato alla messaggistica privata e cifrata, Messenger come hub sociale di Facebook, e Instagram come piattaforma editoriale e commerciale dove dati, contenuti e advertising possono coesistere senza frizione crittografica.

Dopo la vittoria nella causa antitrust promossa dalla FTC statunitense alla fine del 2025, l'incentivo tecnico a unificare le infrastrutture di messaggistica è venuto meno. Mantenere la E2EE su tre app parallele comportava costi infrastrutturali non trascurabili. Dirottare gli utenti attenti alla privacy verso WhatsApp consente a Meta di concentrare gli investimenti su un singolo prodotto cifrato e di liberare Instagram da vincoli crittografici che limitano le possibilità di monetizzazione dei dati.

Il 5 maggio 2026, a pochi giorni dalla rimozione della E2EE, Meta ha inoltre annunciato un nuovo tool di age estimation basato su intelligenza artificiale che analizza caratteristiche fisiche per individuare utenti minorenni su Instagram e Facebook — una funzionalità che, sotto l'obiettivo dichiarato della sicurezza dei minori, implica la scansione visiva sistematica dei contenuti della piattaforma.

#crittografiaendtoend #instagramdm #metaprivacy

Articoli correlati

Torna in alto