Andrés chiede solo del tempo
Andrés è venezuelano. Lavora in un fruttivendolo di quartiere da anni. Un giorno gli ho chiesto come stava la sua famiglia laggiù, nei momenti peggiori del regime.
"Nel mio paese fa sempre bel tempo," mi ha detto.
Non ho capito. Ho insistito. E allora me lo ha spiegato: "Posso parlare con la mia famiglia solo su WhatsApp, perché le chiamate non funzionano bene. Ma bisogna stare molto attenti a ciò che scrivi. Non sappiamo se qualcuno possa leggere le conversazioni. Quello che sappiamo è che in qualsiasi momento possono arrestare chiunque e la prima cosa che fanno è aprirgli il telefono. Se non dai il PIN, sono schiaffi e una cella finché non lo dai. E se trovano qualcosa che non gli piace su WhatsApp, con fortuna è un pestaggio e qualche giorno di cella. Con sfortuna, quella persona scompare."
"Per questo, quando parlo con loro, fondamentalmente chiedo come è il tempo. Se mi rispondono, almeno so che sono vivi."
Andrés non è un criminale. Non ha nulla da nascondere. Ma vive in un mondo dove una frase scritta in una chat può distruggere la vita di qualcuno che ama.
Non serve essere un criminale per aver bisogno di privacy
Pensa a un avvocato che parla con il suo cliente di una strategia di difesa. La conversazione è legittima e legale, ma contiene informazioni che, estrapolate dal contesto, potrebbero essere devastanti. Quell'avvocato ha l'obbligo professionale e legale di mantenere tale conversazione riservata.
Pensa a una giovane coppia. Lei vive con i genitori. Hanno conversazioni intime, del tutto legittime, ma che appartengono alla loro sfera più privata. Hanno il diritto che quelle parole non esistano su nessun server che possa essere hackerato, venduto o richiesto legalmente.
Pensa a un libero professionista che parla con il suo consulente su come ottimizzare le tasse. Può essere da una parte o dall'altra della riga — sono affari suoi. Se potessero sedersi in un ufficio, nessuno ascolterebbe quella conversazione. Perché dovrebbe essere diverso se parlano a distanza?
O pensa a un giornalista in Iran, mentre cadono missili intorno a lui, che cerca di comunicare con la sua redazione a Parigi. O un immigrato a Madrid che parla con i suoi genitori rimasti là.
Tutte queste persone hanno bisogno di privacy. Nessuna di loro è un criminale.
La trappola della crittografia perfetta
Nel 2018, l'FBI creò un'azienda che vendeva telefoni cellulari crittografati. Il marchio si chiamava Anom. Veniva venduto come l'alternativa più sicura sul mercato. Per tre anni, più di 12.000 dispositivi sono stati distribuiti in oltre 100 paesi. Gli utenti parlavano con totale fiducia.
Quello che non sapevano è che ogni messaggio arrivava anche ai server dell'FBI. Ogni parola. Ogni foto. Ogni piano.
Nel giugno 2021, l'Operazione Trojan Shield è stata resa pubblica. Più di 800 arresti in 16 paesi. È stata la più grande operazione di polizia coordinata della storia.
Non è stato un guasto tecnico. La crittografia era reale. La tecnologia funzionava. Il problema era chi c'era dietro e cosa ci guadagnava.
Non è un caso isolato. Per più di 50 anni, l'azienda svizzera Crypto AG ha venduto macchine crittografiche a oltre 120 governi. Ciò che nessuno ha saputo fino al 2020 è che Crypto AG era di proprietà segreta della CIA e dei servizi segreti tedeschi. Le macchine funzionavano, ma con una debolezza deliberata che permetteva ai loro veri proprietari di leggere tutto.
Iran, India, Pakistan, Vaticano, giunte militari latinoamericane. Tutti si sono fidati. Nessuno si è chiesto perché qualcuno avesse così tanto interesse a vendere loro crittografia a basso costo.
La domanda che dovresti farti sempre
Se qualcuno ti offre qualcosa e non capisci cosa ci guadagna in cambio, diffida. Non perché tutti abbiano cattive intenzioni, ma perché capire il modello di business è il modo più elementare per valutare se puoi fidarti di un servizio.
Quando usi WhatsApp, sai cosa guadagna Meta: i tuoi dati, le tue abitudini, la tua attenzione per vendere pubblicità. Puoi essere d'accordo o meno, ma almeno capisci lo scambio.
Ma quando qualcuno ti offre un servizio di comunicazione crittografata, completamente gratuito, senza pubblicità, senza abbonamento e senza un modello di business visibile — la domanda non è se la crittografia è buona. La domanda è: chi finanzia questo e perché?
Ciò che conta davvero
Ci sono segnali che aiutano a valutare uno strumento di privacy. Codice aperto, audit di sicurezza, giurisdizione europea. Sono tutti positivi. Ma nessuno è una garanzia assoluta.
Codice aperto significa che qualcuno può revisionare ciò che fa l'applicazione. Ma siamo onesti: il 99,9% degli utenti non leggerà mai una riga di codice. E la storia è piena di vulnerabilità gravissime rimaste per anni in progetti open source revisionati da migliaia di persone senza che nessuno le rilevasse.
Gli audit di sicurezza sono preziosi. Ma gli audit si pagano con il denaro, e il denaro è il mezzo più semplice per comprare volontà. Un audit dice che il codice era pulito il giorno in cui è stato revisionato. Non dice nulla su ciò che è stato cambiato dopo.
Puoi avere il miglior codice del mondo, auditato e aperto, ma se i tuoi dati passano attraverso un server — anche solo per un secondo, anche se crittografati — qualcuno ha accesso fisico a quel server. E quel qualcuno può essere in un paese dove un giudice, un governo o una mazzetta possono aprire qualsiasi porta.
Ciò che ti protegge davvero non è la promessa che "non leggiamo i tuoi dati". Ciò che ti protegge è un'architettura in cui i tuoi dati non escono mai dalle tue mani. Dove non c'è un server da compromettere, non c'è backup da filtrare, non c'è porta sul retro da aprire.
La fiducia non si regala
Gli utenti di Anom si sono fidati perché il prodotto funzionava. I clienti di Crypto AG si sono fidati perché il marchio era rispettabile. Andrés non si fida di WhatsApp ma non ha alternative.
La fiducia in uno strumento di privacy non può basarsi sul fatto che "funziona bene". Deve basarsi sul fatto che capisci chi c'è dietro, cosa ci guadagna e cosa succede ai tuoi dati se domani quell'azienda chiude, cambia proprietario o riceve un ordine giudiziario da un paese che non è il tuo.
La prossima volta che qualcuno ti consiglia un'app di messaggistica sicura, non guardare prima le funzioni o il design. Guarda chi paga. Se la risposta non ti convince, cercane un'altra.