Di recente l’esercito svizzero ha bandito l’uso di WhatsApp, Signal, Telegram e di qualunque altra applicazione di messaggistica diversa da Threema per le comunicazioni legate al servizio. Il portavoce dell’esercito, Daniel Reist, ha spiegato che la decisione è stata presa per questioni di sicurezza e di protezione dei dati. I militari potranno continuare a utilizzare WhatsApp e altre applicazioni per le comunicazioni private.
La decisione dell’esercito ha comprensibilmente spinto molte persone a farsi tre domande:
- cosa c’è di così pericoloso in WhatsApp, Signal, Telegram eccetera da indurre l’esercito svizzero a compiere questo passo?
- perché Threema invece non è pericolosa?
- se lo fa l’esercito, dovremmo farlo anche noi?
Alcuni si saranno anche fatti una quarta domanda: Threema chi? In effetti Threema non è molto popolare: i suoi circa dieci milioni di utenti sono trascurabili rispetto ai due miliardi di utenti di WhatsApp. Molte persone non l’hanno mai sentita nominare e vengono a sapere della sua esistenza soltanto a causa della risonanza della notizia di questa decisione militare svizzera.
—
Cominciamo dalla prima domanda: le app di messaggistica non svizzere, come appunto WhatsApp, Signal e Telegram, non rispettano le norme svizzere sulla riservatezza. WhatsApp, in particolare, è soggetta alle leggi statunitensi e in particolare al cosiddetto CLOUD Act (acronimo di Clarifying Lawful Overseas Use of Data Act), una legge del 2018 che consente alle autorità statunitensi di acquisire informazioni sul traffico di dati da tutti i gestori di servizi di telecomunicazioni sottoposti alla giurisdizione degli Stati Uniti e lo consente anche se questi dati si trovano fuori dal territorio americano e anche se sono gestiti per esempio da società europee che hanno una filiale negli Stati Uniti, come spiega in dettaglio la legal specialist e data protection officer Barbara Calderini su Agenda Digitale.
In parole povere, gli Stati Uniti possono ottenere, aggregare e analizzare tutti i dati trasmessi su WhatsApp da qualunque militare svizzero o di qualunque altro paese. Il rischio non è ipotetico: è già capitato che messaggi o post di militari russi abbiano rivelato la loro presenza in Ucraìna e in Siria, a volte smentendo le dichiarazioni ufficiali. La Russia ha vietato completamente l’uso degli smartphone durante il servizio militare nel 2019.
È vero che WhatsApp ha la cosiddetta crittografia end-to-end, per cui Meta (la società che possiede WhatsApp insieme a Facebook e Instagram) non può cedere a nessuno il contenuto delle conversazioni fatte tramite WhatsApp semplicemente perché non le ha a disposizione.
Ma la crittografia non copre i dati di contorno di queste conversazioni, ossia i cosiddetti metadati: con chi avete parlato, a che ora di quale giorno l’avete fatto, per quanto tempo avete conversato e quante volte avete scambiato messaggi con ciascuna delle persone con le quali avete comunicato tramite WhatsApp. Usare WhatsApp significa quindi dare a Meta, e quindi alle autorità statunitensi, l’elenco completo dei propri amici, contatti di lavoro e commilitoni. Messi insieme, tutti questi metadati hanno un valore strategico enorme.
Faccio un esempio concreto: qualche anno fa, nel 2017, sono stato invitato a parlare a Locarno a una conferenza organizzata dall’esercito svizzero e dedicata alla digitalizzazione legata alla sicurezza nazionale. Il pubblico era composto quasi esclusivamente da militari. Ho chiesto quanti di loro avessero uno smartphone acceso in tasca con la geolocalizzazione attiva e WhatsApp installato: hanno risposto affermativamente quasi tutti. Ma allora, ho proseguito, Google o Apple, e sicuramente Facebook, sanno che buona parte degli ufficiali dell’esercito svizzero, provenienti da tutti i cantoni, si trovano radunati in questo preciso luogo in questo preciso momento. E lo possono sapere in tante altre circostanze e passare questi dati al proprio governo. In sostanza, un paese straniero può monitorare i movimenti dei nostri militari, e può farlo oltretutto in modo perfettamente legale. La mia osservazione è stata accolta, come dire, con consapevole disagio.
Per chi è nelle forze armate, insomma, usare WhatApp, Signal o Telegram o in generale applicazioni di messaggistica gestite da operatori situati al di fuori della Svizzera ha delle implicazioni reali di sicurezza militare.
—
Tutto questo spiega perché Threema, invece, non è considerata a rischio: si tratta di un’app creata da una società che ha sede in Svizzera, a Pfàffikon, nel canton Svitto, e che custodisce i dati in modo conforme alle leggi nazionali e lo fa su server situati in Svizzera. Quindi non è soggetta al CLOUD Act statunitense. Allo stesso tempo offre, come le app rivali, le stesse protezioni di crittografia end-to-end ed è open source, quindi liberamente ispezionabile. E a differenza delle altre app, non richiede di dare al gestore un numero di telefono o altre informazioni personali e non si mantiene offrendo queste informazioni ai pubblicitari. Threema è infatti un’app a pagamento: costa quattro franchi, che si pagano una volta sola. L’esercito svizzero pagherà questo abbonamento agli utenti militari.
La scelta dell’esercito di bandire le altre app dalle comunicazioni di servizio ma consentire l’uso di WhatsApp e simili per comunicazioni private non offre sicurezza assoluta: è un compromesso pragmatico, perché il semplice fatto di usare queste app invia comunque dati preziosi e sensibili alle società estere che le gestiscono. Ma è un passo nella direzione giusta.
—
Alla luce di tutto questo, noi utenti comuni cosa dobbiamo fare? Dipende tutto dalla situazione personale, ma l’esempio dato dall’esercito svizzero è valido, anche per chi vive al di fuori dei confini elvetici, ed è un buon promemoria del fatto che per molte categorie professionali, come per esempio medici, consulenti legali, giornalisti o fornitori di servizi bancari, usare WhatsApp e simili per comunicazioni legate alla propria attività è già ora una violazione delle norme nazionali sulla riservatezza dei propri pazienti, clienti o interlocutori. Usarle per la sfera personale, invece, è meno problematico, ma va comunque valutato con attenzione.
Allo stesso tempo, è inutile avere un’app ipersicura che però non viene usata dalle persone con le quali si vuole comunicare, per cui è necessario valutare la situazione caso per caso. Possiamo provare a chiedere ai nostri interlocutori se accettano di installare e usare app come Threema accanto a WhatsApp: anche questo è un passo nella direzione giusta.
Fonti: RSI, La Regione, Swissinfo, La Regione, Start Magazine, TvSvizzera.it.