Una class action depositata di recente presso un tribunale federale degli U.S.(nuova finestra) sostiene che la promessa di WhatsApp di crittografia end-to-end (E2EE) sia fuorviante. La denuncia afferma che i dipendenti di Meta sono in grado di accedere ai contenuti dei messaggi WhatsApp attraverso sistemi interni, nonostante le ripetute rassicurazioni che “nemmeno WhatsApp(nuova finestra)” può leggere i messaggi degli Utenti.
Leggi la causa completa qui:
La causa, depositata il 23 gennaio nel Distretto Settentrionale della California, fa ampie accuse.
Secondo la denuncia, informatori anonimi sostengono che il personale di Meta può richiedere l’accesso ai messaggi WhatsApp attraverso un sistema di tasking interno. Una volta approvato, afferma la denuncia, i messaggi possono essere visualizzati quasi in tempo reale e storicamente, senza un passaggio di decriptazione aggiuntivo.
La causa sostiene che questo presunto accesso contraddice le dichiarazioni pubbliche di WhatsApp, i materiali di marketing e le testimonianze ai legislatori affermando che i contenuti dei messaggi sono accessibili solo ai mittenti e ai destinatari.
Meta Nega le affermazioni. In una dichiarazione a Bloomberg,(nuova finestra) il portavoce di Meta Andy Stone ha detto: “Qualsiasi affermazione che i messaggi WhatsApp delle persone non siano crittografati è categoricamente falsa e assurda. WhatsApp è stato crittografato end-to-end usando il protocollo Signal per un decennio. Questa causa è un’opera di finzione frivola.”
È importante distinguere tra accuse e fatti stabiliti. La denuncia non include prove tecniche che dimostrino una backdoor crittografica o che provino altrimenti che la crittografia di WhatsApp sia stata compromessa. In questa fase, le affermazioni rimangono non provate.
Report passati hanno Mostrato che WhatsApp può accedere ai messaggi che gli Utenti segnalano manualmente per abuso, e che raccoglie estesi metadati(nuova finestra). Quei report, tuttavia, non supportano le affermazioni di accesso routinario o universale ai contenuti dei messaggi.
Tuttavia, il caso solleva una domanda familiare e scomoda: quando una piattaforma è closed-source e controllata da una singola azienda, gli Utenti possono infine fidarsi di rassicurazioni che non possono verificare indipendentemente?
La crittografia end-to-end è una garanzia tecnica che i contenuti dei messaggi sono leggibili solo dal mittente e dal destinatario previsto, perché le chiavi richieste per decriptare i messaggi esistono solamente sui dispositivi degli Utenti e non sono mai accessibili a nessun altro.
Mentre questo caso si sviluppa, rafforza un principio fondamentale della privacy: la crittografia dovrebbe essere verificabile, non una questione di fiducia.
