La Camera dei Rappresentanti degli Stati Uniti ha recentemente vietato l’uso di WhatsApp su tutti i dispositivi governativi, citando gravi preoccupazioni per la cyber sicurezza relative alle pratiche di gestione dei dati della piattaforma di messaggistica di proprietà di Meta.
La decisione aggiunge il servizio di punta di Meta a un elenco crescente di applicazioni considerate troppo rischiose per l’uso da parte del Congresso, segnalando un’accresciuta vigilanza sulle piattaforme di messaggistica consumer in ambienti governativi e rafforzando le preoccupazioni di lunga data sulla sicurezza aziendale riguardo all’uso di strumenti di comunicazione “consumer-grade” per operazioni commerciali sensibili.
Indice degli argomenti
Preoccupazioni per la sicurezza spingono al divieto
L’ufficio per la sicurezza informatica della Camera ha classificato WhatsApp come “ad alto rischio per gli utenti”.
Questa valutazione, riportata in un’email interna ottenuta da Axios, si basa su tre pilastri principali:
- la “mancanza di trasparenza su come protegge i dati degli utenti”;
- l’assenza di crittografia dei dati memorizzati;
- e i potenziali rischi per la sicurezza legati al suo utilizzo”.
La direttiva è chiara. Al personale della Camera è “proibito scaricare o mantenere qualsiasi versione mobile, desktop o browser web” di WhatsApp sui dispositivi governativi, e chi già possiede l’app sarà contattato per rimuoverla.
La difesa di Meta
Meta Platforms, proprietaria di WhatsApp dal febbraio 2014, ha contestato fermamente la valutazione della Camera.
Andy Stone, portavoce di Meta, ha dichiarato ad Axios di essere “in totale disaccordo con la descrizione del Chief Administrative Officer della Camera”. Stone ha sottolineato che i messaggi su WhatsApp sono “crittografati end-to-end per impostazione predefinita, il che significa che solo i destinatari e nemmeno WhatsApp possono vederli.
Questo è un livello di sicurezza superiore rispetto alla maggior parte delle app presenti nell’elenco approvato dal CAO che non offrono tale protezione.”
L’enfasi sulla crittografia end-to-end è un pilastro della filosofia di WhatsApp, nato nel 2009 dai fondatori Jan Koum e Brian Acton con una forte attenzione alla privacy.
Non solo i messaggi in transito: i timori della Camera
La preoccupazione della Camera potrebbe non riguardare solo i messaggi in transito. “L’assenza di crittografia dei dati memorizzati” può riferirsi specificamente ai backup delle chat che molti utenti WhatsApp salvano su servizi cloud come Google Drive o iCloud.
Questi backup, se non sono crittografati end-to-end dall’utente, possono essere accessibili ai fornitori di servizi cloud o alle autorità con un mandato legale, anche in virtù di leggi come il Cloud Act negli Stati Uniti, che consente l’accesso ai dati detenuti da aziende americane indipendentemente dalla loro ubicazione fisica.
Inoltre, la gestione dei metadati (chi ha parlato con chi, quando) e la protezione dei dati sul dispositivo stesso (come i file multimediali scaricati) potrebbero non soddisfare i rigidi standard richiesti dalle agenzie governative.
Questo sottolinea che, nonostante la crittografia dei messaggi stessi, esistono altre vulnerabilità nella gestione complessiva dei dati che non sono accettabili per comunicazioni sensibili.
Messa al bando di WhatsApp negli Usa: dispositivi governativi come bersagli
In un contesto di sicurezza nazionale, queste preoccupazioni sono particolarmente gravi.
I dispositivi governativi sono bersagli primari per attacchi cyber da parte di attori statali e non statali con l’obiettivo di sottrarre informazioni classificate, influenzare decisioni politiche o compromettere infrastrutture critiche.
In questo scenario, qualsiasi vulnerabilità percepita in un’applicazione di comunicazione può tradursi in un rischio significativo per l’integrità delle operazioni governative e la riservatezza delle informazioni sensibili.
Ciò potrebbe portare a:
- esposizione di informazioni classificate: dettagli su strategie militari, trattative diplomatiche o intelligence potrebbero finire nelle mani sbagliate.
- vulnerabilità a spionaggio e sabotaggio: attraverso l’accesso a comunicazioni private, avversari potrebbero identificare e sfruttare punti deboli.
- ricatto e influenza illecita: la compromissione di dati personali di funzionari potrebbe essere usata per esercitare pressioni indebite.
- propagazione di disinformazione: le piattaforme di messaggistica possono essere veicoli per campagne di disinformazione volte a destabilizzare o influenzare l’opinione pubblica.
Le alternative a WhatsApp secondo la Camera negli USA
La Camera ha raccomandato l’uso di altre app di messaggistica percepite come più sicure, tra cui Microsoft Teams, Amazon Wickr, Signal, Apple iMessage e FaceTime.
Questa selezione, come sottolineato anche da Computerworld, rivela la preferenza della Camera per piattaforme con caratteristiche di sicurezza più robuste, tipiche degli ambienti enterprise, o quelle sviluppate da partner tecnologici statunitensi considerati più affidabili.
Precedenti: la lezione di Signal e i rischi legati all’AI
La preoccupazione per la sicurezza di WhatsApp e di altre piattaforme social non è un fenomeno isolato.
Ci sono stati numerosi casi che hanno evidenziato le vulnerabilità di tali servizi, anche in presenza di crittografia, spesso a causa di errori umani o vulnerabilità tecniche impreviste.
I casi degli spyware Pegasus e Paragon
Nel gennaio 2024, un funzionario di WhatsApp ha rivelato che la società di spyware israeliana Paragon Solutions aveva preso di mira decine di suoi utenti, inclusi giornalisti e membri della società civile.
Questo caso segue precedenti scandali legati a Pegasus, uno spyware sviluppato da Nso Group, che è stato utilizzato per prendere di mira giornalisti, attivisti per i diritti umani e funzionari governativi in tutto il mondo attraverso vulnerabilità nelle app di messaggistica.
Sebbene WhatsApp abbia implementato patch per mitigare queste minacce, la persistenza di tali strumenti evidenzia la costante battaglia contro attori malevoli.
Violazioni di dati su larga scala
Sebbene non direttamente legate a WhatsApp, le violazioni di dati su altre piattaforme di Meta (come Facebook) hanno generato preoccupazioni più ampie sulla gestione dei dati degli utenti da parte dell’azienda.
Per esempio, il caso di Cambridge Analytica ha dimostrato come i dati degli utenti di Facebook potessero essere raccolti e utilizzati in modo improprio per influenzare processi politici.
Anche se WhatsApp ha una politica sulla privacy diversa, questi episodi contribuiscono a un clima di sfiducia generale nei confronti delle aziende che gestiscono enormi quantità di dati personali.
Divieti e restrizioni su altre app
Il divieto di WhatsApp da parte della Camera dei Rappresentanti negli USA non è un precedente isolato. Già nel dicembre 2022, la Camera aveva vietato l’app di video brevi TikTok dai dispositivi del personale, citando la sua natura “ad alto rischio a causa di una serie di problemi di sicurezza”.
Più recentemente, il capo amministrativo della Camera ha imposto restrizioni su DeepSeek, altre app di ByteDance e Microsoft Copilot.
Inoltre, gli uffici del Congresso sono ora autorizzati a utilizzare solo ChatGPT Plus, la versione a pagamento del popolare chatbot AI, a causa di preoccupazioni sulla potenziale fuoriuscita di dati verso servizi cloud non autorizzati.
Questa tendenza dimostra una strategia proattiva delle istituzioni governative per limitare l’uso di applicazioni percepite come rischiose per la sicurezza nazionale, indipendentemente dal Paese di origine o dalla tecnologia impiegata (inclusa l’intelligenza artificiale).
Come affermato da Neil Shah di Counterpoint Research, “con tutte le tensioni geopolitiche, la Camera degli Stati Uniti non vuole lasciare alcuna falla nella sicurezza, poiché i dati e le informazioni sono il nuovo arsenale per i Paesi per ottenere un vantaggio“.
La controversia di Signal e l’errore umano
Un caso che illustra la complessità della sicurezza, anche con app crittografate come Signal, riguarda l’ex Segretario alla Difesa degli Stati Uniti, Pete Hegseth.
Hegseth inviò informazioni dettagliate su attacchi pianificati nello Yemen in almeno due chat di gruppo private su Signal. Una di queste chat, creata dal consigliere per la Sicurezza nazionale Mike Waltz, includeva alti funzionari della sicurezza statunitense, ma, inavvertitamente, anche un giornalista.
Questo incidente sottolinea che, anche con la crittografia end-to-end, l’errore umano nella gestione delle informazioni può compromettere gravemente la sicurezza.
Inoltre, il Pentagono aveva precedentemente avvertito i suoi dipendenti di non utilizzare Signal a causa di una vulnerabilità tecnica che avrebbe potuto essere sfruttata da gruppi di hacker russi per spiare “persone di interesse”.
Sebbene le “app di messaggistica di terze parti” come Signal siano consentite per condividere informazioni non classificate, non lo sono per inviare informazioni “non pubbliche” non classificate.
App di fascia enterprise
La decisione della Camera riflette una “svolta fondamentale” nell’approccio delle organizzazioni alla selezione delle piattaforme di messaggistica per comunicazioni sensibili.
Neil Shah ha commentato che “le applicazioni destinate a utenti aziendali o del settore pubblico critico devono essere di livello enterprise, certificate e inserite nella whitelist dai dipartimenti Cio o IT per mitigare qualsiasi rischio”.
Il divieto rappresenta “un duro colpo per Meta, stabilendo un precedente sulle preoccupazioni di sicurezza o sulla trasparenza dei dati che transitano attraverso le sue app”.
Shah ha evidenziato che, pur rimanendo WhatsApp un’applicazione molto popolare per uso personale, necessita di “maggiore trasparenza su come i dati verranno gestiti non solo in transito ma anche sui server, data la più profonda integrazione con Instagram, Facebook e altre proprietà di Meta che costruiscono il grafico sociale dell’utente per aumentare il business pubblicitario di Meta”.
Punti critici
Un ulteriore punto critico sollevato dagli esperti di sicurezza riguarda la gestione dei dati in ambienti aziendali.
Le app di messaggistica consumer come WhatsApp spesso non dispongono dei controlli amministrativi necessari per la conformità e la conservazione dei dati, mancando di capacità di gestione centralizzata o di audit trail dettagliati richiesti in settori regolamentati.
Questo differisce nettamente dalle soluzioni “enterprise-grade” come Microsoft Teams o Slack, che offrono funzionalità cruciali quali la prevenzione della perdita di dati (DLP), la capacità di legal hold e una maggiore integrazione con l’infrastruttura di sicurezza esistente.
La reputazione di Meta dopo il bando a Whatsapp negli Usa
Il ban di WhatsApp negli Usa non è solo una questione tecnica, ma ha anche significative implicazioni reputazionali per Meta.
La decisione di un’importante istituzione governativa come la Camera dei Rappresentanti degli Stati Uniti di etichettare un servizio di punta come “ad alto rischio” può erodere la fiducia pubblica e aziendale, spingendo altre organizzazioni a rivalutare le proprie politiche sull’uso di app consumer per scopi professionali.
Questo può stabilire un precedente normativo e legale che potrebbe influenzare le future decisioni di regolamentazione e le strategie di adozione tecnologica a livello globale.
Una strategia proattiva
La decisione della Camera dei Rappresentanti di bandire WhatsApp negli Usa dai suoi dispositivi riflette una strategia proattiva per salvaguardare la sicurezza nazionale in un ambiente digitale sempre più complesso e minaccioso.
La storia recente di violazioni di dati, l’uso di spyware, le preoccupazioni legate alle nuove tecnologie AI e le controversie che hanno coinvolto anche piattaforme crittografate, hanno rafforzato la necessità di adottare un approccio cauto e rigoroso alla gestione delle comunicazioni governative.
La vicenda di Signal, in particolare, dimostra che la sola crittografia non basta: la trasparenza del provider, la gestione attenta delle informazioni da parte degli utenti e le potenziali vulnerabilità tecniche sono tutti fattori critici che le istituzioni devono considerare.
La Camera ha anche avvertito il personale di prestare attenzione a potenziali truffe di phishing e messaggi da numeri sconosciuti, sottolineando ulteriormente l’importanza della consapevolezza e della cautela degli utenti.
