L’8 maggio 2026 ha segnato una svolta significativa nel panorama della sicurezza delle comunicazioni digitali: Instagram ha terminato il supporto alle chat con crittografia end-to-end (E2EE, end‑to‑end encryption) opzionale per i messaggi diretti, ponendo fine a un percorso iniziato sette anni fa da Meta con l’obiettivo dichiarato di rendere private e sicure le conversazioni degli utenti.
Una decisione che rimette al centro del dibattito pubblico il bilanciamento tra tutela della privacy individuale e sicurezza collettiva, con implicazioni tecniche e geopolitiche che vanno ben oltre la singola piattaforma.
Indice degli argomenti
Disattivata la privacy su Instagram: l’impatto su messaggi diretti
La crittografia end-to-end è il meccanismo di protezione più robusto disponibile per le comunicazioni digitali.
Nella sua forma più semplice, garantisce che solo il mittente e il destinatario possano leggere il contenuto di un messaggio: nemmeno il fornitore del servizio, in questo caso Meta, è in grado di accedere ai dati in transito.
Con la disattivazione di questa tecnologia su Instagram, le chat che usavano la funzione E2EE perdono quel livello di protezione; i messaggi diretti restano comunque protetti da crittografia standard, la stessa tipologia non end-to-end adottata da molti altri servizi di comunicazione online.
Quest’ultima tipologia di protezione, pur non lasciando i dati esposti a chiunque, consente al gestore del servizio e, in determinate circostanze legali, alle autorità competenti, di accedere ai contenuti delle comunicazioni.
La retromarcia di Meta sulla E2EE estesa alla messaggistica
La storia di questa retromarcia parte dal 2019, quando Mark Zuckerberg annunciò pubblicamente che “il futuro è privato”, impegnando Meta a estendere la E2EE all’intera infrastruttura di messaggistica.
L’impegno si concretizzò parzialmente nel 2023, quando Facebook Messenger completò il passaggio alla crittografia end-to-end per impostazione predefinita.
Su Instagram, invece, la funzionalità era stata introdotta come opzione che gli utenti potevano attivare volontariamente, nell’ambito del piano generale annunciato da Meta nel 2019.
Quell’intenzione non si è mai tradotta in realtà: a marzo 2026, Meta ha aggiornato le pagine ufficiali di supporto comunicando la fine del supporto alla E2EE su Instagram a partire dall’8 maggio, senza un annuncio pubblico di rilievo, benché la modifica fosse indicata su canali ufficiali e alcuni utenti interessati abbiano ricevuto notifiche in-app.
La motivazione dichiarata dall’azienda è stata la scarsa adozione della funzionalità opzionale da parte degli utenti.
Una spiegazione che diversi analisti hanno accolto con scetticismo, sottolineando come il basso tasso di attivazione di funzionalità opzionali sia un fenomeno ampiamente documentato in informatica, legato alla cosiddetta “frizione” che qualsiasi passaggio aggiuntivo introduce nel comportamento degli utenti: chiedere un’azione volontaria per abilitare la privacy equivale, di fatto, a scoraggiarne l’utilizzo.
Il perimetro di sicurezza delle comunicazioni su Instagram
Sul piano tecnico, la transizione dalla crittografia end-to-end a quella standard ridisegna in modo sostanziale il perimetro di sicurezza delle comunicazioni su Instagram.
Con la E2EE, le chiavi crittografiche risiedono esclusivamente sui dispositivi degli utenti: nessuna copia del messaggio in chiaro è mai accessibile ai server di Meta.
Con la crittografia standard, invece, i messaggi sono protetti nel transito tra dispositivo e server, ma la piattaforma può tecnicamente accedere ai contenuti lato server.
Questo modello è funzionale all’attività di moderazione dei contenuti, alla risposta a richieste legali delle autorità e, secondo alcuni critici, potrebbe aprire la strada alla raccolta di dati per finalità pubblicitarie o di addestramento dei modelli di intelligenza artificiale.
Su quest’ultimo punto, Meta ha precisato che i messaggi diretti non vengono utilizzati per addestrare i propri sistemi di AI, benché ad aprile 2026 la società abbia comunicato al proprio personale che i dati di attività sui dispositivi aziendali sarebbero stati raccolti come materiale di training per i modelli interni.
La tensione fra sicurezza delle comunicazioni e capacità investigativa
Il dibattito che accompagna questa decisione ricalca una tensione nota nel campo della sicurezza informatica: quella tra sicurezza delle comunicazioni individuali e capacità investigativa e di contrasto delle autorità.
Da un lato, organizzazioni come l’NSPCC, storica associazione britannica per la protezione dell’infanzia, hanno accolto con favore il cambiamento.
La preoccupazione sollevata da questi gruppi riguarda la possibilità che la E2EE crei spazi opachi entro cui possono avvenire comunicazioni illecite, tra cui il grooming e l’abuso di minori, senza che le piattaforme possano rilevarle e segnalarle alle autorità.
Dall’altro lato, le organizzazioni per la difesa dei diritti digitali esprimono preoccupazione per l’indebolimento delle garanzie di riservatezza.
Si tratta, in definitiva, dello stesso dibattito che da anni oppone i sostenitori del cosiddetto “lawful access” alle comunicazioni cifrate, ai difensori dell’inviolabilità della crittografia come garanzia fondamentale delle libertà digitali.
Non esiste una risposta tecnica neutra a questa tensione: ogni scelta architetturale incorpora una precisa scala di valori.
Non è solo questione di privacy su Instagram: un’inversione di tendenza
Guardando al panorama più ampio, la mossa di Meta si inserisce in un contesto in cui la diffusione della E2EE stava progredendo su più fronti.
Oggi la crittografia end-to-end è già impostazione predefinita su Signal, WhatsApp, Facebook Messenger, iMessage di Apple e Gmail e Google Meassages. Telegram la offre come opzione non predefinita.
X, l’ex Twitter, dispone di un sistema simile per i messaggi diretti, sebbene i tecnici di settore segnalino che non rispetti pienamente gli standard di settore.
Snapchat la applica a foto e video dei messaggi privati, con l’intenzione dichiarata di estenderla al testo.
Discord ha già completato l’implementazione del protocollo DAVE per le chiamate vocali e video su tutte le piattaforme, rendendolo disponibile di default da marzo 2026.
In questo quadro, la decisione di Meta su Instagram, affiancata alla dichiarazione rilasciata da TikTok alla BBC lo scorso marzo, secondo cui la piattaforma non prevede l’introduzione della tecnologia per i messaggi diretti, segnala una possibile inversione di tendenza.
Alcuni esperti del settore, tra cui Victoria Baines, professoressa di informatica al Gresham College di Londra e già esperta di cyber sicurezza, ritengono che queste decisioni possano rallentare la diffusione della E2EE, confinandola progressivamente alle applicazioni di messaggistica dedicate e specializzate, piuttosto che integrarla nelle grandi piattaforme social generaliste.
La conseguenza per gli utenti
Per gli utenti di Instagram, la conseguenza pratica è immediata: le conversazioni private che si avvalevano della crittografia end-to-end non godono più di quel livello di protezione.
Chi necessita di comunicazioni confidenziali ha a disposizione alternative più robuste, a partire da applicazioni come Signal, che è nata con la E2EE come fondamento architetturale e non come funzionalità aggiuntiva.
Per le organizzazioni e i professionisti che utilizzano Instagram come canale di comunicazione, anche in contesti sensibili, la valutazione del rischio connesso alla scelta della piattaforma diventa un elemento non trascurabile nell’ambito di una strategia di sicurezza delle informazioni più ampia.
La vicenda di Instagram è, in definitiva, un promemoria concreto di come le decisioni architetturali delle piattaforme abbiano conseguenze dirette sul livello di protezione delle comunicazioni digitali di miliardi di persone.
