Mentre le altre piattaforme rafforzano la crittografia dei messaggi, TikTok fa il contrario e annuncia che non introdurrà la crittografia end-to-end nei messaggi privati (DM) perché impedirebbe di individuare abusi e contenuti illegali. Una posizione che riaccende il dibattito su privacy, sicurezza e accesso ai dati da parte di governi e autorità.
Indice degli argomenti
TikTok rifiuta la crittografia end-to-end
Secondo le dichiarazioni di TikTok alla BBC, la crittografia totale rende più difficile individuare abusi, grooming e contenuti illegali, limitando l’intervento dei sistemi di sicurezza e delle forze dell’ordine.
La decisione è stata quindi presentata come una misura di tutela per gli utenti più giovani, ma ha già sollevato forti critiche tra esperti privacy e sicurezza informatica, che temono un aumento dei rischi di sorveglianza e accesso ai dati personali.
La crittografia end-to-end nelle piattaforme social
La posizione di TikTok rappresenta un’anomalia significativa nel panorama delle piattaforme digitali. Negli ultimi anni, infatti, i servizi di messaggistica delle principali piattaforme hanno progressivamente adottato la crittografia end-to-end come standard per la protezione delle comunicazioni private.
È attiva di default su servizi come Signal, WhatsApp, Messenger, iMessage di Apple e Google Messages, mentre Instagram sta progressivamente introducendola anche nei messaggi diretti.
Su X (ex Twitter) esiste una forma di crittografia simile alla E2EE, anche se alcuni esperti ne contestano il livello di sicurezza rispetto agli standard del settore.
Telegram la offre come opzione (non come impostazione predefinita), mentre Snapchat la utilizza per immagini e video nei messaggi privati e ha annunciato l’intenzione di estenderla anche ai messaggi di testo.
Più recentemente, anche Discord ha comunicato che le chiamate vocali e video saranno presto protette da crittografia end-to-end per impostazione predefinita.
La rottura del consenso tecnologico sulla crittografia
Per oltre un decennio l’industria tecnologica ha progressivamente consolidato un consenso nei confronti della crittografia end-to-end, che rappresenta il livello più elevato di protezione della privacy nelle comunicazioni digitali.
Si tratta di una tecnologia che funziona in modo relativamente semplice: i messaggi vengono cifrati sul dispositivo del mittente e possono essere decifrati solo su quello del destinatario; né il provider del servizio né eventuali intermediari di rete possono accedere al contenuto delle comunicazioni.
L’adozione di questo modello, da un lato, ha rafforzato la sicurezza delle comunicazioni digitali, proteggendo gli utenti da intercettazioni e violazioni dei dati; dall’altro ha ridotto drasticamente la capacità delle piattaforme di monitorare i contenuti scambiati dagli utenti.
La posizione di TikTok rappresenta una rottura del consenso tecnologico dominante: invece di aderire al paradigma della crittografia totale, la piattaforma sceglie di mantenere la possibilità tecnica di intervenire sulle comunicazioni private.
Privacy delle comunicazioni Vs sicurezza online
La scelta di TikTok si innesta comunque in un dibattito esistente, quello relativo al rapporto tra due diritti fondamentali, cioè tra riservatezza delle comunicazioni e sicurezza degli utenti online.
Secondo alcune analisi che riportano il parere di autorità di polizia e organismi internazionali, la diffusione generalizzata della crittografia end-to-end rischia in effetti di creare spazi digitali difficili da monitorare, rendendo più complessa l’individuazione di attività criminali come il traffico di materiale pedopornografico, il terrorismo o il grooming online. In Europa, diversi responsabili delle forze dell’ordine hanno espresso preoccupazione per l’impatto della crittografia sulle indagini e, in una dichiarazione congiunta, le autorità di oltre trenta Paesi hanno avvertito che la diffusione indiscriminata della E2EE potrebbe impedire alle piattaforme di individuare e segnalare attività illegali.
Anche le organizzazioni impegnate nella protezione dei minori hanno sollevato da tempo timori analoghi, ritenendo che l’implementazione della crittografia senza strumenti alternativi di rilevazione potrebbe ridurre drasticamente il numero di segnalazioni di abusi online.
Queste posizioni si scontrano però con quelle di molti esperti di sicurezza informatica, che ritengono comunque la crittografia un elemento essenziale per la protezione dei diritti fondamentali e per la sicurezza delle infrastrutture digitali.
La scelta di TikTok: sorveglianza by design
Il modello adottato da servizi come Signal o WhatsApp è quello di privacy by design, in cui la piattaforma rinuncia deliberatamente alla possibilità tecnica di accedere ai contenuti delle comunicazioni.
L’approccio implicito nella scelta di TikTok potrebbe invece essere definito di sorveglianza by design, perché l’architettura tecnica della piattaforma mantiene un livello di accesso ai dati che consente sistemi di moderazione più invasivi.
La differenza è sostanziale, dal momento che, nel primo caso, la piattaforma resta una semplice infrastruttura tecnica, mentre, nel secondo, conserva un ruolo attivo nella gestione e nel controllo delle comunicazioni.
Le ragioni di TikTok
Seppur TikTok presenti la sua decisione come una forma di tutela degli utenti più vulnerabili, dal punto di vista dei diritti digitali, sorgono interrogativi significativi, soprattutto in merito a quanto potere di accesso ai dati sia legittimo attribuire a una piattaforma privata.
Nonostante le criticità, la posizione di TikTok merita comunque di essere presa sul serio e non liquidata semplicemente.
L’argomento secondo cui una piattaforma debba mantenere strumenti tecnici per individuare abusi e proteggere gli utenti più vulnerabili non è infatti privo di fondamento, soprattutto in un contesto in cui il grooming e la diffusione di contenuti illegali rappresentano dei rischi concreti.
Tuttavia, la scelta di rinunciare alla crittografia end-to-end comporta il rischio che la sicurezza diventi il pretesto per normalizzare forme di accesso sistematico alle comunicazioni private. E dietro la promessa di una “sicurezza delle piattaforme”, potrebbe consolidarsi progressivamente una logica di privacy condizionata dall’accesso delle autorità, o persino una forma di privacy sempre più compatibile con le esigenze di sorveglianza degli Stati.
Il dibattito su Chat Control e scanning delle comunicazioni
Il timore che la sicurezza possa diventare il pretesto per normalizzare l’accesso alle comunicazioni private è, negli ultimi anni, un tema emerso con forza nel dibattito europeo sulla proposta di regolamento contro gli abusi sessuali sui minori online, noto come “Chat Control”. La proposta prevede l’introduzione di sistemi di scansione automatica dei messaggi e dei contenuti condivisi sulle piattaforme e ha sollevato un acceso confronto tra governi, autorità di polizia e organizzazioni per i diritti digitali, poiché tecnologie come il client-side scanning (che analizzano i contenuti direttamente sui dispositivi degli utenti prima della cifratura) potrebbero di fatto aggirare le garanzie della crittografia end-to-end.
Nel medesimo contesto si inserisce anche il dibattito sulle cosiddette backdoor crittografiche, ovvero meccanismi che consentirebbero alle autorità di accedere alle comunicazioni cifrate in presenza di un mandato legale. Molti esperti sostengono che non esistano ‘backdoor sicure’ in quanto qualsiasi accesso privilegiato progettato per le autorità rischia di trasformarsi in una vulnerabilità sistemica potenzialmente sfruttabile anche da attori malevoli.
Il nodo europeo: tra GDPR, DSA e tutela dei minori
La questione assume un significato particolare nel contesto normativo europeo, dove la regolazione delle piattaforme digitali si muove su due binari potenzialmente in tensione tra loro.
Da un lato, il Regolamento generale sulla protezione dei dati (GDPR) promuove il principio di privacy by design, secondo cui i sistemi digitali dovrebbero essere progettati fin dall’origine per limitare al minimo necessario l’accesso ai dati personali e ridurre il rischio di trattamenti non necessari o eccessivi. La crittografia end-to-end viene spesso considerata uno degli strumenti tecnici più efficaci per garantire la riservatezza delle comunicazioni.
Dall’altro lato, il Digital Services Act (DSA) introduce obblighi stringenti per le grandi piattaforme online nella gestione dei rischi sistemici, chiedendo loro di prevenire la diffusione di contenuti illegali e di adottare misure efficaci per proteggere gli utenti, in particolare i minori.
Questa doppia pressione normativa crea una tensione strutturale.
Da un lato si chiede alle piattaforme di ridurre al minimo l’accesso ai dati personali; dall’altro si pretende che siano in grado di individuare e contrastare comportamenti illegali che spesso si sviluppano proprio nelle comunicazioni private.
Il caso TikTok rende particolarmente evidente questa contraddizione: una piattaforma completamente criptata potrebbe infatti non disporre degli strumenti tecnici per individuare determinati comportamenti abusivi o contenuti illegali. Allo stesso tempo, una piattaforma che mantiene la possibilità di accedere ai messaggi per finalità di sicurezza rischia di entrare in contrasto con i principi di minimizzazione dei dati e limitazione delle finalità previsti dal GDPR.
In questo senso, il dibattito sulla crittografia va oltre la mera scelta tecnica e riflette una questione più ampia che verte su quale equilibrio il diritto europeo intende stabilire tra tutela della privacy, sicurezza degli utenti e responsabilità delle piattaforme digitali.
Geopolitica dei dati e accesso alle conversazioni private
Nel caso di TikTok, il dibattito sulla crittografia si intreccia inevitabilmente con una dimensione geopolitica sempre più rilevante.
TikTok è controllata dal gruppo tecnologico cinese ed è da anni al centro di controversie legate alla gestione dei dati degli utenti occidentali e al possibile accesso da parte delle autorità di Pechino.
Nel 2025 l’autorità irlandese per la protezione dei dati ha inflitto a TikTok una sanzione di 530 milioni di euro per violazioni nella gestione dei dati personali e nei trasferimenti verso la Cina, sostenendo che l’azienda non avesse dimostrato adeguatamente che i dati degli utenti europei fossero protetti da potenziali accessi da parte delle autorità cinesi.
Negli Stati Uniti la questione ha assunto una dimensione ancora più politica. Dopo anni di tensioni tra Washington e la società madre ByteDance, nel 2024 il Congresso americano ha approvato una legge che imponeva alla società cinese di cedere le attività di TikTok negli Stati Uniti oppure affrontare un possibile divieto della piattaforma per ragioni di sicurezza nazionale. Il processo ha portato nel 2025-2026 alla creazione di una nuova struttura societaria per le operazioni statunitensi, con la partecipazione di investitori americani e un rafforzamento dei meccanismi di controllo sui dati degli utenti.
Tuttavia, la separazione non ha completamente chiuso il dibattito, poiché ByteDance mantiene ancora un ruolo nell’ecosistema tecnologico della piattaforma detenendo una quota nella nuova entità statunitense e continuando a fornire tecnologie chiave come l’algoritmo di raccomandazione. Molti osservatori richiamano in particolare la National Intelligence Law cinese del 2017, che prevede l’obbligo per “organizzazioni e cittadini di sostenere e cooperare con il lavoro di intelligence nazionale”, una disposizione spesso citata nel dibattito sulla possibilità che aziende cinesi possano essere chiamate a collaborare con le autorità statali.
La scelta di non adottare la crittografia end-to-end nei messaggi diretti assume in questo contesto un significato ancora più delicato: se la piattaforma mantiene la possibilità tecnica di accedere ai contenuti delle conversazioni, la questione non riguarda soltanto la moderazione dei contenuti o la sicurezza degli utenti, ma soprattutto chi possa potenzialmente accedere a quei dati e sotto quale giurisdizione politica.
Nel caso TikTok la crittografia diventa così un elemento della competizione geopolitica per il controllo dei dati e delle infrastrutture digitali globali.
Il futuro dei social: spazi privati criptati o piazze digitali sorvegliate
Dietro il dibattito sulla crittografia si nasconde in realtà una questione più profonda: chi debba avere il controllo delle comunicazioni digitali.
La crittografia end-to-end sposta questo potere interamente nelle mani degli utenti, rendendo le piattaforme semplici infrastrutture tecniche incapaci di accedere ai contenuti delle conversazioni. La scelta opposta (quella di mantenere la possibilità tecnica di leggere i messaggi), operata da TikTok, restituisce invece alle piattaforme e, indirettamente, alle autorità pubbliche, uno spazio di intervento e rappresenta una scelta politica su chi debba accedere e su quali diritti debbano prevalere.
È plausibile che nei prossimi anni il panorama dei servizi digitali si polarizzi progressivamente in due modelli opposti, cioè: piattaforme che privilegiano la riservatezza assoluta delle comunicazioni, rinunciando alla moderazione dei messaggi privati; e piattaforme che adottano un approccio di vigilanza attiva con strumenti di monitoraggio per prevenire comportamenti illegali.
I regolatori europei dovranno evitare che questo conflitto si trasformi in un falso dilemma tra sicurezza e privacy. Dovrà infatti emergere con chiarezza il modo in cui si intende progettare lo spazio pubblico digitale del futuro: se un sistema di comunicazioni realmente inviolabili oppure una piazza digitale in cui le conversazioni restano (almeno in parte) accessibili alle piattaforme e alle autorità.
