Meta ha modificato su Instagram la disponibilità della crittografia end-to-end nella forma fino ad oggi usata per alcune funzionalità di messaggistica diretta. Tradotto in termini meno tecnici: i contenuti inviati tramite DM non sono più necessariamente protetti da un sistema che garantiva la leggibilità esclusivamente ai partecipanti della conversazione.
Una novità tecnica che incide su uno dei pilastri della comunicazione digitale contemporanea: la riservatezza delle conversazioni private.
La questione merita prudenza terminologica. Non si tratta di affermare che “Meta legge automaticamente tutti i messaggi privati” o che “le chat siano diventate pubbliche”. Una formulazione del genere sarebbe giuridicamente e tecnicamente imprecisa. Tuttavia, è corretto evidenziare che la modifica dell’architettura crittografica altera l’equilibrio tra accessibilità tecnica ai dati e massima riservatezza delle comunicazioni.
E questo cambia molto.
Indice degli argomenti
Crittografia end-to-end Instagram e riservatezza dei DM
La crittografia end-to-end rappresenta infatti uno degli strumenti più forti di tutela della confidenzialità digitale. In un sistema realmente E2EE (End-to-End Encryption), i contenuti vengono cifrati sul dispositivo del mittente e possono essere decifrati soltanto sul dispositivo del destinatario. Nemmeno il provider del servizio, almeno teoricamente e salvo implementazioni differenti, dispone delle chiavi necessarie per leggere i messaggi in chiaro.
È un modello che negli anni è stato progressivamente adottato da piattaforme come WhatsApp, Signal e, in parte, Messenger e Instagram, anche come risposta alle crescenti richieste di sicurezza provenienti dagli utenti e alle rivelazioni globali sui sistemi di sorveglianza digitale.
Il punto centrale, però, è che la protezione delle comunicazioni non riguarda soltanto il contenuto del messaggio.
La fine della crittografia end to end su Instagram
Instagram ha terminato il supporto alle chat con crittografia end-to-end nei DM dall’8 maggio 2026. La funzione era opzionale e poco usata; Meta sta indirizzando chi vuole E2EE verso WhatsApp, che resta cifrato end-to-end di default.
Cosa significa in pratica:
- Le nuove conversazioni Instagram non sono E2E come WhatsApp: Meta può tecnicamente accedere ai contenuti dei DM per moderazione, sicurezza e gestione del servizio.
- Le vecchie chat E2E potrebbero non essere più accessibili come prima: vari avvisi riportano che gli utenti coinvolti sono stati invitati a scaricare messaggi/media da conservare.
- Per conversazioni sensibili conviene usare WhatsApp, Signal o iMessage invece dei DM Instagram.
Tabella: dove ha senso spostare le conversazioni più sensibili
| Servizio | Crittografia end-to-end | È predefinita? | Quando ha senso usarlo |
| Instagram DM | Non più disponibile per queste chat dal 8 maggio 2026 | No | Messaggi social, coordinamento leggero, contenuti non sensibili |
| Sì | Sì | Conversazioni personali e pratiche quotidiane con protezione forte | |
| Messenger | Sì per chat e chiamate personali | Sì, rollout annunciato come default | Per chi vuole restare nell’ecosistema Meta con più tutela |
| Signal | Sì | Sì | Scambi riservati, giornalisti, professionisti, utenti attenti alla privacy |
| Telegram | Sì, ma solo nelle Secret Chats | No | Utile solo se si attiva esplicitamente la chat segreta |
Il ruolo dei metadati nel diritto europeo
Nel diritto europeo i metadati assumono un rilievo enorme. Informazioni relative agli interlocutori, agli orari di connessione, alla frequenza dei contatti, alla durata delle comunicazioni, alla geolocalizzazione o ai pattern comportamentali costituiscono a tutti gli effetti dati personali ai sensi dell’articolo 4 del GDPR.
E proprio i metadati, spesso, raccontano più del contenuto stesso.
Sapere chi parla con chi, con quale frequenza, in quali fasce orarie, da quali luoghi e con quali reti sociali di contatto consente infatti di costruire profili estremamente dettagliati. La Corte di Giustizia dell’Unione Europea e la Corte EDU hanno più volte riconosciuto come il trattamento massivo dei metadati possa incidere profondamente sui diritti fondamentali della persona.
Per comprendere il tema occorre allora evitare due opposti estremismi.
Da una parte c’è la retorica secondo cui “chi non ha nulla da nascondere non ha nulla da temere”. È un argomento fragile, storicamente utilizzato ogni volta che una tecnologia rende possibile una nuova forma di controllo. La riservatezza delle comunicazioni non tutela soltanto i comportamenti illeciti: tutela giornalisti, avvocati, oppositori politici, minori, attivisti, medici, psicologi, cittadini comuni e perfino la libertà di formare il proprio pensiero senza sentirsi osservati.
Dall’altra parte sarebbe però semplicistico ignorare completamente le ragioni che spingono le piattaforme e le autorità pubbliche a rivedere i modelli di crittografia totale.
Sicurezza online e limiti della crittografia totale
Le piattaforme digitali sono oggi attraversate da pressioni enormi: contrasto alla pedopornografia online, prevenzione del terrorismo, attività investigative, cybercrime, truffe sentimentali, revenge porn, estorsioni digitali, campagne di disinformazione, contenuti generati artificialmente e utilizzo dell’intelligenza artificiale per attività criminali.
In questo scenario la crittografia assoluta viene percepita da alcune autorità investigative come una sorta di “zona buia” impermeabile ai controlli.
Ed è qui che il dibattito europeo si è incendiato negli ultimi anni.
Il riferimento inevitabile è il cosiddetto “Chat Control”, ossia la proposta europea relativa alla prevenzione e al contrasto dell’abuso sessuale sui minori online. Il progetto ha previsto, nelle sue varie formulazioni, meccanismi di scansione dei contenuti comunicativi, anche attraverso tecnologie automatizzate, con l’obiettivo di individuare materiale pedopornografico noto, nuovo materiale illecito o tentativi di adescamento.
La proposta ha generato uno scontro giuridico e istituzionale enorme.
Da un lato vi è l’esigenza, incontestabile, di proteggere i minori e contrastare crimini gravissimi. Dall’altro lato numerosi esperti di cybersicurezza, autorità privacy, associazioni per i diritti civili e ricercatori hanno evidenziato il rischio di creare sistemi di sorveglianza generalizzata incompatibili con i principi europei di proporzionalità e minimizzazione.
Il punto interessante è che, nonostante mesi di dibattito politico e mediatico, e nonostante la scadenza del regime transitorio previsto dal Regolamento (UE) 2021/1232, le principali piattaforme non hanno improvvisamente smesso di utilizzare sistemi volontari di rilevazione e moderazione dei contenuti. Questo dimostra quanto il rapporto tra privacy, sicurezza e moderazione algoritmica sia ormai diventato strutturale nell’economia delle piattaforme.
Ed è qui che emerge un secondo nodo: l’intelligenza artificiale.
Intelligenza artificiale e accessibilità dei dati comunicativi
Le moderne architetture di IA generativa necessitano di enormi quantità di dati per addestramento, ottimizzazione, sicurezza e sviluppo di modelli comportamentali. In un ecosistema digitale fondato sulla profilazione pubblicitaria, sull’analisi predittiva e sulla personalizzazione estrema dei contenuti, l’accessibilità ai dati comunicativi assume un valore economico e strategico gigantesco.
Naturalmente ciò non significa affermare che Meta utilizzi direttamente i messaggi privati per addestrare modelli di IA in violazione della normativa europea. Un’affermazione del genere richiederebbe prove specifiche e verificabili. Tuttavia, è legittimo interrogarsi su quanto la progressiva riduzione degli spazi di cifratura totale possa incidere, nel lungo periodo, sulla disponibilità di dati e sulla governance algoritmica delle piattaforme.
Ed è qui che il tema incontra tre grandi normative europee: GDPR, DSA e AI Act.
GDPR, DSA e AI Act davanti alla crittografia delle chat
Il GDPR impone principi molto rigidi: limitazione della finalità, minimizzazione dei dati, privacy by design, sicurezza del trattamento, accountability e necessità di una base giuridica adeguata. Ogni modifica strutturale dell’architettura di protezione delle comunicazioni dovrebbe quindi essere valutata anche sotto il profilo della proporzionalità e dell’impatto sui diritti fondamentali.
Non è un caso che l’articolo 25 del GDPR richiami espressamente il concetto di “protezione dei dati fin dalla progettazione” (privacy by design). Ridurre il livello di cifratura o modificare le modalità di accessibilità ai contenuti potrebbe porre interrogativi sul mantenimento dello “stato dell’arte” delle misure di sicurezza richieste dall’articolo 32.
Il DSA, invece, introduce obblighi specifici per le Very Large Online Platforms in materia di valutazione e mitigazione dei rischi sistemici. Ma proprio qui emerge un paradosso giuridico interessante: fino a che punto la mitigazione dei rischi può giustificare architetture tecnologiche più invasive sul piano della riservatezza?
La risposta europea, almeno fino ad oggi, non è mai stata quella di autorizzare indiscriminatamente forme di sorveglianza privata generalizzata.
Infine vi è l’AI Act.
Sebbene il regolamento europeo sull’intelligenza artificiale non disciplini direttamente la crittografia delle chat, esso si innesta comunque sul tema della governance algoritmica e dell’utilizzo di sistemi automatizzati ad alto impatto sui diritti fondamentali. Se strumenti di analisi automatica delle comunicazioni dovessero essere utilizzati per profilazione, rilevazione comportamentale o moderazione predittiva, si aprirebbero inevitabilmente questioni di trasparenza, spiegabilità, accuratezza e supervisione umana.
Il rischio, in altre parole, è che la progressiva erosione della cifratura forte produca un ecosistema nel quale le comunicazioni private diventino progressivamente più “leggibili” non soltanto dalle piattaforme, ma anche dagli algoritmi.
Ed è proprio questo il punto filosofico e giuridico centrale.
Privacy, sicurezza e modello di società digitale
La privacy non coincide con il segreto assoluto. Ma nemmeno con la totale trasparenza dell’individuo verso l’infrastruttura tecnologica che utilizza.
Ogni società democratica deve continuamente ridefinire il punto di equilibrio tra sicurezza collettiva e libertà individuale. Il problema è che, nell’ecosistema digitale contemporaneo, questo equilibrio viene spesso deciso non nei parlamenti o nelle corti, ma dentro scelte architetturali private, aggiornamenti software e modifiche di policy lunghe decine di pagine che quasi nessuno legge.
In Italia il tema assume un rilievo ancora più delicato alla luce dell’articolo 15 della Costituzione, che tutela la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione. Non si tratta di una tutela simbolica: la Corte costituzionale ha più volte riconosciuto il carattere particolarmente forte di questa garanzia.
Ecco perché la questione delle chat “protette” non riguarda soltanto gli esperti di cybersecurity o i tecnici delle piattaforme.
Riguarda il modello di società digitale che stiamo costruendo.
Una società nella quale le comunicazioni private restano realmente private salvo eccezioni rigorose e controllate? Oppure un ecosistema nel quale la sicurezza, la moderazione algoritmica e l’intelligenza artificiale spingono progressivamente verso una crescente accessibilità dei dati comunicativi?
La risposta, probabilmente, non può essere né assoluta né ideologica.
Ma proprio per questo il dibattito dovrebbe essere molto più pubblico, molto più trasparente e molto meno confinato dentro aggiornamenti tecnici apparentemente invisibili.
