WhatsApp torna a far parlare per la delicata questione della tutela della privacy dei suoi numerosi utenti: un nuovo report dal titolo “How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users” lascia intendere che la verità sia ben più complessa di quanto dichiarato dalla compagnia di Zuckerberg, secondo la quale, invece, sarebbe tutto un enorme equivoco. In tutto questo rimane un dato di fatto: per essere davvero tutelati, gli utenti devono essere informati in modo chiaro.
Mettiamo per un attimo da parte test di nuove funzioni e prese in giro varie, il tema di oggi merita una certa attenzione e non può essere trattato in modo semplicistico.
WhatsApp e la privacy: che cosa dice il report di ProPublica
ProPublica, che si autodefinisce come una testata indipendente e nonprofit che produce giornalismo investigativo with moral force, ha appena pubblicato un report secondo cui Facebook non starebbe tutelando la privacy degli oltre due miliardi di utenti WhatsApp come promesso.
In particolare, nonostante le rassicurazioni del contrario, sarebbe in atto un’estensiva e regolare attività di monitoraggio, così come una regolare condivisione di informazioni personali con le autorità.
Crittografia end-to-end e “privacy narrative”
Quanto al primo punto, a più riprese Zuckerberg ha posto l’accento sulla crittografia end-to-end che tutela la privacy degli utenti WhatsApp – ProPublica avrebbe messo le mani su una presentazione interna composta da 49 slide e caratterizzata da una “feroce” promozione della “narrativa della privacy di WhatsApp” – e anche all’interno dell’app questo aspetto viene enfatizzato: basta aprire una nuova chat per leggere che «I messaggi e le chiamate sono crittografati end-to-end. Nessuno al di fuori di questa chat, nemmeno WhatsApp, può leggerne o ascoltarne il contenuto».
Ebbene, col proprio report ProPublica vuole dimostrare come questi proclami siano in realtà falsi e infatti si legge:
WhatsApp ha più di 1,000 lavoratori in appalto che riempiono uffici a Austin, Texas, Dublino e Singapore, dove esaminano millioni di contenuti degli utenti. Seduti ai computer in pod organizzati in base alle mansioni assegnate, questi lavoratori usano un software speciale di Facebook per setacciare flussi di messaggi, immagini e video privati che sono stati segnalati dagli utenti di WhatsApp come inappropriati e poi analizzati dai sistemi di AI della compagnia. Questi dipendenti giudicano tutto ciò che compare sui loro schermi – segnalazioni di tutto, dalle frodi allo spam fino a pornografia minorile e potenziali piani terroristici – solitamente in meno di un minuto.
Carl Woog, direttore della comunicazione di WhatsApp, ha riconosciuto l’esistenza di team di appaltatori ad Austin (il report segnala Accenture tra i “Content Moderation Associates”) e altrove, precisando che in WhatsApp non viene svolto un vero e proprio lavoro di moderazione paragonabile a quello di Facebook e Instagram, quanto piuttosto di tutela della privacy degli utenti attraverso la prevenzione, l’identificazione e la rimozione degli abusi.
Sin dall’acquisizione nel 2014, prosegue ProPublica, Facebook avrebbe silenziosamente compromesso la sicurezza di WhatsApp: una denuncia di un whistleblower alla U.S. Securities and Exchange Commission dello scorso anno confermerebbe che WhatsApp fa un uso estensivo di lavoratori esterni, AI e informazioni degli account per esaminare messaggi, immagini e video degli utenti. Per la verità questa denuncia non avrebbe avuto alcun seguito e un portavoce di WhatsApp ha dichiarato «Non abbiamo visto questa denuncia».
Metadati e autorità
Un altro punto importante del report riguarda la raccolta di dati da parte di WhatsApp e la loro condivisione con le autorità: i metadati, a quanto si legge, vengono condivisi con autorità come il Department of Justice. Qui viene portato l’esempio virtuoso di Signal, che invece raccoglie molti meno metadati degli utenti e, così facendo, li tutela maggiormente.
Un portavoce ha dichiarato che: «WhatsApp risponde alle valide richieste legali, inclusi ordini che richiedono di indicare in tempo reale con chi un utente sta messaggiando». In questo modo, riporta ProPublica, i procuratori sarebbero stati aiutati nel caso di alto profilo contro un dipendente del Treasury Department che aveva fornito documenti confidenziali a BuzzFeed News esponendo come flussi di denaro sporco passino tra le banche statunitensi.
Al pari di altri social media, WhatsApp si trova a dover bilanciare la privacy degli utenti con le autorità che garantiscono il rispetto della legge e, a detta di Will Cathcart, Head of WhatsApp, ciò sarebbe perfettamente possibile.
Crittografia, segnalazioni, rilevamento di abusi
Tornando alla privacy dei messaggi inviati dagli utenti, ProPublica riporta come la pagina FAQ di WhatsApp non sia precisa nell’indicare il numero di messaggi inoltrati in caso di segnalazione, né che la loro analisi verrà affidata ai dipendenti di società esterne.
Di contro, Facebook e Instagram, nei “Community Standards” documentano dettagliatamente come avviene la moderazione dei contenuti e Facebook compila dei transparency report che non includono WhatsApp.
I dirigenti di Facebook hanno più volte rassicurato le autorità che la crittografia non impedisce di proteggere gli utenti, per esempio in caso di immagini di abusi sessuali o sfruttamento di minori. Sotto questo aspetto, Cathcart ha ricordato come nel 2020 WhatsApp abbia riportato 400 mila istanze di potenziali immagini di sfruttamento di minori al National Center for Missing and Exploited Children. WhatsApp, a detta del dirigente, si affida alle segnalazioni degli utenti e all’AI per esaminare le informazioni non crittografate.
Un portavoce di WhatsApp ha poi fornito una risposta ufficiale a ProPublica: «Costruiamo WhatsApp in modo che limiti i dati che raccogliamo, fornendoci gli strumenti per prevenire spam, analizzare minacce, bannare gli utenti coinvolti in abusi, anche in base alle segnalazioni ricevute dagli utenti. Questo lavoro richiede uno sforzo straordinario di esperti di sicurezza e uno stimato team di sicurezza che lavora instancabilmente per aiutare a fornire al mondo una comunicazione privata». Tra le novità introdotte in materia di privacy, il portavoce ha ricordato anche i messaggi effimeri, aggiungendo che: «In base ai feedback ricevuti dagli utenti, confidiamo che le persone capiscano che quando effettuano segnalazioni noi riceviamo i contenuti che loro ci inviano».
Per WhatsApp (Facebook) sarebbe tutto un grosso equivoco
Rispondendo al team di 9to5mac, Facebook ha confermato l’importanza della crittografia end-to-end nel funzionamento di WhatsApp, sottolineando come il report di ProPublica si basi su un apparente fraintendimento.
In primis, nel report si lascia intendere che i moderatori di Facebook sarebbero in grado di esaminare “private messages, images and videos” degli utenti, ma in realtà questo sarebbe vero in un’unica circostanza: in presenza di una segnalazione da parte dell’utente stesso. D’altronde basta provare ad effettuare una segnalazione per leggere un messaggio pop-up che recita chiaramente: «Gli ultimi 5 messaggi ricevuti da questo contatto saranno inoltrati a WhatsApp. Se blocchi questo contatto ed elimini la chat, i messaggi verranno eliminati solo da questo dispositivo. Il contatto non sarà informato».
Insomma agli utenti viene detto precisamente quanti messaggi vengono inoltrati e a chi (Facebook). L’inoltro a Facebook in questo caso avviene automaticamente con la segnalazione, ma funzione come un inoltro normale, pertanto il messaggio viene decrittato e poi inviato a Facebook con crittografia end-to-end.
Se qualcuno potrebbe storcere il naso per il numero di messaggi inoltrati – non solo quello “incriminato”, ma anche i quattro precedenti –, va anche detto che i moderatori che valutano la segnalazione hanno bisogno di un contesto.
Altra confusione potrebbe derivare dal fatto che, nella riposta ufficiale a ProPublica, non si precisi che solo i messaggi segnalati sono visibili a WhatsApp, ma lo ha confermato in questi termini a 9to5mac:
«WhatsApp mette a disposizione delle persone un modo per segnalare spam e abusi, che include la condivisione con noi dei messaggi più recenti di una chat. Questa funzione è importante per prevenire i peggiori abusi su internet. Siamo fortemente in disaccordo con il concetto per cui accettare segnalazioni che l’utente sceglie di inviarci sia incompatibile con la crittografia end-to-end».
Conclusioni
Se da una parte il report di ProPublica si apre con un titolo allarmistico e non attribuisce il giusto peso alle informazioni ufficiali fornite, dall’altra ci porta a concludere che una maggiore chiarezza da parte di WhatsApp sarebbe quanto mai opportuna.
L’unico dettaglio finora sconosciuto, comunque, riguarda il fatto che l’analisi delle segnalazioni venga affidata anche a società esterne. Nel momento in cui, però, si tratta di segnalazioni volontarie e di inoltri coperti da crittografia end-to-end, parlare di compromissione della privacy è una forzatura. Specialmente quando la finalità ultima è prevenire abusi potenzialmente molto gravi.
Allo stesso modo, WhatsApp deve sbrigarsi ad inserire anche nella pagina FAQ il dettaglio sul numero di messaggi inoltrati, ma non è stato affatto corretto aver omesso dal report che quest’informazione viene data a chiare lettere quando si apre una segnalazione.
Insomma, serve maggiore chiarezza da parte di Whatsapp, ma anche da parte di chi fa informazione.