Leggi in app
Nel mese di aprile 2016 WhatsApp ha implementato la cifratura end-to-end, consentendo che i messaggi siano accessibili esclusivamente da chi li invia e da chi li riceve, proteggendoli da sguardi indiscreti, compresi quelli di Meta, l’azienda che sviluppa la nota applicazione di messaggistica insieme a Facebook, Instagram e Threads.
Dieci anni sono trascorsi e molti dei problemi relativi alla privacy evidenziati dai ricercatori nel 2016 continuano a persistere, poiché i metadati rappresentano una risorsa preziosa per l’analisi predittiva, la pubblicità comportamentale e una serie di altre attività, tra cui l’inferenza psicografica di cui discuteremo in seguito, oltre all’analisi relazionale di un individuo.
I metadati possiedono un valore intrinseco e da anni sono al centro dell’attenzione di legislatori, politici e gruppi per la tutela della privacy. Non sorprende che la Electronic Frontier Foundation (EFF), una delle più rilevanti organizzazioni per la difesa dei diritti civili nel contesto digitale, si impegni da tempo a sensibilizzare l’opinione pubblica, scossa nel 2013 dalle rivelazioni di Edward Snowden, analista della National Security Agency (NSA), che ha reso noto come quest’ultima raccogliesse metadati telefonici per attività di sorveglianza di massa.
Cosa sono i metadati
I metadati sono informazioni che descrivono altre informazioni. Anche se non riguardano il contenuto di una comunicazione, forniscono dettagli sul contesto in cui avvengono le comunicazioni.
Per comprendere cosa siano, è utile considerare l’esempio di una lettera chiusa in una busta. Il servizio postale non può conoscere il contenuto della busta, ma è in grado di identificare chi la invia, chi è il destinatario e sa dove e quando è stata spedita.
In particolare, su WhatsApp il contenuto della busta è rappresentato dal messaggio – incluse immagini, file multimediali, videochiamate e telefonate – mentre i metadati comprendono tutte le informazioni che possono essere dedotte da ogni messaggio inviato.
Infatti, WhatsApp è in grado di sapere chi comunica con chi, in quale momento della giornata, con quale frequenza, da quale dispositivo e da quale posizione approssimativa.
In aggiunta, conosce anche la durata delle interazioni e l’appartenenza a gruppi, permettendo di dedurre eventuali attività o relazioni tra mittenti e destinatari.
Se considerati singolarmente, questi dati possono sembrare poco significativi, ma, quando vengono aggregati su larga scala, consentono di ricostruire reti sociali, abitudini quotidiane e comportamenti prevedibili.
Per questo motivo i metadati sono diventati un asset cruciale per le piattaforme tecnologiche, per i sistemi pubblicitari e anche per le analisi di sicurezza e di intelligence.
Quali metadati raccoglie WhatsApp
La tabella sottostante riassume i metadati che WhatsApp dichiara di raccogliere. Affidandoci ciecamente a quanto afferma Meta, è necessario ampliare la discussione.
Infatti, i metadati di WhatsApp vengono incrociati con quelli raccolti dalle altre piattaforme del gruppo. Questo implica che unendo le attività dei singoli su WhatsApp, Facebook (e Messenger), Instagram e Threads, Meta dispone di una quantità di informazioni tale da spingere le organizzazioni per la difesa dei diritti digitali a parlare di “metadata privacy”, evidenziando la necessità di tutelare qualcosa di più sottile rispetto ai messaggi in sé.
I metadati raggiungono così una scala notevole, considerando che Facebook conta oltre 3 miliardi di utenti e WhatsApp si avvicina a 3,5 miliardi.
Di questi utenti, Meta può conoscere molte informazioni senza dover leggere i messaggi.
Per fare un esempio, è possibile sapere chi comunica con un medico, chi è in contatto con un avvocato divorzista, chi è in relazione con attivisti o giornalisti, chi partecipa a gruppi di auto-aiuto o svolge attività politiche e, scendendo ancora più nel dettaglio, Meta ha accesso a metadati che indicano che due persone si incontrano ogni martedì nello stesso luogo alla stessa ora, aprendo così a una discreta quantità di ipotesi riguardo alla loro relazione.
Come vengono usati i metadati
Meta è un gruppo che trae i suoi guadagni dalla pubblicità, che rappresenta il 97% dei ricavi nel 2025.
Il modello economico si basa sulla raccolta massiva di dati comportamentali e metadati, sulla profilazione degli utenti e su un targeting pubblicitario preciso.
WhatsApp, pur non mostrando ancora pubblicità tradizionale, contribuisce a potenziare l’ecosistema di Meta, fornendo segnali comportamentali e relazionali utili per gli inserzionisti, ma non solo.
Tra le attività alimentate dai metadati c’è l’inferenza psicografica, ovvero il processo attraverso il quale una piattaforma cerca di dedurre le caratteristiche comportamentali, identitarie e psicologiche degli utenti.
Si tratta di una logica diversa dalla (ormai) obsoleta profilazione demografica, anche se età, genere e provenienza geografica continuano a essere informazioni di valore; oggi l’attenzione si concentra soprattutto su probabilità comportamentali degli utenti e, per analizzarle, diventa prezioso sapere quanto siano impulsivi, suggestionabili, ansiosi, inclini al rischio o vulnerabili dal punto di vista economico.
Un’inferenza costruita esaminando e correlando dati apparentemente innocui che, al contrario, forniscono risposte dettagliate.
Le risposte provengono dagli orari in cui utilizziamo WhatsApp, dalla velocità con cui rispondiamo ai messaggi, dal tipo di reti sociali che frequentiamo, dalla frequenza con cui contattiamo altre persone, dai periodi improvvisi di silenzio, dai cambiamenti nel nostro comportamento digitale e da una serie di altre informazioni che, opportunamente combinate, restituiscono un profilo probabilistico in grado di determinare quanto siamo economicamente, politicamente o socialmente utili.
L’analisi sociale e relazionale è ancora più complessa. Non si tratta di avere un quadro generale di una singola persona, ma di ottenere una mappa delle connessioni tra individui.
Le piattaforme digitali cercano di comprendere chi comunica con chi, con quale frequenza e intensità, in quali momenti della giornata e all’interno di quali gruppi sociali e con quale livello di influenza reciproca.
Per ogni piattaforma è utile sapere che due o più persone comunicano quotidianamente, ma riuscire a stabilire chi influenza le decisioni degli altri è prezioso, poiché contribuisce a formare sistemi di ranking sociali.
Analisi di questo tipo sono utilizzate da diverse aziende per suggerire contenuti, prevedere engagement, ottimizzare gli annunci pubblicitari e migliorare la permanenza online.
Tuttavia, altre aziende ne fanno uso per attività di intelligence, come nel caso in cui le forze di sicurezza identificano gruppi criminali, estremisti o organizzazioni sospette.
Il punto di vista dei garanti della privacy
L’European Data Protection Board (EDPB), l’organismo di coordinamento che riunisce tutte le autorità nazionali per la privacy dei Paesi Ue, si sta muovendo in tre direzioni nei confronti delle piattaforme Big Tech che basano i loro modelli di business sui metadati e quindi sulla profilazione.
La prima è un’applicazione più rigorosa del Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore nel 2018 e che, a partire dal 2023, dopo un periodo dedicato a consentire alle aziende di adeguarsi alle normative, ha iniziato a comminare sanzioni di una certa entità che, nel 2025, hanno raggiunto 1,2 miliardi di euro.
La seconda direzione riguarda gli ordini correttivi. Il Garante italiano, insieme ad altre autorità europee, ha imposto a Meta modifiche operative sui flussi di dati tra servizi, in particolare per limitare l’uso combinato dei metadati per la profilazione, richiedendo la separazione logica dei database e ulteriori restrizioni sulla granularità del consenso degli utenti, che devono essere informati in modo dettagliato.
La terza direzione è una pressione regolatoria in corso, che dovrebbe riscrivere le regole su traffico, comunicazioni e metadati. Un processo bloccato da anni a causa di conflitti tra Stati membri riguardo a sicurezza, intelligence e interessi dell’industria digitale.
L’intento dell’EDPB è impedire che i metadati diventino una scorciatoia per effettuare profilazione di massa anche quando riguardano contenuti protetti o cifrati. Non si tratta di vietare i metadati, ma di rendere sempre più oneroso e giuridicamente fragile il loro utilizzo.
Le alternative a WhatsApp
È impossibile prescindere dai metadati, poiché, affinché un messaggio giunga a destinazione, sono necessarie informazioni specifiche sul dispositivo che lo invia, il server a cui si collega e il destinatario.
Tuttavia, esistono app che ne riducono e separano la raccolta.
Tra queste ci sono Signal, Session, Threema e SimpleX Chat. È evidente che la diffusione di un’app di messaggistica gioca un ruolo cruciale e le quattro menzionate non possono vantare un numero di utenti paragonabile a quello di WhatsApp.