Leggi in app
Nel mese di aprile 2016 WhatsApp ha implementato la cifratura end-to-end, che consente la lettura dei messaggi esclusivamente da parte del mittente e del destinatario, proteggendoli da sguardi indiscreti, inclusi quelli di Meta, la società che sviluppa l’app di messaggistica più diffusa, oltre a Facebook, Instagram e Threads.
Dieci anni sono trascorsi e molti dei problemi relativi alla privacy evidenziati dai ricercatori nel 2016 sono ancora presenti, poiché i metadati rappresentano una risorsa preziosa per l’analisi predittiva, la pubblicità comportamentale e una serie di altre attività, tra cui l’inferenza psicografica di cui discuteremo più avanti, oltre all’analisi delle relazioni di una persona.
I metadati possiedono un valore intrinseco e da anni sono al centro dell’attenzione di legislatori, politici e gruppi per la tutela della privacy. Non sorprende che la Electronic Frontier Foundation (EFF), una delle principali organizzazioni per la difesa dei diritti civili nel contesto digitale, lavori da tempo per sensibilizzare l’opinione pubblica, scossa nel 2013 dalle rivelazioni di Edward Snowden, l’analista della National Security Agency (NSA) che ha rivelato come quest’ultima raccogliesse metadati telefonici per attività di sorveglianza di massa.
Cosa sono i metadati
Si tratta di informazioni che descrivono altre informazioni. Anche se non riguardano il contenuto di una comunicazione, forniscono dettagli sul contesto in cui avvengono le comunicazioni.
Per comprendere cosa siano, è utile considerare l’esempio di una lettera in una busta. Il servizio postale non può conoscere il contenuto della busta, ma è a conoscenza di chi la invia, chi è il destinatario e sa dove e quando è stata spedita.
In particolare, su WhatsApp il contenuto della busta è rappresentato dal messaggio – comprese immagini, file multimediali, videochiamate e telefonate – mentre i metadati comprendono tutto ciò che si può dedurre da ogni messaggio inviato.
Infatti, WhatsApp è in grado di sapere chi comunica con chi, in quale momento della giornata, con quale frequenza, da quale dispositivo e da quale posizione approssimativa.
Inoltre, conosce anche la durata delle interazioni e l’appartenenza a gruppi, permettendo di dedurre eventuali attività o relazioni tra mittenti e destinatari.
Se considerati singolarmente, questi dati possono apparire poco significativi, ma quando vengono aggregati su larga scala, consentono di ricostruire reti sociali, abitudini quotidiane e comportamenti prevedibili.
Per questo motivo i metadati sono diventati un asset cruciale per le piattaforme tecnologiche, per i sistemi pubblicitari e anche per le analisi di sicurezza e di intelligence.
Quali metadati raccoglie WhatsApp
La tabella sottostante riassume i metadati che WhatsApp dichiara di raccogliere. Affidandoci ciecamente a quanto afferma Meta, è necessario ampliare la discussione.
Infatti, i metadati di WhatsApp vengono incrociati con quelli raccolti dalle altre piattaforme del gruppo. Questo implica che unendo le attività dei singoli su WhatsApp, Facebook (e Messenger), Instagram e Threads, Meta dispone di una quantità di informazioni tale da spingere le organizzazioni per la difesa dei diritti digitali a parlare di “metadata privacy”, evidenziando la necessità di proteggere qualcosa di più sottile rispetto ai messaggi in sé.
I metadati raggiungono così una scala notevole, considerando che Facebook conta oltre 3 miliardi di utenti e WhatsApp si avvicina a 3,5 miliardi.
Di questi utenti, Meta può conoscere molte informazioni senza dover leggere i messaggi.
Per fare un esempio, è possibile sapere chi comunica con un medico, chi è in contatto con un avvocato divorzista, chi è in relazione con attivisti o giornalisti, chi partecipa a gruppi di auto-aiuto o svolge attività politiche e, scendendo ancora più nel dettaglio, Meta ha accesso a metadati che indicano che due persone si incontrano ogni martedì nello stesso luogo alla stessa ora, aprendo così a una discreta quantità di ipotesi riguardo alla loro relazione.
Come vengono usati i metadati
Meta è un gruppo che trae i suoi guadagni principalmente dalla pubblicità, che rappresenta il 97% dei ricavi nel 2025.
Il modello economico si basa sulla raccolta massiva di dati comportamentali e metadati, sulla profilazione degli utenti e sul targeting pubblicitario mirato.
WhatsApp, pur non presentando ancora la pubblicità tradizionale, contribuisce a potenziare l’ecosistema di Meta, fornendo segnali comportamentali e relazionali utili per gli inserzionisti, ma non solo.
Tra le attività alimentate dai metadati c’è l’inferenza psicografica, ovvero il processo attraverso il quale una piattaforma cerca di dedurre le caratteristiche comportamentali, identitarie e psicologiche degli utenti.
Si tratta di un approccio diverso rispetto alla (ormai) obsoleta profilazione demografica, anche se età, genere e provenienza geografica rimangono informazioni di valore; oggi si cerca soprattutto di comprendere le probabilità comportamentali degli utenti e, per analizzarle, diventa prezioso sapere quanto siano impulsivi, suggestionabili, ansiosi, inclini al rischio o vulnerabili dal punto di vista economico.
Un’inferenza che viene costruita analizzando e correlando dati apparentemente innocui che, al contrario, forniscono risposte dettagliate.
Forniscono risposte gli orari in cui utilizziamo WhatsApp, la rapidità con cui rispondiamo ai messaggi, il tipo di reti sociali che frequentiamo, la frequenza con cui contattiamo altre persone, i periodi di silenzio improvvisi, i cambiamenti nel nostro comportamento digitale e una serie di altre informazioni che, opportunamente combinate, restituiscono un profilo probabilistico in grado di determinare quanto siamo economicamente, politicamente o socialmente utili.
L’analisi sociale e relazionale è ancora più complessa. Non si tratta di avere un quadro generale di una singola persona, ma di ottenere una mappa delle connessioni tra individui.
Le piattaforme digitali cercano di comprendere chi comunica con chi, con quale frequenza e intensità, in quali momenti della giornata e all’interno di quali gruppi sociali e con quale livello di influenza reciproca.
Per ogni piattaforma è utile sapere che due o più persone si scambiano messaggi quotidianamente, ma riuscire a stabilire chi influenza le decisioni degli altri è prezioso, poiché contribuisce a formare sistemi di ranking sociali.
Analisi di questo tipo sono utilizzate da diverse aziende per suggerire contenuti, prevedere engagement, ottimizzare gli annunci pubblicitari e migliorare la permanenza online.
Tuttavia, altre aziende ne fanno uso per attività di intelligence, come nel caso in cui le forze di sicurezza identificano gruppi criminali, estremisti o organizzazioni sospette.
Il punto di vista dei garanti della privacy
L’European Data Protection Board (EDPB), l’organismo di coordinamento che riunisce tutte le autorità nazionali per la privacy dei Paesi Ue, si sta muovendo in tre direzioni nei confronti delle piattaforme Big Tech che basano i loro modelli di business sui metadati e quindi sulla profilazione.
La prima è un’applicazione più rigorosa del Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore nel 2018 e che, a partire dal 2023, dopo un periodo dedicato a consentire alle aziende di adeguarsi alle normative, ha iniziato a comminare sanzioni significative che, nel 2025, hanno raggiunto 1,2 miliardi di euro.
La seconda direzione riguarda gli ordini correttivi. Il Garante italiano, insieme ad altre autorità europee, ha imposto a Meta modifiche operative sui flussi di dati tra i servizi, soprattutto per limitare l’uso combinato dei metadati per la profilazione, richiedendo la separazione logica dei database e ulteriori restrizioni sulla granularità del consenso degli utenti, che devono essere informati in modo dettagliato.
La terza direzione è una pressione regolatoria in corso, che dovrebbe riscrivere le regole su traffico, comunicazioni e metadati. Un processo bloccato da anni a causa di conflitti tra Stati membri su sicurezza, intelligence e interessi dell’industria digitale.
L’intento dell’EDPB è impedire che i metadati diventino una scorciatoia per effettuare profilazione di massa anche quando riguardano contenuti protetti o cifrati. Non si tratta di vietare i metadati, ma di rendere sempre più costoso e giuridicamente fragile il loro utilizzo.
Le alternative a WhatsApp
È impossibile fare a meno dei metadati, poiché, affinché un messaggio giunga a destinazione, sono necessarie informazioni specifiche sul dispositivo che lo invia, il server a cui si connette e il destinatario.
esistono app che ne riducono e ne separano la raccolta.
Tra queste ci sono Signal, Session, Threema e SimpleX Chat. È evidente che la diffusione di un’app di messaggistica gioca un ruolo cruciale e le quattro menzionate non possono vantare un numero di utenti paragonabile a quello di WhatsApp.