Dopo anni passati a sporcarmi le mani nel mondo dell'IT e a fare a testate con la cybersecurity, ho sviluppato una certa insofferenza verso le piattaforme che promettono miracoli gratuiti. Quando un'applicazione di messaggistica non costa nulla, il prezzo da pagare è la propria identità digitale [^ La regola d'oro del web recita sempre la stessa cantilena: se non stai pagando per il prodotto significa che il prodotto sei tu e i tuoi dati sono la merce di scambio ]. Ho già parlato in passato di come il panorama della messaggistica sia frammentato e spesso ingannevole, ma oggi voglio fare un salto di qualità.
Voglio chiudere in un cassetto i vari WhatsApp, Facebook Messenger o Telegram per concentrarmi esclusivamente sull'Olimpo della privacy. Voglio analizzare quattro soluzioni che hanno deciso di fare della sicurezza una vera e propria missione: Threema, Signal, Session e TeleGuard.
Preparate un caffè, mettetevi comodi e dimenticate i filtri per le foto dei gattini. Vorrei provare ad affrontare un discorso serio e che dovreste leggere.
L'inganno dei Metadati: cosa stiamo regalando davvero
Prima di dissezionare queste quattro applicazioni, è fondamentale comprendere un concetto tecnico che spesso viene ignorato dal grande pubblico. Sentiamo continuamente parlare di crittografia end-to-end (E2EE) come se fosse lo scudo spaziale definitivo. La E2EE garantisce che il contenuto del messaggio (testo, foto, video) viaggi blindato dal mio smartphone fino a quello del destinatario. Nessuno in mezzo può leggerlo. Nemmeno il fornitore del servizio.
Ottimo, vero? Sì, ma non basta. Il vero tesoro per chi vuole profilare, tracciare o sorvegliare non è cosa viene scritto, ma tutto il resto. Sto parlando dei metadati.
I metadati sono i "dati sui dati". Non rivelano il contenuto di una conversazione, ma rivelano chi ha parlato con chi, a che ora, per quanto tempo, da quale posizione geografica e con quale frequenza. Se un individuo chiama un centro specializzato in oncologia ogni martedì alle 14:00 e la telefonata dura venti minuti, non serve ascoltare la conversazione per dedurre informazioni estremamente sensibili sul suo stato di salute. I metadati tracciano una mappa perfetta delle nostre abitudini.
Le app commerciali vivono di metadati. Le quattro app che andrò ad analizzare, invece, lottano attivamente per minimizzarli o distruggerli alla radice.
Signal: lo standard aureo (con un piccolo neo)
Iniziamo dal nome più noto tra quelli "di nicchia". Signal è universalmente riconosciuta da esperti di sicurezza come il punto di riferimento per la messaggistica cifrata. Il suo cuore pulsante è il famoso Signal Protocol [^ Il Signal Protocol combina l'algoritmo Double Ratchet, prechiavi e uno scambio di chiavi Diffie-Hellman garantendo la Perfect Forward Secrecy: se anche una chiave venisse compromessa in futuro le conversazioni passate resterebbero illeggibili. Documentazione ufficiale: https://signal.org/docs/], un algoritmo crittografico talmente solido e ben progettato che persino colossi come Meta lo hanno integrato (in parte) per proteggere WhatsApp [^ Il Signal Protocol è open-source e open-peer-reviewed garantendo che esperti di tutto il mondo possano ispezionarne il codice alla ricerca di vulnerabilità senza doversi fidare ciecamente dell'azienda sviluppatrice ].
La forza di Signal risiede nella sua natura non profit. Non avendo azionisti da soddisfare con la vendita di pubblicità mirate, la Signal Foundation ha un solo obiettivo: far viaggiare i pacchetti dati in modo sicuro e anonimo. Signal non conserva praticamente alcun metadato utile.
Tuttavia, c'è un "neo" che fa storcere il naso ai puristi dell'anonimato assoluto: la necessità di un numero di telefono.
Per registrarsi a Signal occorre fornire un numero telefonico valido. Anche se di recente è stata introdotta la possibilità di creare degli username per non mostrare il proprio numero ai contatti, l'identificativo originale resta ancorato alla SIM. In un mondo dove i numeri di telefono sono sempre più legati all'identità reale (tramite documenti di identità forniti agli operatori telefonici), dover utilizzare una SIM per chattare rappresenta una falla nel concetto di privacy assoluta. È un compromesso accettabile per quasi tutte le persone, ma per i paranoici cronici (categoria a cui appartengo con fierezza) è un limite tecnico da tenere in considerazione.
Threema: la cassaforte svizzera a pagamento
Se Signal è lo standard, Threema è la risposta elvetica a chi non vuole scendere a compromessi con i numeri di telefono. Fin dal suo debutto, questa applicazione svizzera ha messo in chiaro una cosa: l'anonimato deve essere la base, non un'opzione secondaria.
Per utilizzare Threema non serve alcun numero di telefono e nemmeno un indirizzo email. L'applicazione genera casualmente un Threema ID univoco di 8 caratteri. È possibile collegare il proprio numero o la propria email per farsi trovare più facilmente dagli amici, ma è un'operazione del tutto facoltativa. Questo significa che posso installare Threema su un tablet senza SIM, collegarmi al Wi-Fi di un bar e comunicare nel buio digitale più totale.
L'infrastruttura di Threema è proprietaria e i server sono situati fisicamente in Svizzera. Questo dettaglio geografico non è folclore, ma pura strategia legale. La Svizzera possiede leggi sulla protezione dei dati (LPD) estremamente rigorose e si trova al di fuori delle giurisdizioni invasive statunitensi o europee.
Ma c'è un dettaglio che allontana l'utente medio: Threema si paga. Un pagamento una tantum di circa 5 euro. Nel mondo delle app gratuite, chiedere l'equivalente di un paio di caffè sembra un'eresia, ma per me è la garanzia suprema. Pagare il software significa esserne i proprietari legali e non la merce di scambio.
Esiste poi un ecosistema parallelo di enorme interesse: Threema Work. Questa è la declinazione aziendale dell'app, pensata per le organizzazioni che devono scambiarsi documenti sensibili, segreti industriali o comunicazioni dirigenziali senza passare dai server di Microsoft o Google. Offre una console di amministrazione centralizzata per gestire gli utenti aziendali separando nettamente i contatti di lavoro da quelli privati [^ Threema Work permette alle aziende di pre-configurare l'app sui dispositivi dei dipendenti applicando policy di sicurezza rigorose come il blocco degli screenshot o la cancellazione remota dei dati in caso di smarrimento del device ]. Avere una soluzione simile in azienda significa dormire sonni tranquilli e a prova di spionaggio industriale.
Session: il sogno decentralizzato e la rete a cipolla
Se Threema è un bunker svizzero, Session è un fantasma decentralizzato. Sviluppata dalla Loki Foundation in Australia, Session non si affida a server centrali. Questo è il punto di rottura totale con le altre applicazioni analizzate.
Basta immaginare un'infrastruttura dove non esiste un "grande computer centrale" da spegnere, hackerare o sequestrare. Session si appoggia a una rete di nodi gestita dalla community, in modo del tutto simile al funzionamento della celebre rete Tor [^ Acronimo di The Onion Router, è un sistema di comunicazione anonima che fa rimbalzare la connessione tra migliaia di server volontari nel mondo per nascondere l'indirizzo IP originale e impedire l'analisi del traffico. Dettagli sul sito ufficiale: https://www.torproject.org/].
Session utilizza una tecnologia chiamata Onion Routing. Quando invio un messaggio, questo non va direttamente dal mio telefono al destinatario. Viene avvolto in strati successivi di crittografia (come una cipolla) e fatto rimbalzare attraverso nodi sparsi per il globo. Ogni nodo rimuove uno strato di crittografia per scoprire solo qual è la tappa successiva, senza mai conoscere né il mittente originale né il destinatario finale, né tanto meno il contenuto del messaggio.
La registrazione su Session non richiede ovviamente alcun numero di telefono. Al momento dell'installazione e della creazione di un account, viene generato un Session ID lungo e complesso (parliamo di un ID univoco lungo 66 caratteri). Non c'è sincronizzazione in cloud dei contatti, non c'è tracciamento degli IP (grazie al routing a cipolla) e la memorizzazione dei metadati è letteralmente impossibile per design strutturale.
Session è il paradiso del nerd amante della privacy estrema. È l'applicazione perfetta per whistleblower, giornalisti investigativi o chiunque debba operare sotto regimi oppressivi. Il rovescio della medaglia? La rete decentralizzata può risultare leggermente più lenta nella consegna dei messaggi rispetto ai server ultra-ottimizzati di Signal o Threema e la mancanza di funzioni "frivole" la rende poco appetibile per le chiacchierate di famiglia. Ma se l'obiettivo è essere invisibili, Session è il mantello dell'invisibilità definitivo.
TeleGuard: l'outsider che non perdona
Infine, arriviamo a TeleGuard, un'applicazione che sta silenziosamente guadagnando terreno tra gli appassionati di cybersecurity. Come Threema, anche TeleGuard è sviluppata in Svizzera (dalla Swisscows AG, nota per il suo motore di ricerca orientato alla privacy) e beneficia della stessa blindatura legale elvetica.
Il suo mantra è: nessun dato utente, nessun tracciamento. Anche in questo caso non serve alcun numero di telefono. Si riceve un TeleGuard ID composto da 9 cifre e si comunica attraverso quello. La crittografia utilizzata per le trasmissioni è lo standard SALSA20 [^ Progettato dal crittografo Daniel J. Bernstein, Salsa20 è un cifrario a flusso (stream cipher) noto per la sua eccezionale velocità e sicurezza anche su hardware con risorse limitate. Offre un'ottima alternativa al classico AES. Documentazione tecnica: https://cr.yp.to/snuffle.html] e l'azienda dichiara apertamente di non memorizzare alcun indirizzo IP né alcun metadato sulle proprie macchine.
Una delle funzioni più interessanti di TeleGuard è la sua rigidità strutturale contro il phishing e lo spam. Poiché non attinge alla rubrica del telefono in modo silente per cercare chi ha già l'app (come fanno quasi tutti i concorrenti, ad eccezione di Session), per aggiungere un contatto bisogna scambiarsi fisicamente o digitalmente l'ID esatto. Questo crea un ambiente di comunicazione estremamente pulito e isolato dalle fastidiose intrusioni esterne [^ In TeleGuard l'assenza di collegamento con la rubrica telefonica nativa impedisce a soggetti terzi o a malware presenti sul dispositivo di estrarre la lista delle conoscenze tramite l'app di messaggistica ].
TeleGuard rappresenta l'alternativa gratuita a Threema per chi cerca la protezione legale dei server svizzeri e l'anonimato dell'ID generato casualmente, senza doversi affidare a reti decentralizzate complesse come quella di Session.
Mettiamo ordine: la tabella della verità
Per avere un quadro più chiaro di questo panorama tecnologico, ho schematizzato le differenze sostanziali. I numeri e i fatti spesso chiariscono le idee meglio di mille parole.
| Caratteristica Tecnica | Signal | Threema | Session | TeleGuard |
|---|---|---|---|---|
| Giurisdizione Server | Stati Uniti | Svizzera | Decentralizzata (Globale) | Svizzera |
| Richiesta Telefono/Email | Obbligatorio (Numero) | Nessuna (Threema ID) | Nessuna (Session ID) | Nessuna (TeleGuard ID) |
| Crittografia E2EE | Sì (Signal Protocol) | Sì (NaCl Cryptography) | Sì (Onion Routing) | Sì (SALSA20) |
| Open Source | Client e Server | Client e Server | Client e Rete Nodi | Parziale |
| Costo | Gratuito | A pagamento (Una tantum) | Gratuito | Gratuito |
| Adatto alle Aziende | Uso personale | Eccellente (Threema Work) | Uso personale / estremo | Ottimo |
Quando si parla di codice sorgente aperto bisogna distinguere tra Client (l'applicazione che gira fisicamente sullo smartphone) e Server (l'infrastruttura remota che smista i messaggi). Avere il Client e Server open source (come Signal o Threema) significa che chiunque può verificare riga per riga che l'app faccia esattamente ciò che promette senza funzioni spia nascoste e che l'infrastruttura gestisca i dati in modo pulito. Nel caso di Session l'apertura si estende anche alla Rete Nodi, permettendo a chiunque di ospitare un pezzo del sistema. TeleGuard adotta invece un approccio Parziale: il client è verificabile in modo trasparente ma il codice del server è chiuso (proprietario). L'azienda giustifica questa scelta affermando di voler impedire la creazione di cloni malevoli o reti di spam esterne, ma questo obbliga inevitabilmente a riporre un livello di fiducia maggiore nelle dichiarazioni della software house svizzera rispetto a un sistema totalmente revisionabile dall'esterno.
Toc toc, mandato di perquisizione: l'esempio pratico
La vera validità di un sistema di messaggistica non si testa durante una tranquilla chiacchierata al bar, ma nel momento in cui un'entità governativa o un tribunale bussa alla porta dell'azienda con un mandato di perquisizione legalmente ineccepibile. Immaginiamo una situazione in cui la Polizia richiede tutti i dati possibili associati a un account sospetto. Cosa viene fisicamente consegnato?
- Signal: Sotto giurisdizione USA, l'azienda risponde ai subpoena [^ Un subpoena (no, non è una brutta parola) è un ordine legale vincolante emesso da un tribunale o da un'agenzia governativa degli Stati Uniti che obbliga un individuo o un'azienda a fornire testimonianze, documenti o dati. Nel magico mondo dell'IT si traduce più o meno con una richiesta del tipo: "Consegnaci immediatamente tutti i log e i dati che hai su questo account o preparati a conseguenze legali devastanti". Signal, avendo sede negli USA, è obbligata a rispondere a queste ingiunzioni ma, non avendo fisicamente dati utili da consegnare, la faccenda si chiude solitamente con un buco nell'acqua per le autorità. Per i più curiosi dal punto di vista legale: https://it.wikipedia.org/wiki/Subpoena]. Tuttavia, siccome non memorizza nulla per design, il pacchetto di dati consegnato alle autorità contiene letteralmente due sole stringhe: il timestamp (data e ora) di creazione dell'account e l'ultimo giorno in cui il client si è connesso al server. Nessuna informazione sui contatti, nessuna lista di chiacchierate, zero testi.
- Threema: Sotto la rigida giurisdizione svizzera, le richieste devono passare per i tribunali elvetici. Se obbligata legalmente, Threema può fornire al massimo la chiave pubblica dell'ID associato, la data di creazione dell'ID e la data dell'ultimo login. Se l'individuo ha volontariamente associato un numero di telefono o una mail (pratica sconsigliata per chi cerca l'anonimato), anche quelli verrebbero forniti. Il contenuto dei messaggi rimane assolutamente indecifrabile.
- Session: Essendo decentralizzata, non esiste un ufficio centrale in cui le autorità possano fare irruzione per spegnere i server. I creatori dell'app (la Loki Foundation) non hanno accesso ai nodi della rete. Non hanno gli indirizzi IP originali e non sanno chi comunica con chi. In caso di indagine legale il risultato è semplicemente il nulla cosmico.
- TeleGuard: Anche qui vale la legge svizzera. Ricevuto un mandato valido, Swisscows AG è tenuta a collaborare. Il problema per le autorità è che l'azienda non richiede dati personali per la registrazione e afferma di cancellare immediatamente gli IP di connessione. Verrebbe quindi fornito l'ID ma, non essendoci log di traffico o associazioni con identità reali, le informazioni utili per un'indagine sarebbero praticamente inesistenti.
Quale scegliere per dormire sonni tranquilli?
Arrivare a una conclusione definitiva non è semplice perché il concetto di "sicurezza" scala in base al proprio modello di minaccia (il famoso Threat Model [^ In ambito InfoSec, la modellazione delle minacce è un processo strutturato per identificare le potenziali vulnerabilità di un sistema, definire chi potrebbe voler rubare i dati (l'attaccante), quali risorse proteggere e quanto tempo o denaro si è disposti a investire per difenderle. Maggiori informazioni ufficiali: https://owasp.org/www-community/Threat_Modeling] di cui si parla fino allo sfinimento in ambito InfoSec).
Se la necessità è proteggere le comunicazioni personali quotidiane avendo la certezza che la crittografia sia inattaccabile, ma si desidera comunque un'interfaccia fluida e la possibilità di effettuare chiamate vocali o video di altissima qualità, Signal rimane una scelta eccellente. Il compromesso del numero di telefono è mitigabile ma va compreso.
Se si gestisce un'azienda, si trattano dati sensibili coperti da segreto professionale o semplicemente non si vuole associare la propria identità telefonica all'app, Threema è un investimento obbligato. Quei cinque euro sono il miglior software di sicurezza che si possa acquistare oggi per uno smartphone e l'opzione Threema Work è una vera e propria corazza per il business.
Se il livello di paranoia è massimo, se si teme la sorveglianza governativa globale o la censura a livello di provider di rete, Session è l'unica via percorribile. Il routing a cipolla e la decentralizzazione impediscono fisicamente a chiunque di tracciare i metadati rendendo le comunicazioni silenziose e letali come l'ombra di un ninja.
Se invece si cerca l'anonimato assoluto garantito dalle ferree leggi svizzere, senza voler pagare l'app e senza addentrarsi nelle complessità del routing decentralizzato, TeleGuard rappresenta una via di mezzo formidabile ed estremamente rispettosa della privacy.
La tecnologia ci offre strumenti potenti per riprenderci il controllo della nostra identità digitale. Continuare a regalare i propri dati a multinazionali che ci profilano per venderci scarpe da ginnastica o per alimentare algoritmi di dubbia utilità è, oggi, una scelta consapevole. E come ogni scelta informatica, ha conseguenze inevitabili.
Scegliete il vostro scudo e usatelo bene. Io torno a spulciare le mie ricerche e i miei appunti, in cerca del contenuto del prossimo post.