Perché Signal non può essere utilizzata per condividere piani di guerra

Martedì 11 marzo Jeffrey Goldberg, giornalista, riceve una richiesta su Signal da un utente identificato come Michael Waltz, consigliere per la sicurezza nazionale degli Usa Accetta e viene aggiunto in una chat di gruppo chiamata Houthi PC small group. "Quando ho letto i messaggi mi sono accorto che stavano discutendo di piani militari riguardanti lo Yemen e le operazioni contro gli Houthi. Il piano includeva informazioni precise su pacchetti di armi, obiettivi e tempistiche", ha raccontato Goldberg in un articolo pubblicato su The Atlantic.

L'incidente ha puntato i riflettori su Signal, la piattaforma utilizzata dall'amministrazione Trump per discutere piani militari. Se da un l'app è considerata una delle più sicure per la messaggistica privata, dall’altro la sua adozione per comunicazioni governative sensibili solleva interrogativi inquietanti. "Sebbene Signal sia considerato un sistema di comunicazioni molto affidabile per i consumatori grazie alla sua crittografia end-to-end e perché raccoglie pochissimi dati degli utenti, è difficile credere che sia adatto allo scambio di messaggi relativi alla sicurezza nazionale", ha spiegato a Reuters Ben Wood, analista capo di CCS Insight.

Le piattaforme di messaggistica destinate all'uso privato non sono progettate per gestire la complessità e le necessità di sicurezza delle comunicazioni governative. Richiedono infatti un livello di controllo più elevato, una piena integrazione con le infrastrutture nazionali e il rispetto delle normative sulla trasparenza. Il rischio è di esporre dati sensibili compromettendo la sicurezza delle informazioni. Come dimostra il caso Houthi PC small group. 

Come funziona Signal e chi lo utilizza

Signal è una piattaforma open source che garantisce la privacy degli utenti grazie alla crittografia end-to-end, impedisce infatti l’accesso ai contenuti da parte di terzi, inclusi i suoi stessi server. Gli unici dati che memorizza sono il numero di telefono, la data di iscrizione e l’ultimo accesso. Chat e chiamate invece restano archiviate sui dispositivi degli utenti (è possibile anche impostare l'opzione per eliminarle automaticamente). Signal non utilizza pubblicità e non tiene traccia dei dati degli utenti. Tra le funzionalità che offre l'app c'è la possibilità di nascondere il numero di telefono e verificare la sicurezza delle conversazioni tramite un codice univoco.

Per anni è stata una piattaforma di nicchia utilizzata da attivisti e giornalisti, poi è diventata lo strumento di messaggistica utilizzato da agenzie governative e organizzazioni. Signal ha registrato una crescita esponenziale nel 2021 dopo una controversa modifica dei termini sulla privacy di WhatsApp, che ha spinto molti utenti a migrare verso alternative più protette.

Perché Signal non è adatta per le comunicazioni governative

Uno dei problemi principali è la mancanza di integrazione con le infrastrutture governative. Le piattaforme utilizzate dalle istituzioni devono essere strettamente collegate ai sistemi di sicurezza nazionale per garantire il pieno controllo sui dati e sugli accessi. Signal, è una piattaforma indipendente che espone le comunicazioni a potenziali vulnerabilità. Non solo, è anche un servizio esterno, quindi il governo non può monitorare direttamente le comunicazioni né applicare misure di sicurezza specifiche per proteggere informazioni sensibili. Non stupisce quindi che persone non autorizzate possano accedere a conversazioni riservate, come dimostra il caso del giornalista nella chat dell'amministrazione Trump.

Signal è anche incompatibile con le normative federali sulla conservazione dei dati. Le leggi statunitensi impongono l’archiviazione di alcune comunicazioni governative per garantire trasparenza e responsabilità, la piattaforma non prevede però un sistema di registrazione permanente dei messaggi. Questo crea un problema sia sul piano legale, sia per la gestione a lungo termine delle informazioni istituzionali.

Come bisognerebbe comunicare?

Le istituzioni governative hanno bisogno di applicazioni di messaggistica progettate per garantire la sicurezza e il controllo sulle comunicazioni. La piattaforma ideale deve garantire crittografia end-to-end, ma anche consentire una supervisione interna, un’archiviazione sicura conforme alle normative e un accesso ristretto ai soli soggetti autorizzati.  Tra gli esempi virtuosi ci sono Olvid (adottata dal governo francese), Threema (utilizzata dall’esercito svizzero) e Wickr (scelta da diverse agenzie statunitensi).