Oggi, 8 maggio 2026, Instagram ha rimosso la crittografia end-to-end dai messaggi diretti. Da questo momento, Meta ha tecnicamente la capacità di leggere il contenuto di ogni DM scambiato sulla piattaforma. La notizia può sembrare un dettaglio tecnico da addetti ai lavori. Non lo è. Vale la pena capire cosa cambia davvero — e perché il problema è più grande di Instagram.

Cosa è successo, esattamente

La crittografia end-to-end (E2EE) è il meccanismo che garantisce che solo i dispositivi dei partecipanti a una conversazione possano leggere i messaggi. Il provider — in questo caso Meta — vede il traffico, gestisce l’infrastruttura, consegna i pacchetti, ma non può accedere al contenuto delle conversazioni.

Instagram aveva introdotto questa protezione come funzione opzionale nel dicembre 2023. Una scelta tardiva e parziale, già allora, rispetto agli standard di Signal o alla stessa WhatsApp. Ma almeno esisteva. Da oggi non esiste più.

La motivazione ufficiale di Meta? La portavoce Dina El-Kassaby Luce ha dichiarato semplicemente che “pochissime persone attivavano la crittografia end-to-end nei DM, quindi abbiamo deciso di rimuoverla.” Uno scarso utilizzo è diventato la giustificazione per togliere una tutela invece di promuoverla.

La scusa e la realtà

Prendere per buona la versione ufficiale sarebbe ingenuo. Dietro la rimozione c’è una pressione strutturale che dura da anni.

Il Take It Down Act, firmato negli USA nel maggio 2025, obbliga le piattaforme a rimuovere immagini sessualmente esplicite non consensuali — deepfake compresi — entro 48 ore dalla segnalazione. Entro il 19 maggio 2026 ogni piattaforma deve avere un sistema operativo per farlo. Il problema è che una piattaforma che non può leggere i messaggi non può scansionarli. La crittografia end-to-end e la moderazione automatica dei contenuti sono tecnicamente incompatibili.

A questo si aggiunge anni di pressioni da parte di governi, forze dell’ordine e gruppi per la tutela dei minori in USA, UK, UE e Australia, tutti storicamente contrari all’E2EE perché — sostengono — “protegge i criminali”. È lo stesso argomento che da decenni si usa per giustificare ogni erosione della privacy digitale.

Il risultato pratico: Meta ha trovato in una legge sulla sicurezza dei minori la copertura politica per fare ciò che probabilmente avrebbe voluto fare comunque. I DM di Instagram sono ora accessibili, analizzabili, trasmissibili alle autorità su richiesta legale — e, secondo alcuni esperti di crittografia, potenzialmente utilizzabili per addestrare i modelli di intelligenza artificiale di Meta.

Il problema vero: l’ecosistema, non la singola app

Qui entra in gioco il punto più importante, e quello più sottovalutato.

Meta non è un’app. È una costellazione di superfici di osservazione che guardano lo stesso utente da angolazioni diverse. Instagram vede cosa pubblichi, con chi interagisci, quanto tempo passi su ogni contenuto. Facebook aggiunge le relazioni sociali, gli eventi, i gruppi. Messenger gestisce un’altra fetta di conversazioni. WhatsApp — che per ora mantiene la crittografia end-to-end — gestisce il traffico più personale e intimo.

Tutti questi dati convergono nella stessa architettura industriale, collegati alle stesse identità attraverso il Centro gestione account di Meta. La privacy policy del gruppo — che non a caso si chiama ormai data policy — occupa circa 64 pagine.

La rimozione dell’E2EE dai DM di Instagram non aggiunge solo “Meta legge i tuoi messaggi su Instagram”. Aggiunge un nuovo strato di contenuto vivo e leggibile a un sistema che già raccoglie metadati, comportamenti, tempi di attività, connessioni sociali, segnali pubblicitari. Se Alice scrive a Bob su Instagram, quella conversazione diventa un segnale correlabile con tutto il resto: le amicizie di Bob su Facebook, i suoi comportamenti su WhatsApp, le sue interazioni passate con il sistema.

Non serve leggere i messaggi di tutti. A volte basta leggere quelli di alcuni, in alcuni punti del sistema, e lasciare che correlazione, inferenza e intelligenza artificiale ricostruiscano il resto.

Cosa fare adesso

La prima cosa è smettere di usare i DM di Instagram per conversazioni che hanno una qualunque rilevanza personale. Non perché sia illegale, ma perché non è mai stato pensato per essere uno spazio privato — e ora non lo è nemmeno formalmente.

Le alternative esistono e funzionano. Signal è lo standard di riferimento per la messaggistica privata: crittografia end-to-end attiva per default, metadati minimi, codice open-source verificabile. WhatsApp, pur appartenendo a Meta, mantiene per ora l’E2EE attiva — anche se i metadati restano comunque nel perimetro del gruppo. Per chi vuole uscire completamente dall’ecosistema Meta, Element (basato su Matrix) è un’ottima alternativa federata.

Il secondo passo, spesso trascurato, è sensibilizzare le persone con cui si comunica. La privacy non è una scelta individuale: dipende anche dai dispositivi e dalle app che usano le persone dall’altra parte della conversazione.

Conclusione

La rimozione della crittografia end-to-end da Instagram non è un incidente o un passo falso. È il risultato di una pressione politica e commerciale coerente, che avanza gradualmente e senza troppo rumore. Ogni volta che una tutela scompare con la giustificazione dello “scarso utilizzo”, la domanda giusta non è perché nessuno la usava, ma perché nessuno sapeva che esistesse. Il segnale da cogliere non è tecnico: è che gli spazi davvero privati su piattaforme commerciali non sono mai esistiti davvero — e chi ci ha creduto dovrebbe aggiornarsi, in fretta.

Fonti: