Il governo americano usa Signal per le comunicazioni riservate: ecco perché è un grave errore

Negli ultimi mesi, l'uso di applicazioni di messaggistica crittografate da parte di funzionari governativi statunitensi ha sollevato interrogativi sulla sicurezza delle comunicazioni istituzionali. In particolare, l'adozione di Signal per discussioni sensibili ha attirato l'attenzione pubblica e mediatica, suscitando preoccupazioni sulla possibilità che informazioni riservate possano finire in mani sbagliate o essere esposte a vulnerabilità. Il recente caso del giornalista inserito in una chat dei ministri di Trump ha riaperto il dibattito.

 Signal è un'applicazione open-source che offre messaggistica istantanea e chiamate audio-video con crittografia end-to-end, garantendo che solo mittente e destinatario possano accedere al contenuto delle comunicazioni. Questa tecnologia assicura un elevato livello di privacy, rendendo Signal una scelta popolare tra attivisti, giornalisti e, più recentemente, funzionari governativi.

L'adozione di Signal da parte del governo americano è motivata principalmente dalla necessità di proteggere informazioni sensibili da potenziali intercettazioni, in un contesto geopolitico sempre più complesso e caratterizzato da minacce informatiche avanzate. Tuttavia, l'utilizzo di piattaforme non ufficiali per comunicazioni istituzionali solleva preoccupazioni riguardo alla sicurezza e alla conformità con le normative sulla gestione dei dati classificati.

  Un episodio significativo ha evidenziato i rischi associati all'uso improprio di Signal. Funzionari dell'amministrazione Trump hanno accidentalmente incluso un giornalista in una chat di gruppo su Signal, nella quale si discutevano piani militari riguardanti lo Yemen e le operazioni contro gli Houthi.

L'errore ha rivelato diversi problemi:

• Uso di una piattaforma non ufficiale per comunicazioni di natura strategica.
• Assenza di un controllo centralizzato sulle conversazioni tra funzionari.
• Perdita di controllo sulla sicurezza dei dati in caso di coinvolgimento di terze parti non autorizzate.

L'uso di Signal ha esposto una vulnerabilità critica: le piattaforme di messaggistica destinate all'uso privato non sono progettate per gestire la complessità e le necessità di sicurezza proprie delle comunicazioni governative.

 Oltre a Signal, esistono altre applicazioni che offrono elevati standard di sicurezza e potrebbero essere più adatte per un contesto istituzionale:

• Threema – Utilizzata dall'esercito svizzero, offre crittografia end-to-end e non richiede l'associazione a un numero di telefono, garantendo un alto livello di anonimato.
• Wire – Fornisce comunicazioni sicure con crittografia end-to-end ed è conforme alle normative europee sulla privacy.
• Wickr – Offre funzionalità avanzate di sicurezza, tra cui la possibilità di impostare la scadenza dei messaggi e la protezione contro screenshot.
• Olvid – L’app francese sviluppata specificamente per comunicazioni istituzionali, progettata per essere sicura e conforme alle normative europee.

Al contrario, Telegram – sebbene popolare – non attiva di default la crittografia end-to-end: questa funzione deve essere abilitata manualmente tramite l'opzione "chat segreta", rendendola meno affidabile per la protezione di informazioni sensibili.

 L'errore principale nell'uso di Signal da parte del governo americano riguarda la mancanza di un'infrastruttura di sicurezza adeguata per la gestione di comunicazioni governative. Signal è stata progettata per l'uso privato e per proteggere la privacy degli utenti, ma non è adatta per la gestione di dati governativi altamente sensibili per i seguenti motivi:

• Assenza di un'integrazione con le infrastrutture governative – Le piattaforme di comunicazione istituzionali devono essere integrate con i sistemi di sicurezza nazionale per garantire un controllo diretto sui dati e sulle autorizzazioni.
• Mancanza di audit e controllo – Signal, essendo una piattaforma esterna, non permette al governo di effettuare controlli diretti sulle comunicazioni o di applicare misure di sicurezza interne.
• Rischio di coinvolgimento di terze parti – La possibilità che utenti esterni (come nel caso del giornalista coinvolto accidentalmente) possano accedere a conversazioni riservate rappresenta una vulnerabilità critica.
• Difficoltà nella registrazione e archiviazione dei messaggi – Le leggi federali impongono la conservazione di alcune comunicazioni governative per fini di trasparenza e responsabilità. Signal, progettata per proteggere la privacy, non è conforme a queste normative.

 Per le comunicazioni governative, è fondamentale adottare piattaforme progettate specificamente per il contesto istituzionale. Le soluzioni ideali devono garantire:

• Crittografia end-to-end per proteggere i dati da intercettazioni esterne.
• Audit interno e controllo diretto da parte dell'infrastruttura governativa.
• Archiviazione sicura e conforme alle normative per garantire trasparenza e responsabilità.
• Accesso controllato e autorizzato per evitare il coinvolgimento di terze parti non autorizzate.

Un modello efficace è quello adottato dalla Francia con Olvid, un'app sviluppata internamente dal governo, progettata per essere sicura, conforme alla normativa sulla privacy e utilizzabile solo da dispositivi ufficiali. Anche la Svizzera, con l'adozione di Threema per le comunicazioni militari, rappresenta un esempio virtuoso di gestione sicura delle comunicazioni governative.

L'uso di Signal da parte del governo americano, sebbene motivato dalla necessità di proteggere le comunicazioni, ha messo in evidenza i rischi derivanti dall'uso di piattaforme non ufficiali per scopi istituzionali. Signal è efficace per la protezione della privacy individuale, ma non offre il livello di controllo, audit e sicurezza richiesto per le comunicazioni governative. I governi dovrebbero quindi adottare soluzioni dedicate, integrate con le infrastrutture di sicurezza nazionali e conformi alle normative sulla trasparenza e la sicurezza dei dati.