L’arresto da parte delle autorità francesi di Pavel Durov, avvenuto lo scorso 24 agosto, ha riacceso il dibattito sulle mancate misure adottate dalla piattaforma Telegram per la protezione della privacy.
Ad oggi la preoccupazione maggiore degli esperti di sicurezza cibernetica è che tale strumento possa risultare non sicuro. A seguito di un’indagine sotto copertura delle autorità francesi, a marzo era stato emesso un mandato di custodia cautelare per Durov – e il fratello co-fondatore Nikolaj Durov – disposto per 12 reati, tra i quali, la complicità con la criminalità organizzata per l’amministrazione di una piattaforma online che consente transazioni illegali, il rifiuto di comunicare informazioni e documenti necessari alle intercettazioni su richiesta delle autorità, la complicità nell’hackeraggio di sistemi informatici, la fornitura di crittografia per scambi riservati non conformi alle normative vigenti, infine, la fornitura e importazione di un sistema di messaggistica criptata senza dichiarazione di conformità.
Le interpretazioni normative
Sul rifiuto da parte di Telegram di condividere informazioni necessarie alle autorità per le intercettazioni, si sono pronunciati diversi esperti in materia. Alexandre Archambault, avvocato specializzato in diritto digitale, sostiene che Telegram ha il diritto di rifiutare la richiesta dei tribunali francesi dal momento che l’azienda non ha la sede principale in Francia. Invece, l’avvocato Henri de La Motte Rouge ricorda che il diritto penale francese si applica non solo per i reati commessi in Francia, ma anche per i casi di complicità e sostiene, pertanto, che la questione centrale è proprio se tale rifiuto di Telegram di cooperare con le autorità francesi possa essere ritenuta complicità.
La tesi di Archambault che fa leva sul principio di territorialità, ossia relativa ai confini nazionali, potrebbe pertanto non essere sufficiente a Telegram per difendersi dalle accuse delle autorità francesi. Infatti, bisogna altresì considerare che a livello mondiale la piattaforma di messaggistica risulta essere l’ottavo social più grande per utenti attivi, mensilmente si parla di 900 milioni, ed è altamente diffuso in Russia in cui tre-quarti della popolazione internet usufruisce dei suoi servizi.
È oggettivo, dunque, che la piattaforma venga ritenuta sia un prezioso strumento funzionale alle organizzazioni criminali per ampliare le proprie attività illecite in una prospettiva transnazionale (spesso si parla infatti del cosiddetto cyber-crime-as-a-service) sia un potente mezzo di diffusione delle campagne di misinformazione o disinformazione sostenute dai vari governi.
Telegram, i motivi dei timori
Sulla base dei capi di accusa di cui sopra è possibile analizzare alcune delle motivazioni per cui Telegram potrebbe essere considerato una piattaforma ad alto rischio per la sicurezza cibernetica. L’Economist riporta che le autorità giuridiche francesi sospettano che Telegram potrebbe aver violato le norme relative alla crittografia, tra cui il mancato impiego di misure tecniche e organizzative adeguate finalizzate alla protezione dei dati, come previsto dall’articolo 32 del GDPR 679/2016. Tuttavia, non è ancora chiaro se la violazione sia di natura tecnica minore o sia una contestazione tecnico-giuridico più grave relativa alla crittografia stessa.
Infatti, la maggior parte dei messaggi su Telegram non sono crittografati end-to-end di default, il che significa che possono essere visibili all’azienda, essendo sulla Cloud Chat che prevede un encryption server-client, e conseguentemente a qualsiasi governo che le ordini di consegnarli.
Le finalità di impiego di Telegram
Un punto su cui conviene soffermarsi è la diversa finalità di impiego di Telegram, un’app concepita inizialmente come piattaforma di messaggistica a cui si sono aggiunti ulteriori servizi progressivamente, come d’altronde è accaduto per altre app, tra cui WeChat e Whatsapp. Matthew Green, esperto di crittografia e professore alla John Hopkins University, sul proprio blog spiega che in realtà molti utenti non scelgono Telegram perché possono inviare messaggi criptati. Al contrario, l’app è scelta perché è una sorta di rete social. Infatti, sono presenti due funzionalità che attirano gli utenti.
La prima è la sottoscrizione gratuita ai canali, ognuno dei quali funziona come una rete di trasmissione in cui una persona o un’organizzazione può inviare contenuti a centinaia di migliaia, perfino a milioni, di lettori. Sull’importanza di mantenere la segretezza in un canale pubblico, Green sottolinea che “quando si trasmettono messaggi a migliaia di sconosciuti in pubblico, mantenere la segretezza dei contenuti della chat non è così importante”.
La seconda funzionalità è la creazione di grandi chat di gruppo pubbliche che possono includere migliaia di utenti e possono essere aperte al pubblico o accessibili solo su invito. Anche in questo caso Green ribadisce che “nelle chat pubbliche, non importa che le chat di gruppo su Telegram siano non crittografate, dopo tutto, a chi importa della riservatezza se stai parlando in pubblico?”.
Il nodo della secret chat
Il problema però per Green emerge nel momento in cui l’utente utilizza la funzionalità originaria di Telegram, ossia la messaggistica istantanea privata, in cui due utenti vogliono comunicare privatamente. In questo caso, la end-to-end encryption è assente o, meglio, non è impostata di default e deve essere attivata manualmente la funzionalità “Secret Chat”.
Questa può essere impostata in quattro passaggi: ciò implica che diminuiscono le probabilità che un utente non esperto o pigro (su questo esiste una fiorente letteratura della psicologia cognitiva e dell’economia comportamentale, tra cui Nudge di Richard Thaler e Cass Sunstein, aiutano a capire perché sia necessario impostare configurazioni “friendly user”) non attivi la Secret Chat, aumentando il rischio di far leggere le proprie comunicazioni private ad attori malintenzionati che riescano a collegarsi alla rete privata su cui è effettuata la comunicazione. Green conclude l’analisi soffermandosi sulle colpe di Telegram, le quali sono che, nonostante Telegram sia consapevole di aver un sistema per l’attivazione della propria crittografia scarsamente intuitivo, ha continuato per molto tempo ad autopromuoversi con campagne di marketing come una piattaforma di messaggistica sicura.
Anziché migliorare l’esperienza dell’utente, sostiene Green, l’attivazione manuale della funzionalità di crittografia end-to-end di Telegram è rimasta pressocché invariata dal 2016.
Telegram Ads Platform
Lo scenario potrebbe peggiorare. Nel 2021 Telegram ha aperto anche alla pubblicità: all’interno dei canali con più di mille utenti è possibile sponsorizzare i messaggi. Il servizio si chiama Telegram Ads Platform e consente di scrivere fino a 160 caratteri, aggiungere e promuovere un link Telegram e selezionare i canali in cui inserire l’annuncio. Ovviamente, il pagamento per le inserzioni viene effettuato con una criptovaluta, la Toncoin (TON).
Il social impact di Telegram
Fino ad ora è stata analizzata la problematica afferente alla tutela della privacy tramite crittografia end-to-end. Un altro rischio su cui porre l’attenzione è rappresentato dalla potenza comunicativa di Telegram in quanto piattaforma social. È noto, infatti, che la piattaforma è stata utilizzata da organizzazioni filogovernative per promuovere contenuti di misinformazione e disinformazione con lo scopo di destabilizzare l’assetto politico e socioeconomico di Paesi rivali.
Lo scorso aprile, l’EU Disinfo Lab ha pubblicato un rapporto in cui è stata scoperta una vasta campagna di disinformazione architettata dalla Russia chiamata “False Façade”: il sistema era costituito da una rete di almeno 23 siti di informazione all’apparenza di Paesi occidentali. Questi siti traducevano i contenuti dei media controllati dal Cremlino nelle lingue ufficiali dell’UE oppure riprendevano delle informazioni da vari account YouTube, Telegram e X al fine di pubblicare articoli di propaganda pro-Russia e diffonderli. In un secondo momento, questi articoli venivano riutilizzati dai media russi e da altri canali pro-Russia su Telegram e X.
Tale sistema è stato definito da EU Disinfo Lab un “riciclaggio informativo” e serviva ad amplificare la risonanza della disinformazione del Cremlino. Altro esempio meno recente, ma tema alquanto attuale, è quanto accaduto tra il marzo e l’ottobre 2022 in Italia. In tale circostanza, la community italiana QAnon su Telegram aveva diffuso messaggi complottistici e cospirazionisti, tesi a sostenere senza alcuna prova la presenza di laboratori biologici americani sul suolo ucraino con lo scopo di produrre armi chimiche, agenti patogeni e di condurre esperimenti simili a quelli effettuati dai nazisti nei campi di concentramento durante la Seconda guerra mondiale.
Telegram e il cospirazionismo
Sul cospirazionismo online, i ricercatori Lorenzo Alvisi e Serena Tardelli nel loro studio “Unraveling the Italian and English Telegram Conspiracy Spheres through Message Forwarding” hanno focalizzato la loro analisi sulla comprensione della diffusione, tramite l’inoltro di messaggi in italiano e inglese, di narrazioni cospiratorie all’interno delle community di Telegram. Gli utenti delle singole community spiegano i ricercatori sono uniti dalla condivisone di un ideale o un valore: ad esempio, l’ideale “libertà” è legato a quelle community in cui sono fondamentali i concetti di democrazia liberale e dissenso, sono ampiamente discusse tematiche geopolitiche e questioni riguardanti la democrazia e l’anonimato.
Dallo studio è emerso che le comunità Telegram italiane ruotano intorno alle teorie del complotto sostenute dalla controinformazione in antitesi alla narrazione tradizionale. Inoltre, i ricercatori hanno evidenziato che la narrativa cospirazionista italiana è legata “alla religiosità, alla salute e al pensiero cospirazionista stesso”.
In conclusione, Telegram risulta essere uno strumento con molti rischi sia per la privacy personale sia per una questione di sicurezza nazionale. Bisogna adesso attendere e vedere quali provvedimenti Telegram adotterà per implementare configurazioni tecniche e organizzative per migliorare la sicurezza dell’applicazione, altrimenti risulta difficile immaginarsi tale piattaforma ancora funzionante nei Paesi occidentali in un momento storico in cui la protezione della privacy e l’arginamento della disinformazione sono diventati due pilastri delle politiche di sicurezza cibernetica.
