Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Bannare Whatsapp dai dispositivi governativi: quando la cybersecurity diventa geopolitica

Negli Stati Uniti il Congresso ha deciso: WhatsApp deve sparire dai dispositivi governativi. Non per capriccio, ma per sicurezza nazionale.

Negli Stati Uniti il Congresso ha deciso: WhatsApp deve sparire dai dispositivi governativi. Non per capriccio, ma per sicurezza nazionale. Un segnale chiaro che la privacy oggi è una questione di potere, non solo di diritti. Ma cosa succede in Europa e, soprattutto, in Italia? Per approfondire il tema, abbiamo pubblicato il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon. Per approfondire questi temi abbiamo organizzato il corso di formazione Master in Cybersecurity e compliance integrata

Indice

1. Non è (solo) un’app: è una questione di Stato


La notizia ha fatto il giro del mondo in poche ore: la Camera dei Rappresentanti degli Stati Uniti ha ufficialmente vietato l’uso di WhatsApp su tutti i dispositivi governativi. Entro il 30 giugno 2025, l’app dovrà essere rimossa da ogni telefono, tablet e strumento istituzionale in dotazione allo staff. Non una raccomandazione. Non un invito alla prudenza. Un divieto secco, motivato da “rischi significativi per la sicurezza”.
Dietro questa scelta, apparentemente tecnica, c’è molto di più: c’è una visione strategica della sicurezza nazionale, c’è una crescente attenzione alla sovranità digitale e c’è un chiaro messaggio a tutti gli attori pubblici: non fidatevi delle piattaforme che non potete controllare. Per approfondire il tema, abbiamo pubblicato il volume Investigazioni e prove digitali – Blockchain e Crypto Asset, disponibile su Shop Maggioli e su Amazon

FORMATO CARTACEO

Investigazioni e prove digitali

Il volume si propone come una guida chiara e aggiornata per professionisti del diritto, consulenti forensi, tecnici informatici e forze dell’ordine che devono orientarsi nel complesso panorama dell’investigazione e della prova digitale. Le tecnologie emergenti stanno radicalmente trasformando il contesto giuridico: blockchain, crypto asset, NFT e smart contract, un tempo considerati di nicchia, sono oggi elementi centrali nelle indagini di polizia giudiziaria, nelle controversie civili e nelle consulenze tecniche forensi.Il testo affronta, con taglio pratico, questioni complesse come la tracciabilità delle transazioni su registri distribuiti, l’attribuzione e il sequestro di wallet digitali e la gestione di flussi finanziari illeciti, e i relativi risvolti giuridici: la trasferibilità mortis causa dei crypto asset, i problemi di proprietà e autenticità legati agli NFT, e l’applicazione concreta degli smart contract in ambito patrimoniale e contrattuale.Gli autori, con un solido background pratico, dedicano ampio spazio alle attività investigative in ambienti cifrati, con un focus specifico sulla raccolta, conservazione e analisi della prova digitale, rispondendo alle crescenti esigenze di validità e affidabilità richieste dai contesti giudiziari. MARCO STELLADocente presso l’Accademia e la Scuola di Polizia Economico-Finanziaria della Guardia di Finanza nelle materie di Informatica, Open Source intelligence e investigazioni online. Autore di numerose pubblicazioni e relatore in convegni sui temi della Social Network Analysis, della Blockchain Intelligence e delle applicazioni di Intelligenza Artificiale.

 

Marco Stella | Maggioli Editore

32.30 €

Scopri di più

2. La motivazione ufficiale: sicurezza, trasparenza e controllo


Secondo quanto riportato nel comunicato diffuso dal Chief Administrative Officer del Congresso, il ban è stato motivato da:

  • assenza di trasparenza nella protezione dei dati da parte di WhatsApp;
  • mancanza di crittografia per i dati memorizzati (storage-level);
  • valutazione generale di alto rischio per l’utilizzo da parte di personale istituzionale.

In altre parole: non sappiamo cosa fate con i nostri dati, non possiamo verificarlo, e quindi non potete stare sui nostri dispositivi. È il principio di precauzione nella sua versione più radicale: se non riesco a dimostrare che sei sicuro, ti escludo.

Potrebbero interessarti anche:

3. La risposta di Meta su Whatsapp: sicurezza sì, ma trasparenza no


La replica di Meta è arrivata istantanea: “WhatsApp è più sicuro di molte altre app autorizzate, come iMessage o Microsoft Teams perché adotta la crittografia end-to-end della chat da moltissimo tempo”. Ma per il Congresso non è una questione di comparazione tecnica, è una questione di fiducia istituzionale.
WhatsApp appartiene a un gruppo che basa il proprio modello di business sull’estrazione massiva di dati comportamentali, che ha una lunga storia di contenziosi e sanzioni in tema di privacy, e che – anche dopo l’entrata in vigore del Digital Markets Act – continua a gestire la trasparenza come una concessione, non come un obbligo.

4. Le app “autorizzate”: meglio (forse) non significa buone


Il paradosso è evidente: tra le app consentite dal Congresso troviamo iMessage, Signal, FaceTime, Microsoft Teams, Wickr. Nessuna di queste è perfetta. Alcune non hanno la crittografia end-to-end attiva di default, altre (come Microsoft Teams) sono integrabili con sistemi cloud che pongono non pochi problemi in termini di interoperabilità e gestione della sicurezza.
Ma sono considerate “trusted”, o almeno sufficientemente controllabili, in virtù della loro interoperabilità con l’ecosistema governativo USA e della localizzazione dei dati. Qui non si tratta solo di tecnologia: si tratta di fiducia sovrana, di interoperabilità istituzionale, di alleanza geopolitica.

5. Il tema vero: la sovranità digitale


Il cuore della questione è tutto qui: chi controlla l’infrastruttura tecnologica, controlla (potenzialmente) anche il potere. La decisione del Congresso americano è un atto di difesa sovrana in piena regola. Non riguarda solo la riservatezza, ma il rischio strategico: le comunicazioni dei decisori pubblici non possono transitare per canali opachi o non auditabili.
È un tema che l’Europa conosce bene, ma che affronta con lentezza. Il GDPR ha imposto regole forti sulla protezione dei dati personali, ma le PA europee continuano a usare WhatsApp, Telegram e simili per comunicazioni informali, urgenti, “non ufficiali”, in una zona grigia in cui tutto si tiene… finché qualcosa va storto.

6. E in Italia? I silenzi che fanno rumore


Nessuna normativa italiana vieta espressamente l’uso di WhatsApp nelle pubbliche amministrazioni. Anzi, la prassi è largamente diffusa: gruppi informali di lavoro, scambi tra uffici, comunicazioni “veloci” tra assessori, dirigenti, avvocati interni. Il tutto su server esterni all’Unione europea, gestiti da soggetti privati extra-UE, che potrebbero incrociare i dati per finalità di profilazione, marketing o – peggio – sorveglianza.
Il Garante Privacy italiano ha più volte richiamato le PA alla adozione di strumenti conformi al principio di accountability, sottolineando come la scelta di piattaforme non adeguate comporti rischi gravi per la sicurezza e la protezione dei dati. Ma si continua a far finta che WhatsApp sia un canale “neutro”. Non lo è.

7. Il GDPR parla chiaro: ogni trattamento deve essere lecito, limitato e sicuro


Ricordiamolo: l’utilizzo di un’app di messaggistica da parte di un ente pubblico configura un trattamento di dati personali (art. 4 GDPR). E questo trattamento deve rispondere a:

  • finalità determinate e legittime (art. 5, par. 1, lett. b);
  • minimizzazione dei dati e limitazione della conservazione (art. 5, lett. c-d);
  • sicurezza del trattamento (art. 32 GDPR);
  • trasparenza verso gli interessati (artt. 12-14 GDPR);
  • sovranità sul dato (sancita anche dalla giurisprudenza CJEU, sentenze Schrems I e II).

Se l’app non garantisce queste condizioni non può essere utilizzata. Non serve una legge speciale per vietarlo. Serve applicare il GDPR.

8. Le alternative? Più affidabili, ma non prive di problemi


Nel comunicato della House Cybersecurity Office, le alternative a WhatsApp sono state selezionate in base a criteri di auditabilità, integrazione e rischio. L’elenco include:

  • iMessage e FaceTime (Apple): soluzioni cifrate, integrate nell’ecosistema iOS/macOS;
  • Signal: app open source con crittografia end-to-end solida e senza modelli di business basati sui dati;
  • Wickr (Amazon): app cifrata per ambienti ad alta sicurezza, molto diffusa in ambito militare;
  • Microsoft Teams: non cifrata end-to-end, ma gestita in ambiente cloud compatibile con i requisiti federali.

In Europa, esistono alternative affidabili ma ancora scarsamente adottate dalle PA:

  • Threema Work (Svizzera): app a pagamento, senza tracking, adottata in Germania e Austria;
  • Tchap (Francia): sistema statale basato su protocollo Matrix;
  • Element (UK): open source, federabile e self-hostable;
  • Nextcloud Talk (Germania): sistema sicuro di comunicazione e collaborazione.

Il problema non è tecnico, ma culturale. In troppi enti manca una visione sistemica sulla comunicazione digitale istituzionale. Si continuano a scegliere soluzioni “comode”, non soluzioni controllabili. Eppure, il modello c’è. Serve solo adottarlo.

Formazione per professionisti


Master in Cybersecurity e compliance integrata
Il Master è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il Master esplora: 
•  L’evoluzione della strategia europea di cybersicurezza
•  L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori
•  Il perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato
•  Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA)
•  Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa
•  Ruoli e poteri dell’ACN: atti attuativi e misure tecniche
•  Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Semplificare il GDPR: le osservazioni sulla bozza della riforma

Semplificazioni GDPR per le SMC: l’EDPB e l’EDPS esprimono riserve nella Opinione congiunta 01/2025….

Luisa Di Giacomo 17/07/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Master in Cybersecurity e compliance integrata – La recensione della settimana

Master operativo su NIS 2, D.lgs. 138/2024, GDPR, DORA, CRA e AI Act per gestire compliance e cybers…

Recensioni 16/07/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI e Legaltech
Privacy e Cybersecurity
Accessibility Act: guida giuridico-operativa

Con l’entrata in vigore dell’Accessibility Act, le imprese che offrono determinati prodotti e serviz…

Luisa Di Giacomo 11/07/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
La Commissione Europea sanziona Meta e il modello “Pay or Consent”

La Commissione Europea ha sanzionato Meta per violazione del Digital Markets Act (DMA), in relazione…

Luisa Di Giacomo 09/07/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;