A WhatsApp non serve leggere i nostri messaggi per sapere molto di noi: basta l’analisi dei metadati

Ad aprile 2016 WhatsApp ha introdotto la cifratura end-to-end grazie alla quale i messaggi possono essere letti solo da chi li invia e da chi li riceve, proteggendoli da occhi indiscreti inclusi quelli di Meta, l’azienda che sviluppa la popolare app di messaggistica oltre a Facebook, Instagram e Threads.

Sono passati 10 anni e gran parte dei problemi legati alla privacy rilevati dai ricercatori nel 2016 rimangono attuali, perché i metadati sono una miniera d’oro per l’analisi predittiva, la pubblicità comportamentale e una lunga serie di altre attività, tra le quali l’inferenza psicografica della quale parleremo più avanti oppure l’analisi relazionale di una persona.

I metadati hanno un valore proprio e sono da anni al centro delle attenzioni dei legislatori, della politica e dei gruppi per la difesa della privacy. Non è un caso che la Electronic Frontier Foundation (EFF), ossia una tra le più importanti organizzazioni per la difesa dei diritti civili nel mondo digitale, si adoperi da anni per sensibilizzare l’opinione pubblica, scossa nel 2013 dalle rivelazioni di Edward Snowden, l’analista della National Security Agency (NSA) che ha reso noto al mondo come quest’ultima raccogliesse metadati telefonici per attività di sorveglianza di massa.

Cosa sono i metadati

Sono informazioni che ne descrivono altre. Pur non riguardando il contenuto di una comunicazione, rilasciano dettagli relativi al contesto nel quale le comunicazioni avvengono.

Per capire cosa sono, è utile fare ricorso all’esempio di una lettera imbustata. Il servizio postale non può conoscere il contenuto della busta ma sa chi la invia, chi è il destinatario e sa dove e quando è stata spedita.

Nello specifico, su WhatsApp il contenuto della busta è il messaggio – incluse le immagini, i file multimediali, le video-chiamate e le telefonate – e i metadati sono tutto ciò che si può evincere da ogni messaggio scambiato.

Infatti, WhatsApp sa chi comunica con chi, in quale momento della giornata, con quale frequenza, da quale dispositivo e da quale posizione approssimativa.

In aggiunta, sa anche la durata delle interazioni e l’appartenenza a gruppi, evincendo così eventuali attività o relazioni tra mittenti e destinatari.

Presi singolarmente, questi dati sembrano poco significativi ma, quando vengono aggregati su larga scala, permettono di ricostruire reti sociali, abitudini quotidiane e comportamenti prevedibili.

Per questo i metadati sono diventati un asset fondamentale per le piattaforme tecnologiche, per i sistemi pubblicitari e anche per le analisi di sicurezza e di intelligence.

Quali metadati raccoglie WhatsApp

La tabella sotto riassume i metadati che WhatsApp comunica apertamente di raccogliere. Fidandoci ciecamente di ciò che sostiene Meta, occorre ampliare il discorso.

I metadati raggiungono così una scala imponente, considerando che Facebook ha oltre 3 miliardi di utenti e WhatsApp sfiora quota 3,5 miliardi.

E di questi utenti Meta può sapere molte cose senza leggerne i messaggi.

Per fare un esempio, è possibile sapere chi parla con un medico, chi parla con un avvocato divorzista, chi è in contatto con attivisti o giornalisti, chi partecipa a gruppi di auto-aiuto o svolge attività politiche e, scendendo ancora più nel dettaglio, Meta ha a disposizione metadati per sapere che due persone si incontrano ogni martedì nel medesimo luogo alla medesima ora, aprendo così una discreta quantità di ipotesi circa la loro relazione.

Come vengono usati i metadati

Meta è un gruppo che vive di introiti pubblicitari, fonte del 97% dei ricavi nel corso del 2025.

Il modello economico poggia proprio sulla raccolta massiva di dati comportamentali e metadati, sulla profilazione degli utenti e sul targeting pubblicitario preciso.

WhatsApp, pur non mostrando ancora la pubblicità classica, contribuisce ad arricchire l’ecosistema di Meta, arricchendolo di segnali comportamentali e relazionali utili agli inserzionisti, ma non solo.

Tra le attività che vengono alimentate dai metadati figura l’inferenza psicografica, ovvero il processo con cui una piattaforma prova a dedurre le caratteristiche comportamentali, identitarie e psicologiche degli utenti.

Una logica diversa dalla (ormai) vecchia profilazione demografica anche se età, genere e provenienza geografica sono ancora informazioni che hanno un valore, oggi interessano soprattutto le probabilità comportamentali degli utenti e, per esaminarle, diventa pregiato sapere quanto sono impulsivi, suggestionabili, ansiosi, inclini al rischio o vulnerabili dal punto di vista economico.

Un’inferenza che viene costruita esaminando e correlando dati apparentemente innocui e che, invece, forniscono risposte dettagliate.

Forniscono risposte gli orari in cui usiamo WhatsApp, la velocità con cui rispondiamo ai messaggi, il tipo di reti sociali che frequentiamo, la frequenza con cui contattiamo altre persone, i periodi improvvisi di silenzio, i cambiamenti nel nostro comportamento digitale e un’altra quantità di informazioni che, opportunamente miscelate, restituiscono un profilo probabilistico capace di determinare quanto siamo economicamente, politicamente o socialmente utili.

L’analisi sociale e relazionale è ancora più strutturata. Non si tratta di avere un quadro di massima di una singola persona, quanto di ottenere una mappa delle connessioni tra individui.

Le piattaforme digitali cercano di capire chi parla con chi, con quale periodicità e con quale intensità, in quali momenti della giornata e all’interno di quali gruppi sociali e con quale livello di influenza reciproca.

Per ogni piattaforma è utile sapere che due o più persone comunicano ogni giorno, ma riuscire a stabilire chi influenza le decisioni delle altre è prezioso, perché dà forma a sistemi di ranking sociali.

Le analisi di questo genere sono usate da diverse aziende per suggerire contenuti, prevedere engagement, ottimizzare gli inserti pubblicitari e rafforzare la permanenza online.

Altre aziende, però, ne fanno uso per attività di intelligence, basti pensare a come le forze di sicurezza individuano gruppi criminali, estremisti oppure organizzazioni sospette.

Il punto di vista dei garanti della privacy

L’European Data Protection Board (EDPB), l’organismo di coordinamento che riunisce tutte le autorità nazionali privacy dei Paesi Ue, si sta muovendo in tre direzioni nei confronti delle piattaforme Big Tech che basano i rispettivi modelli di business sui metadati e quindi sulla profilazione.

La prima è un’applicazione più stringente del Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore nel 2018 e che, a partire dal 2023, ovvero dopo un periodo investito nel permettere alle aziende di adeguarsi alle norme, sta cominciando a comminare ammende di una certa entità che, nel 2025, hanno raggiunto 1,2 miliardi di euro.

La seconda direzione riguarda gli ordini correttivi. Il Garante italiano, insieme ad altre autorità europee, ha imposto a Meta modifiche operative sui flussi di dati tra servizi soprattutto per limitare l’uso combinato dei metadati per la profilazione, chiedendo la separazione logica dei database e ulteriori restrizioni sulla granularità del consenso degli utenti che devono essere informati in modo approfondito.

La terza direzione è una pressione regolatoria in corso d’opera, che dovrebbe riscrivere le regole su traffico, comunicazioni e metadati. Un processo bloccato da anni a causa di conflitti tra Stati membri su sicurezza, intelligence e interessi dell’industria digitale.

L’intenzione dell’EDPB è impedire che i metadati diventino una scorciatoia per fare profilazione di massa anche quando riguardano contenuti protetti o cifrati. Non si tratta di vietare i metadati ma di rendere sempre più costoso e giuridicamente fragile il loro uso

Le alternative a WhatsApp

È impossibile fare a meno dei metadati perché, affinché un messaggio arrivi a destinazione, servono informazioni peculiari sul dispositivo che lo invia, il server a cui si collega e a chi deve essere consegnato.

Tuttavia, ci sono app che ne minimizzano e ne separano la raccolta.

Tra queste figurano Signal, Session, Threema e SimpleX Chat. Va da sé che la diffusione di un’app di messaggistica gioca un ruolo fondamentale e le quattro che abbiamo citato non vantano un numero di utenti assimilabile a quello di WhtasApp.