Privacy e identità digitale continuano a rappresentare uno dei terreni più esposti agli abusi nell’ecosistema tecnologico contemporaneo. Secondo il rapporto sulle minacce Gen Q4 2025, di Gen Digital (il colosso nato dall’unione di Norton, Avast e AVG) nonostante i progressi nella sicurezza informatica e l’adozione di sistemi sempre più sofisticati di protezione dei dati, una serie di incidenti recenti e ricorrenti mostra come il problema non sia affatto risolto, ma semplicemente spostato su nuovi livelli di complessità.
Uno degli esempi più emblematici riguarda una vulnerabilità nel sistema di ricerca dei numeri di telefono di WhatsApp. Prima che il problema venisse risolto, era possibile associare in modo sistematico miliardi di numeri telefonici ad account attivi. Un’operazione apparentemente banale, ma che nella pratica ha reso possibile la costruzione di enormi database di identificazione, sfruttabili per attività di profilazione, phishing o altre forme di abuso. Questo episodio evidenzia una verità spesso sottovalutata, ovvero che anche sistemi crittografati e sicuri nella comunicazione possono presentare falle nei livelli “laterali”, come la scoperta degli account o la loro enumerazione.
Privacy e identità nell’era dei dati: quando la protezione si incrina
È un problema sempre più frequente perché la sicurezza non dipende solo dall’azienda principale, ma da un ecosistema di attori che gestiscono dati estremamente sensibili. Un altro caso riguarda un fornitore di servizi di assistenza per una popolare piattaforma di chat, che ha divulgato decine di migliaia di immagini di documenti d’identità governativi raccolti per la verifica dell’età. In questo scenario, il punto debole non è stato il sistema centrale della piattaforma, ma la filiera esterna dei fornitori e subfornitori.
Parallelamente, il mercato dei data broker continua a dimostrarsi una fonte inesauribile di rischio. Alcuni dataset “campione”, distribuiti e poi analizzati da ricercatori e giornalisti, hanno rivelato dettagli sorprendenti e inquietanti sugli spostamenti quotidiani di funzionari europei. Dati apparentemente anonimi sono stati facilmente ricondotti a case private, uffici e routine personali. Questo tipo di esposizione dimostra come la de-anonimizzazione sia spesso possibile anche senza accesso diretto ai nomi, semplicemente incrociando pattern di mobilità.
In questo contesto, la crittografia end-to-end resta uno strumento fondamentale, ma non sufficiente. Anche quando le comunicazioni sono protette da intercettazioni esterne, il punto debole si sposta inevitabilmente verso il dispositivo dell’utente. Una volta che uno smartphone o un computer viene compromesso da spyware, ogni garanzia di riservatezza a livello di rete perde efficacia.
Landfall spyware campaign
La Landfall spyware campaign ha rappresentato un ulteriore esempio di questo paradigma. L’operazione ha dimostrato come la compromissione degli endpoint consenta di aggirare completamente le promesse di privacy basate esclusivamente sulla protezione delle comunicazioni. In altre parole, non è necessario “rompere” la crittografia se si può osservare direttamente ciò che accade prima che i dati vengano cifrati o dopo che sono stati decifrati.
Dalle analisi delle violazioni dell’identità e dalle ricerche indipendenti emerge un modello ricorrente e preoccupante. Le fughe di dati raramente si esauriscono con una notifica o un cambio di password. Al contrario, i loro effetti si estendono nel tempo, riemergendo spesso mesi o anni dopo sotto forma di furti d’identità, creazione di identità sintetiche, frodi finanziarie o impersonificazioni professionali. Il ciclo di danno è lungo, stratificato e difficile da interrompere.
A questo punto la nozione stessa di “identità digitale” diventa fragile. Non è più un attributo statico e controllabile, ma un insieme di frammenti distribuiti tra piattaforme, broker di dati, fornitori terzi e dispositivi personali. Ogni frammento può essere esposto, combinato o riutilizzato in modi non previsti dall’utente.
La sfida, oggi, non è soltanto costruire sistemi più sicuri, ma ripensare radicalmente il concetto di fiducia nell’infrastruttura digitale. Perché la privacy, sempre più spesso, non viene violata in un singolo punto di rottura, ma attraverso una catena di debolezze interconnesse che rende l’identità stessa un bersaglio continuo.