Instagram senza crittografia: cosa cambia per le PA e gli enti locali

Lo scorso 8 maggio 2026 Meta ha completato la dismissione della funzione “Privacy Protection” sui messaggi Direct di Instagram. In pratica, la crittografia end-to-end (E2EE) — quella tecnologia che rende illeggibili i messaggi a chiunque si interponga tra mittente e destinatario, compresi i server dell’azienda — non è più disponibile sulla piattaforma. Il protocollo era stato introdotto su Instagram nel 2022 e la sua eliminazione segna un passo indietro sul fronte della riservatezza digitale.

La motivazione ufficiale fornita da Meta è pragmatica: la funzione era usata da una quota marginale di utenti e non era sostenibile mantenere l’infrastruttura dedicata. Prima della disattivazione, la piattaforma aveva inviato notifiche agli utenti con chat cifrate, invitandoli a scaricare i materiali condivisi. La crittografia end-to-end rimane invece attiva e integrata su WhatsApp, che con miliardi di utenti attivi nel mondo rappresenta ancora l’architrave della strategia di Meta sulla messaggistica privata.

1. IL CONTESTO NORMATIVO: GDPR E COMUNICAZIONI PUBBLICHE

Il Regolamento Generale sulla Protezione dei Dati (GDPR, Reg. UE 2016/679) impone alle pubbliche amministrazioni — in qualità di titolari del trattamento — di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio. Questo principio di “privacy by design” si applica anche alle comunicazioni digitali gestite tramite piattaforme di terze parti.

Quando un funzionario comunale o un amministratore usa i Direct di Instagram per rispondere a un cittadino su questioni anche minimamente personali — la gestione di una pratica, la segnalazione di un disservizio, un appuntamento allo sportello — si crea un trattamento di dati personali. Il venir meno della crittografia E2EE significa che queste comunicazioni transitano attraverso server di Meta in forma potenzialmente leggibile, ampliando la superficie di rischio per la privacy dei cittadini e la responsabilità dell’ente.

Il Garante per la Protezione dei Dati Personali ha più volte ribadito che l’uso di piattaforme commerciali americane per comunicazioni istituzionali richiede un’attenta valutazione dei rischi, anche alla luce della normativa sui trasferimenti di dati verso Paesi terzi (Capo V del GDPR). La rimozione dell’E2EE su Instagram rafforza la necessità di questa attenzione.

2. COSA USANO I COMUNI SUI SOCIAL: UNO SGUARDO ALLA REALTÀ

La presenza sui social media è ormai una componente strutturale della comunicazione dei Comuni italiani, anche di quelli di piccole dimensioni. Secondo le rilevazioni disponibili, la quasi totalità dei Comuni con più di 5.000 abitanti gestisce almeno un profilo ufficiale su Facebook o Instagram. La tendenza alla comunicazione diretta tramite DM (messaggi privati) è cresciuta nell’uso quotidiano degli uffici stampa e degli assessorati.

Tabella 1 – Canali digitali e profilo di rischio per le PA dopo la rimozione dell’E2EE su Instagram

3. ANALISI DEL RISCHIO: TRE LIVELLI PER I COMUNI

Non tutti i Comuni si trovano nella stessa posizione. Il profilo di rischio varia in base all’intensità d’uso dei Direct di Instagram per finalità istituzionali. Ecco una valutazione sintetica:

4. LE IMPLICAZIONI PER LA STRATEGIA META E IL FUTURO DIGITALE

La dismissione dell’E2EE su Instagram non è un episodio isolato, ma si inscrive in una più ampia ridefinizione strategica di Meta. Il gruppo di Zuckerberg sta concentrando il proprio sviluppo su WhatsApp — che mantiene la crittografia end-to-end e sta introducendo funzioni innovative come la possibilità di usare uno username al posto del numero di telefono — mentre Facebook e Instagram evolvono verso un modello più centrato sulla pubblicità e sull’intelligenza artificiale.

Per le PA, questo scenario pone una domanda strategica di più lungo respiro: fino a che punto è opportuno affidarsi a piattaforme commerciali come canali primari di interazione con i cittadini? La risposta non è semplice, perché i social restano strumenti ad altissima penetrazione e rinunciarvi comporterebbe una perdita di visibilità. Ma è necessario costruire una gerarchia chiara dei canali, riservando alle piattaforme commerciali la funzione di “vetrina” e presidio dell’informazione di servizio, e affidando le interazioni più sensibili a canali istituzionali certificati.

5. COSA FARE: INDICAZIONI OPERATIVE PER GLI ENTI LOCALI

Sulla base dell’analisi condotta, si suggeriscono le seguenti azioni prioritarie per le amministrazioni comunali:

• Aggiornare il registro dei trattamenti (art. 30 GDPR): verificare se i Direct di Instagram sono citati come canale di trattamento di dati personali e aggiornare le misure di sicurezza associate, indicando che l’E2EE non è più disponibile.
• Rivedere la privacy policy pubblica del Comune: se il sito istituzionale richiama i canali social come strumenti di contatto, aggiornare le informazioni relative al trattamento dei dati nelle comunicazioni via Instagram.
• Formare il personale degli uffici comunicazione: gli operatori che presidiano i canali social devono essere consapevoli che le conversazioni in DM non sono cifrate e non devono essere usate per trasmettere dati sensibili o documenti.
• Reindirizzare le interazioni sensibili su canali certificati: per segnalazioni o richieste che richiedono il trattamento di dati personali, preferire il sito istituzionale con form dedicati, la PEC o il Fascicolo del Cittadino sui portali dei servizi digitali.
• Valutare WhatsApp Business per la messaggistica certificata: per i Comuni che vogliono mantenere canali di messaggistica diretta con i cittadini, WhatsApp — che mantiene l’E2EE — resta la soluzione nell’ecosistema Meta con maggiori garanzie, anche nella versione Business per enti e organizzazioni.
• Consultare il DPO (Data Protection Officer): le PA con più di 250 dipendenti e quelle che trattano dati su larga scala sono tenute per legge ad avere un DPO. In assenza di questa figura, è opportuno rivolgersi al responsabile della transizione digitale dell’ente per una valutazione del rischio aggiornata.