Domenica 12 luglio 2026
Domenica 12 luglio 2026

Società consociata

Home > Digitale > Comunicazione > Instagram senza crittografia: cosa cambia per le PA e gli enti locali

Instagram senza crittografia: cosa cambia per le PA e gli enti locali

Dall'8 maggio 2026 Meta ha rimosso la funzione di Protezione della Privacy dai Direct di Instagram. Un cambiamento tecnico con implicazioni dirette per le amministrazioni comunali che usano i social per comunicare con i cittadini.

8 maggio 2026 Data di dismissioneE2EE Rimosso da InstagramWhatsApp Mantiene la crittografia

Lo scorso 8 maggio 2026 Meta ha completato la dismissione della funzione “Privacy Protection” sui messaggi Direct di Instagram. In pratica, la crittografia end-to-end (E2EE) — quella tecnologia che rende illeggibili i messaggi a chiunque si interponga tra mittente e destinatario, compresi i server dell’azienda — non è più disponibile sulla piattaforma. Il protocollo era stato introdotto su Instagram nel 2022 e la sua eliminazione segna un passo indietro sul fronte della riservatezza digitale.

La motivazione ufficiale fornita da Meta è pragmatica: la funzione era usata da una quota marginale di utenti e non era sostenibile mantenere l’infrastruttura dedicata. Prima della disattivazione, la piattaforma aveva inviato notifiche agli utenti con chat cifrate, invitandoli a scaricare i materiali condivisi. La crittografia end-to-end rimane invece attiva e integrata su WhatsApp, che con miliardi di utenti attivi nel mondo rappresenta ancora l’architrave della strategia di Meta sulla messaggistica privata.

Per le amministrazioni comunali che usano i Direct di Instagram per interagire con i cittadini, questa modifica non è una questione tecnica astratta: è un tema di compliance normativa e di fiducia istituzionale.

1. IL CONTESTO NORMATIVO: GDPR E COMUNICAZIONI PUBBLICHE

Il Regolamento Generale sulla Protezione dei Dati (GDPR, Reg. UE 2016/679) impone alle pubbliche amministrazioni — in qualità di titolari del trattamento — di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio. Questo principio di “privacy by design” si applica anche alle comunicazioni digitali gestite tramite piattaforme di terze parti.

Quando un funzionario comunale o un amministratore usa i Direct di Instagram per rispondere a un cittadino su questioni anche minimamente personali — la gestione di una pratica, la segnalazione di un disservizio, un appuntamento allo sportello — si crea un trattamento di dati personali. Il venir meno della crittografia E2EE significa che queste comunicazioni transitano attraverso server di Meta in forma potenzialmente leggibile, ampliando la superficie di rischio per la privacy dei cittadini e la responsabilità dell’ente.

Il Garante per la Protezione dei Dati Personali ha più volte ribadito che l’uso di piattaforme commerciali americane per comunicazioni istituzionali richiede un’attenta valutazione dei rischi, anche alla luce della normativa sui trasferimenti di dati verso Paesi terzi (Capo V del GDPR). La rimozione dell’E2EE su Instagram rafforza la necessità di questa attenzione.

2. COSA USANO I COMUNI SUI SOCIAL: UNO SGUARDO ALLA REALTÀ

La presenza sui social media è ormai una componente strutturale della comunicazione dei Comuni italiani, anche di quelli di piccole dimensioni. Secondo le rilevazioni disponibili, la quasi totalità dei Comuni con più di 5.000 abitanti gestisce almeno un profilo ufficiale su Facebook o Instagram. La tendenza alla comunicazione diretta tramite DM (messaggi privati) è cresciuta nell’uso quotidiano degli uffici stampa e degli assessorati.

CanaleUso prevalentePresenza dati sensibiliRischio post-E2EE
Instagram DirectRisposte a segnalazioni, eventi, infoMedioAUMENTATO
WhatsApp (canali)Diffusione comunicati, avvisiBassoInvariato
Facebook MessengerAssistenza ai cittadiniMedio-AltoGià presente
Email istituzionalePratiche ufficialiAltoInvariato (TLS)
PECComunicazioni formali PA-PAMolto AltoNon applicabile

Tabella 1 – Canali digitali e profilo di rischio per le PA dopo la rimozione dell’E2EE su Instagram

3. ANALISI DEL RISCHIO: TRE LIVELLI PER I COMUNI

Non tutti i Comuni si trovano nella stessa posizione. Il profilo di rischio varia in base all’intensità d’uso dei Direct di Instagram per finalità istituzionali. Ecco una valutazione sintetica:

ALTOComuni con sportello digitale attivo su Instagram Enti che usano i DM per ricevere segnalazioni di disservizi, gestire prenotazioni o fornire assistenza su pratiche. Qui transitano potenzialmente dati personali (nominativi, indirizzi, numeri di protocollo). Necessaria una revisione immediata delle procedure.
MEDIOComuni con profilo istituzionale attivo e DM aperti Enti che pubblicano contenuti promozionali e rispondo ai DM in modo non sistematico. Il rischio è moderato ma reale: anche una sola conversazione contenente dati personali configura un trattamento non adeguatamente protetto.
BASSOComuni con profilo solo broadcast (nessuna risposta ai DM) Enti che usano Instagram esclusivamente per diffusione unidirezionale di contenuti. Il rischio è marginale, ma è comunque buona prassi comunicarlo nella privacy policy dell’ente e disabilitare i DM se non presidiati.

4. LE IMPLICAZIONI PER LA STRATEGIA META E IL FUTURO DIGITALE

La dismissione dell’E2EE su Instagram non è un episodio isolato, ma si inscrive in una più ampia ridefinizione strategica di Meta. Il gruppo di Zuckerberg sta concentrando il proprio sviluppo su WhatsApp — che mantiene la crittografia end-to-end e sta introducendo funzioni innovative come la possibilità di usare uno username al posto del numero di telefono — mentre Facebook e Instagram evolvono verso un modello più centrato sulla pubblicità e sull’intelligenza artificiale.

Per le PA, questo scenario pone una domanda strategica di più lungo respiro: fino a che punto è opportuno affidarsi a piattaforme commerciali come canali primari di interazione con i cittadini? La risposta non è semplice, perché i social restano strumenti ad altissima penetrazione e rinunciarvi comporterebbe una perdita di visibilità. Ma è necessario costruire una gerarchia chiara dei canali, riservando alle piattaforme commerciali la funzione di “vetrina” e presidio dell’informazione di servizio, e affidando le interazioni più sensibili a canali istituzionali certificati.

I social media sono ottimi megafoni, ma pessimi cassetti. I documenti, le pratiche e i dati personali dei cittadini devono restare su infrastrutture istituzionali, non nelle DM di Instagram.

5. COSA FARE: INDICAZIONI OPERATIVE PER GLI ENTI LOCALI

Sulla base dell’analisi condotta, si suggeriscono le seguenti azioni prioritarie per le amministrazioni comunali:

  • Aggiornare il registro dei trattamenti (art. 30 GDPR): verificare se i Direct di Instagram sono citati come canale di trattamento di dati personali e aggiornare le misure di sicurezza associate, indicando che l’E2EE non è più disponibile.
  • Rivedere la privacy policy pubblica del Comune: se il sito istituzionale richiama i canali social come strumenti di contatto, aggiornare le informazioni relative al trattamento dei dati nelle comunicazioni via Instagram.
  • Formare il personale degli uffici comunicazione: gli operatori che presidiano i canali social devono essere consapevoli che le conversazioni in DM non sono cifrate e non devono essere usate per trasmettere dati sensibili o documenti.
  • Reindirizzare le interazioni sensibili su canali certificati: per segnalazioni o richieste che richiedono il trattamento di dati personali, preferire il sito istituzionale con form dedicati, la PEC o il Fascicolo del Cittadino sui portali dei servizi digitali.
  • Valutare WhatsApp Business per la messaggistica certificata: per i Comuni che vogliono mantenere canali di messaggistica diretta con i cittadini, WhatsApp — che mantiene l’E2EE — resta la soluzione nell’ecosistema Meta con maggiori garanzie, anche nella versione Business per enti e organizzazioni.
  • Consultare il DPO (Data Protection Officer): le PA con più di 250 dipendenti e quelle che trattano dati su larga scala sono tenute per legge ad avere un DPO. In assenza di questa figura, è opportuno rivolgersi al responsabile della transizione digitale dell’ente per una valutazione del rischio aggiornata.
In sintesi per gli amministratori La rimozione della crittografia E2EE dai Direct di Instagram è un segnale che le piattaforme commerciali non devono essere considerate infrastrutture sicure per la comunicazione istituzionale. I Comuni sono chiamati a una revisione delle proprie pratiche digitali in chiave di compliance GDPR e di responsabilità verso i cittadini. Non si tratta di abbandonare i social media — che restano strumenti preziosi per la comunicazione di prossimità — ma di usarli con consapevolezza, assegnando a ciascun canale la funzione per cui è realmente adatto.

Articoli Correlati

72e956d6 8f03 48db 9d19 539dde4199a6

Cartelloni pubblicitari in aree vincolate: la tutela paesaggistica prevale sulla concessione demaniale

Il Tar Veneto chiarisce che l’autorizzazione comunale e la disponibilità del bene pubblico non sostituiscono la verifica di compatibilità paesaggistica prevista dal Codice dei beni culturali....
pubblicità comuni

Impianti pubblicitari, il rinnovo passa dalla conferenza di servizi se rilevano profili edilizi o valutazioni discrezionali

Il TAR Sardegna chiarisce che l’autocertificazione a 0 giorni non è applicabile quando il titolo originario assorbe autorizzazioni soggette a nuove verifiche da parte delle amministrazioni competenti....
pec notifiche

PEC infetta da virus, la Cassazione chiarisce: nullità e non inesistenza se la notifica arriva al destinatario

La Suprema Corte di Cassazione distingue tra inesistenza e nullità della notifica a mezzo PEC in caso di infezione da virus del computer del mittente: decisivo il raggiungimento dello scopo...

ANCI Risponde