Lo scorso 8 maggio 2026 Meta ha completato la dismissione della funzione “Privacy Protection” sui messaggi Direct di Instagram
In pratica, la crittografia end-to-end (E2EE) — quella tecnologia che rende illeggibili i messaggi a chiunque si interponga tra mittente e destinatario, compresi i server dell’azienda — non è più disponibile sulla piattaforma. Il protocollo era stato introdotto su Instagram nel 2022 e la sua eliminazione segna un passo indietro sul fronte della riservatezza digitale.
La motivazione ufficiale fornita da Meta è pragmatica: la funzione era usata da una quota marginale di utenti e non era sostenibile mantenere l’infrastruttura dedicata.
Prima della disattivazione, la piattaforma aveva inviato notifiche agli utenti con chat cifrate, invitandoli a scaricare i materiali condivisi. La crittografia end-to-end rimane invece attiva e integrata su WhatsApp, che con miliardi di utenti attivi nel mondo rappresenta ancora l’architrave della strategia di Meta sulla messaggistica privata.
Per le amministrazioni comunali che usano i Direct di Instagram per interagire con i cittadini, questa modifica non è una questione tecnica astratta: è un tema di compliance normativa e di fiducia istituzionale.
IL CONTESTO NORMATIVO: GDPR E COMUNICAZIONI PUBBLICHE
Il Regolamento Generale sulla Protezione dei Dati (GDPR, Reg. UE 2016/679) impone alle pubbliche amministrazioni — in qualità di titolari del trattamento — di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio. Questo principio di “privacy by design” si applica anche alle comunicazioni digitali gestite tramite piattaforme di terze parti.
Quando un funzionario comunale o un amministratore usa i Direct di Instagram per rispondere a un cittadino su questioni anche minimamente personali — la gestione di una pratica, la segnalazione di un disservizio, un appuntamento allo sportello — si crea un trattamento di dati personali.
Il venir meno della crittografia E2EE significa che queste comunicazioni transitano attraverso server di Meta in forma potenzialmente leggibile, ampliando la superficie di rischio per la privacy dei cittadini e la responsabilità dell’ente.
Il Garante per la Protezione dei Dati Personali ha più volte ribadito che l’uso di piattaforme commerciali americane per comunicazioni istituzionali richiede un’attenta valutazione dei rischi, anche alla luce della normativa sui trasferimenti di dati verso Paesi terzi (Capo V del GDPR). La rimozione dell’E2EE su Instagram rafforza la necessità di questa attenzione.
