31 Luglio 2021 – 0:44

“Usate Signal”. È bastato un tweet di Elon Musk per fare uscire dall’ombra l’app di messaggistica istantanea Signal, fino a quel momento usata solo dagli utenti più attenti alla privacy. Era la metà gennaio del 2021 e Whatsapp (di proprietà di Facebook) aveva appena annunciato un criticatissimo cambiamento nel regolamento dei termini d’utilizzo e nello scambio di dati con il social network, scatenando infinite polemiche e spingendo Musk a promuovere la piattaforma “pro-privacy”.

Nel giro di pochi giorni, Signal scalò le classifiche degli app store e raggiunse un numero di utenti non divulgato ma che si stima sia arrivato a 40 milioni circa. Ancora poco in confronto ai 400 milioni di Telegram e i 2 miliardi di Whatsapp, ma un numero comunque indicativo dell’attenzione sempre crescente nei confronti della privacy, di cui Signal, nel suo settore, è l’indiscusso campione.

Signal è infatti l’unica piattaforma che non raccoglie alcun dato sui suoi utenti. Perfino il celebrato Telegram – oltre a non cifrare di default le comunicazioni – raccoglie tre tipi diversi di dati sugli utenti, Whatsapp (nonostante abbia adottato le comunicazioni cifrate) arriva a 9 e Messenger fino a 14. Che cosa significa che Signal ne raccoglie invece zero? Un esempio può aiutare: nel 2016, l’FBI citò in giudizio Signal obbligandola a cedere i dati che possedeva su un suo utente. Tutto ciò che la piattaforma fu in grado di fornire fu la data di registrazione di quell’utente e l’ora dell’ultimo accesso. Niente di più: né rubrica, né telefonate, né luoghi o durata delle stesse, nulla di nulla.

Una vittoria per Moxie Marlinspike, fondatore di Signal e persona talmente dedita alla privacy da non aver mai divulgato, nel corso delle interviste rilasciate, la sua data di nascita, il suo vero nome (Moxie è un soprannome), la sua città d’origine e altro ancora. Nato nei primi anni ’80 da qualche parte in Georgia, sud degli Stati Uniti, ha passato la gioventù immerso nella letteratura anarchica, partecipando anche attivamente a comunità e movimenti politici libertari di sinistra. Una passione politica che si sposa perfettamente con quella per la privacy e la sicurezza informatica, che fiorisce invece attorno al 1995, quando Marlinspike vede per la prima volta il classico film “Hackers”, in cui degli adolescenti hacker vengono incastrati da un esperto di sicurezza al soldo di una grande corporation.

Sul finire degli anni ’90 Moxie si trasferisce a San Francisco, dove pochi giorni dopo il suo arrivo trova lavora nella oggi scomparsa software company WebLogic. Giunto nel cuore tecnologico degli Stati Uniti, Marlinspike assiste in prima persona ai cambiamenti che stanno avvenendo nella comunità hacker, che si divide in “black hat” (gli hacker “cattivi” che cercando di penetrare gli scudi informatici) e quelli “white hat” (ricercatori o dipendenti delle grandi aziende). Parlando con il New Yorker, Moxie dice che è in quel periodo che si rende conto che “l’unico colore degli hacker, col senno di poi, era il verde”. Il colore dei dollari: ciò che motivava ciascuno di loro.

Abbandonato il lavoro dopo qualche tempo, Moxie si dedica al trekking e a gironzolare per gli Stati Uniti vivendo in appartamenti occupati e spendendo il minimo possibile. Progetta un sito internet in cui è possibile indicizzare i libri di casa e scambiarli di persona con gli altri utenti (la Distributed Library) e si avventura in un giro di due mesi da solo su una barca col motore rotto. Nel 2002 avviene la sua prima grande scoperta nel campo della sicurezza informatica: Moxie scopre una grossa vulnerabilità di Internet Explorer (il vecchio browser di Microsoft) e la pubblica sul suo blog personale, permettendo ad altri operatori di controllare di essere al riparo da questa stessa minaccia.

Nel 2009, mentre vive a Pittsburgh, scopre un’altra vulnerabilità che colpisce quasi ogni browser e permette di sottrarre dati e manipolare le comunicazioni. Poco dopo diffonde pubblicamente uno strumento noto come SSLstrip, che consente a chiunque di dare vita a questo attacco e quindi a tutti gli operatori online di verificare la propria sicurezza e progettare eventualmente le necessarie difese. SSLstrip viene presentato durante l’importante conferenza annuale Black Hat di Washington e trasforma Marlinspike in un celebrato esperto del settore, corteggiato da importanti realtà del settore.

Fonda invece una sua startup con il socio Stuart Anderson, Whisper System, specializzata in comunicazioni cifrate. Poco tempo dopo la venderà a Twitter per una cifra non nota (“Non avevo mai visto così tanti soldi, ma questo significa poco”, si limiterà a dire) e lavorerà alla corte di Jack Dorsey per qualche tempo, prima di abbandonare Twitter nel 2013 (rinunciando a un milione di dollari di premio economico) e di lanciare la non-profit Open Whisper System. Qui Marlinspike crea il protocollo TextSecure, che permette di comunicare tramite applicazioni su smartphone senza che nessuno possa intercettare le comunicazioni. È un’applicazione della end-to-end encryption che viene col tempo adottata da WhatsApp, Skype e altre ancora.

Ed è anche il sistema adottato da Signal, che nasce nel 2014 e si impone presto come il più sicuro tra i sistemi di sicurezza, gestito inoltre da una fondazione no-profit finanziata esclusivamente tramite donazioni (e un prestito senza interessi da 50 milioni di dollari elargito da Brian Acton, fondatore di WhatsApp che da qualche tempo si è unito a Marlinspike). Campione della privacy, Marlinspike è però considerato da governi e forze dell’ordine una persona che, di fatto, aiuta i criminali a restare nell’ombra, proteggendo le loro comunicazioni e impedendo a chi indaga di accedere a informazioni cruciali. È davvero così?

Certamente uno spacciatore o un qualunque criminale può avvantaggiarsi della crittografia. Così come se ne avvantaggiano dissidenti che in Myanmar o a Hong Kong si ribellano a governi autoritari, giornalisti che comunicano con le fonti per svelare corruzione e scandali, lavoratori che danno vita a sindacati di nascosto. Per capirci, Signal è utilizzato dallo staff della Commissione Europea proprio per la sicurezza garantita. La stessa privacy che, come ha spiegato Moxie, permette alla società di progredire: sarebbe stato possibile far avanzare i diritti civili (per esempio, il matrimonio gay) in una società in cui è impossibile parlare di questi temi in sicurezza?

Anche nel privato delle mura di casa potrebbero commettersi crimini, questo significa che dobbiamo tutti montare videocamere con cui le forze dell’ordine possono spiarci anche nelle nostre camere da letto? “In un certo senso, ho l’impressione che Signal stia solo cercando di far tornare internet alla normalità”, ha spiegato Moxie sempre al New Yorker. Ma questa, come noto, è un’impresa eccezionale.

