Un’estensione barzelletta e cade Chat Control! Houston, abbiamo un problema… di privacy

Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansione dei messaggi privati su WhatsApp, Telegram, Gmail e simili. Nobile proposito nella teoria. Ma nella pratica vuol dire che qualsiasi messaggio che scrivi online potrebbe essere letto e analizzato da sistemi automatici, con conseguenze reali e immediate per la privacy di tutti. E poiché nessun sistema è inviolabile, possiamo farci due conti sul rischio che corriamo.

Per l’utente comune le conseguenze sono semplici ma concrete:

• Ogni messaggio diventa potenzialmente visibile a un algoritmo che lo valuta e lo categorizza.
• Le piattaforme dovranno introdurre strumenti di scansione, con errori e falsi positivi che possono portare a blocchi o sospensioni ingiustificati.
• La fiducia nelle chat private crolla: niente è più davvero “solo tra te e l’altro”.

E tutto questo mentre chi vuole davvero nascondersi non è il vicino timido – sono criminali, pedofili, terroristi ed estremisti politici pronti a usare qualsiasi mezzo per restare invisibili. Queste categorie continueranno a usare crittografia custom e canali offuscati; Chat Control finirà per colpire i cittadini onesti, lasciando impuniti i malintenzionati. 

Aprirà backdoor e vulnerabilità sfruttabili da differenti categorie di malintenzionati dotati della giusta combinazione di competenze e motivazione.

Il risultato? Un sistema goffo, costoso, inefficace e potenzialmente dannoso per miliardi di utenti.

L’illusione del controllo

La narrativa ufficiale è semplice: costringiamo le Big Tech a inserire scanner automatici dei contenuti ovunque. “Niente più segreti, niente più abusi”. Un claim coinvolgente. Peccato che non funzioni così. Puoi obbligare una piattaforma a installare scanner, ma non puoi impedire a due persone determinate di criptare i loro messaggi sopra qualsiasi servizio. La crittografia non è un optional che si elimina con un intervento normativo.

Come dicevano i Cypherpunk nel 1993: “La privacy è necessaria per una società aperta nell’era elettronica. Non possiamo aspettarci che governi, aziende o altre grandi organizzazioni ci diano la privacy come un regalo.”

Serve una prova pratica? Eccola: https://github.com/F00-Corp/Asocial

Come ho creato un’estensione in un pomeriggio.

Ho preso Cursor, ho rifiutato di scrivere codice a mano e in poche ore ho sfornato un’estensione Chrome che cripta e decripta testi ovunque: LinkedIn, Reddit, Gmail, Twitter.

Funziona così:

• Scrivi un messaggio in un campo di testo;
• Premi Ctrl+Shift+E e guarda il tuo messaggio trasformarsi in un blob indecifrabile. Solo chi ha la chiave giusta potrà leggerlo. Addio, Grande Fratello europeo;
• L’estensione usa ECIES per l’incapsulamento delle chiavi con chiavi effimere per messaggio e AES-256-GCM per cifrare il payload. Le chiavi e i metadati restano locali, lo scambio avviene via JSON copy/paste;
• Pubblica il blob su qualunque social o campo testuale;
• Il destinatario importa la chiave e legge il messaggio originale, pulito e sicuro.

Dal punto di vista della piattaforma quel contenuto è solo rumore casuale. Buona fortuna a “scannerizzarlo”. Tutto diventa più costoso, non impossibile. Non si ostacola, ma almeno si aumenta l’effort anche per chi vorrebbe impiegare backdoor o vulnerabilità che saranno inevitabilmente generate da questo nuovo sistema di controllo.

La strategia di cypher squatting: occupare lo spazio, gratis e con stile

Non è solo crittografia, è strategia. Facciamo cypher squatting: usiamo qualsiasi piattaforma disponibile, gratuitamente, come canale per i nostri messaggi privati. Post, commenti, bio, descrizioni, paste su forum abbandonati, immagini con blob nei metadati – qualsiasi cosa che la piattaforma ospiti e non richieda server nostro. Noi non regaliamo i nostri pensieri, le nostre emozioni o le nostre parole a chi ci ospita. Lo facciamo intenzionalmente perché possiamo.

Perché funziona:

• Le piattaforme trattano quei blob come contenuto legittimo di utenti. Bloccarli in massa significherebbe rompere interi flussi di servizio e di business.
• Non serve infrastruttura aggiuntiva: usi lo storage pubblico della piattaforma come ponte.
• È resiliente: se un canale viene chiuso, se ne usa un altro. Ridondanza gratuita.

Questa non è una pretesa di eroismo, ma applicazione pragmatica di civiltà digitale. Rivendichi ciò che ti appartiene e lo chiudi con un lucchetto matematico prima di offrirlo alla piattaforma.

Perché è alla portata di chiunque

• Usa solo API standard di WebCrypto.
• Nessun server centrale necessario.
• Scambio chiavi con copy/paste semplice.

Se sai premere Ctrl+Shift+E, puoi proteggere le tue chat. Non serve essere un genio della NSA. L’Europa? Può solo guardare impotente. È software libero, è matematica, ed è replicabile in mille varianti.

Come scriveva The Mentor nel Hacker Manifesto: “Questo è il nostro mondo ora… il mondo dell’elettrone e dello switch, la bellezza del baud.”

I sistemi come Chat Control? Non potranno mai vincere contro un mondo che non si può controllare.

Mini panel tecnico (per non tecnici)

• Crittografia dei messaggi: ECIES (Elliptic Curve Integrated Encryption Scheme)
  
  • Chiavi effimere per ogni messaggio per garantire forward secrecy
  • AES-256-GCM cifra il testo e garantisce integrità
    
• Gestione delle chiavi: tutto locale
  
  • File delle chiavi cifrato con password usando PBKDF2 + AES-256-GCM
  • Ogni chiave memorizzata è cifrata separatamente
    
• Magic Codes: identificatori a 7 caratteri per trovare rapidamente le chiavi
• Nessuna rete coinvolta: tutte le operazioni avvengono sul tuo computer

In breve: i messaggi sono cifrati con ECIES + AES-GCM, le chiavi sono protette sul dispositivo, e ogni messaggio usa una chiave temporanea. Nessuno, piattaforma o governo, può leggere i contenuti senza acquisire la chiave corretta. Attenzione: non è un cheat code di invulnerabilità.

L’elefante nella stanza

Se l’UE volesse veramente fermare questo approccio dovrebbe vietare:

• AES, RSA, Curve25519 e tutto ciò che protegge VPN, pagamenti online e comunicazioni.
• L’uso di testo apparentemente casuale su rete pubblica (ciao ciao HTTPS).

In pratica dovremmo tornare all’era dei modem 56k oppure bisognerebbe vietare l’elettricità e il pensiero indipendente. Buona fortuna con quello.

La morale

Il Chat Control è stato venduto politicamente con un: “proteggiamo i bambini”. Ma è tecnicamente ridicolo: la crittografia è open source, riproducibile, e impossibile da cancellare.

Il risultato concreto è quel disastro annunciato già da parte di attivisti purtroppo inascoltati o ascoltati solo all’interno delle proprie bolle informative: sistemi insicuri per miliardi di utenti onesti, mentre i criminali veri – pedofili, terroristi ed estremisti – continueranno a operare indisturbati con pochi accorgimenti tecnici. 

Oppure, come nel mio caso, con Ctrl+Shift+E e un po’ di cypher squatting. Pensate se ci si prenderà più di un pomeriggio. Come dice Morpheus in Matrix: “The Matrix is a system, Neo. That system is our enemy.” Il Chat Control è lo stesso sistema.

Cosa vogliamo da chi legge

Rifiutarsi di subire passivamente le invasioni della propria sfera personale è un bene. La privacy non è un optional ma un diritto umano fondamentale. Esprime il diritto di esistere senza etichette, di esprimersi senza essere categorizzati, indicizzati o manipolati. Finanche il diritto di poter essere nessuno. Quell’autodeterminazione informativa che purtroppo stiamo dimenticando per effetto di narrazioni confondenti.

Questa dimostrazione pratica dimostra una cosa semplice: difendersi da tecnologie di controllo invasive è molto più semplice di quanto si pensi. Mantenere IGIENE DEI DATI online e offline è un must-have: qualsiasi informazione che non volete pubblica non deve esistere in forma digitale. MAI.

Se l’estensione vi interessa, il repository su GitHub è pubblico – clonatelo, espandetelo, integrate le vostre idee e, se vi va, fatemi sapere cosa state combinando. Si tratta di uno spunto, forse una provocazione, un divertessiment di ricerca scientifica. Qualcosa che ho voluto però condividere.

Resistete, criptate e fate della privacy un’abitudine e non un optional teatrale.

Disclaimer: l’articolo è stato riletto e approvato da L4wCyph3r per evitare fraintendimenti.

My key:

{
"name": "Rev-X-000 - Asocial-Publish",
"privateKey": "MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgUEWKwTHz6RFObEwteDKq7zV1UFrSn+oPx9w23+6cJGyhRANCAASLPO0eZUeSm0jO78Y0lTrXF9StQRp/A7zvs8RTdlHndwq/74kHFOs9mfamB1lwf6/Zs6bAmv9BbfugMt2EXmwL",
"magicCode": "O4GS484",
"type": "reader",
"exportedAt": "2025-09-28T19:33:01.384Z"
}

Can you read this?

[ASOCIAL O4GS484] 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

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sergio Corpettini

Nomade senza fissa dimora fisica o digitale, curioso esploratore degli anfratti cyber e reali. Cialtrone ad alto rendimento. Occasionalmente sa di cosa sta parlando ma se lo prendete sul serio sarà il primo a deridervi.