Zoom ha vissuto un vero e proprio exploit durante i lockdown di primavera: dai 10 milioni di utenti attivi di dicembre 2019 si è passati ai 300 milioni di aprile 2020. Ma la popolarità dell’applicazione di videochat è stata macchiata dalle molte notizie di hackeraggi e falle riguardanti al crittografia dei dati, non assicurata su tutti i passaggi che intercorrono fra utente e utente. Al contrario di quanto dichiarato sul sito Web dell’applicazione, questa non assicurava una crittografia completa in tutte le fasi della comunicazione, bensì prevedeva la conservazione dei dati in chiaro sui server di Zoom

La contraddizione non è sfuggita alla Federal Trade Commission, che ha avviato un’indagine stabilendo con un’accusa formale che almeno dal 2016 Zoom avrebbe ingannato i suoi utenti lasciando credere di applicare una “crittografia a 256 bit end-to-end” mentre in realtà, teoricamente, i gestori della piattaforma avrebbero potuto visionare i contenuti testuali, audio e video veicolati da Zoom. 

L’azienda aveva già ammesso il problema e si era giustificata spiegando che la specifica “end-to-end” si riferiva alla cifratura della connessione “da un end point Zoom e a un altro end point Zoom”, e non al momento di transito nel cloud. Sofismi che evidentemente non hanno soddisfatto la Ftc. L’ente watchdog statunitense faceva notare come Zoom potesse, teoricamente, usare le chiavi crittografiche in suo possesso per spiare le conversazioni degli utenti. A questo problema si aggiungeva quello di eventuali hackeraggi, che avrebbero portato a violazioni di privacy (anche di dati aziendali, considerando che l’app viene usata per riunioni e lavoro a distanza oltre che per le chiacchiere tra amici e parenti).

Ora però le due parti hanno siglato un accordo che mette fine alla procedura legale. Zoom si impegna a mettere in pista un solido programma di rafforzamento della sicurezza, attività peraltro già cominciata con la progressiva introduzione (prima per gli utenti premium, poi per tutti) di una vera crittografia end-to-end. Al momento quest’ultima è stata applicata a tutte le sessioni di Zoom con tetto massimo di 200 partecipanti; le prossime fasi prevederanno, dal 2021, l’introduzione di una migliore gestione delle identità e del supporto per l’autenticazione single sign-on (quella che permette di sfruttare le medesime credenziali di login per diverse applicazioni Web).

“L’accordo di oggi con la Ftc si combina con il nostro impegno a innovare e migliorare il nostro prodotto, offrendo un’esperienza di comunicazione video sicura”, ha dichiarato Zoom in una risposta scritta a The Verge. In base all’accordo, la società d’ora in poi ha il divieto di “dare false rappresentazione delle sue pratiche di privacy e di sicurezza”, incluse quelle relative alla raccolta dei dati personali degli utenti. Zoom, inoltre, si impegna a sottoporsi ogni due anni ai controlli di un revisore esterno e a notificare prontamente eventuali data breach.