{"id":30802,"date":"2026-06-29T16:02:34","date_gmt":"2026-06-29T14:02:34","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30802"},"modified":"2026-06-29T16:02:34","modified_gmt":"2026-06-29T14:02:34","slug":"xchat-privacy-security-risks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/xchat-privacy-security-risks\/30802\/","title":{"rendered":"XChat: cosa non va nella nuova app di messaggistica di Elon Musk?"},"content":{"rendered":"

Pavel Durov e la sua app di messaggistica \u201cprivata\u201d hanno un nuovo rivale, ovvero (rullo di tamburi): Elon Musk e il suo XChat. Nel nostro blog abbiamo pi\u00f9 volte discusso del motivo per cui le affermazioni di Durov in merito alla privacy e alla sicurezza di Telegram sono esagerate, per usare un eufemismo<\/a>. Qui mi limiter\u00f2 a ricordare al lettore che le chat standard (non segrete) su Telegram non sono protette dal criptaggio end-to-end, il minimo indispensabile affinch\u00e9 i dati dell\u2019utente rimangano privati.<\/p>\n

Ma torniamo a Musk. Alla fine di aprile 2026 \u00e8 stata lanciata l\u2019app XChat<\/a> per gli utenti iOS. Il magnate della tecnologia pubblicizzava la sua app di messaggistica da molto tempo, proponendola sin dal primo giorno come un modo di comunicare incredibilmente privato e sicuro, diretto concorrente di Signal, WhatsApp, Telegram e iMessage. Oggi vediamo se dobbiamo davvero fidarci delle <s>promesse di Musk<\/s>, ne analizziamo le funzionalit\u00e0 principali e le confrontiamo con la concorrenza.<\/p>\n

Criptaggio in stile Bitcoin<\/h2>\n

Musk ha annunciato XChat il 1\u00b0 giugno 2025<\/a>, naturalmente tramite il suo account X (ex Twitter). Rispondendo alla domanda di un altro utente su quando aspettarsi la nuova app, Musk scriveva: \u201cQuesta settimana, se non ci sono problemi di scaling del servizio\u201d.<\/p>\n

A quanto pare, i problemi di scaling del servizio ci sono stati: la beta dell\u2019app \u00e8 stata rilasciata solo a settembre 2025<\/a> e gli utenti iOS non hanno ottenuto l\u2019accesso completo prima di aprile 2026. Per quanto riguarda Android, non ci sono informazioni su alcun prossimo lancio al momento della stesura di questo articolo. Una pagina XChat \u00e8 comunque presente su Google Play<\/a> e gli utenti possono <s>fare la fila<\/s> per \u201cpre-registrarsi\u201d (qualunque cosa significhi).<\/p>\n

Ma torniamo al post di Musk che annunciava XChat. Quello specifico post ha attirato molta attenzione nella comunit\u00e0 della privacy e della sicurezza informatica, ed ecco spiegato perch\u00e9: il magnate della tecnologia aveva scritto che il servizio sarebbe stato basato su una \u201carchitettura completamente nuova\u201d, scritta in Rust e dotata di \u201ccriptaggio in stile Bitcoin\u201d.<\/p>\n

\"L'annuncio

Elon Musk annuncia il lancio di XChat sostenendo che la nuova app di messaggistica \u00e8 scritta in Rust e usa il \u201ccriptaggio in stile Bitcoin\u201d. Fonte <\/a><\/p><\/div>\n

La comunit\u00e0 di esperti si \u00e8 spesa nel cercare di capire cosa volesse dire Musk. Dopotutto, Bitcoin non \u00e8 un sistema di scambio di dati anonimo e con criptaggio dei dati. La blockchain usa chiavi crittografiche pubbliche e private, ma per qualcosa di completamente diverso, ovvero la firma delle transazioni. E queste stesse transazioni non sono nascoste da occhi indiscreti, anzi, sono allo scoperto per essere visti da chiunque, per sempre. In poche parole, Bitcoin protegge i propri utenti non garantendo la privacy ma facendo proprio il contrario, cio\u00e8 adottando la massima trasparenza.<\/p>\n

Molto probabilmente, Musk ha usato il \u201ccriptaggio in stile Bitcoin\u201d come espediente di marketing<\/a>. Bitcoin era scambiato vicino ai massimi storici al momento di questo annuncio e la criptovaluta era sulla bocca di tutti. Tecnicamente, la beta di XChat rilasciata a settembre 2025 proteggeva le chat degli utenti con un criptaggio end-to-end di sorta, ma implementato in un modo che ha sollevato seri dubbi tra gli esperti di criptaggio<\/a>.<\/p>\n

E non senza un motivo. In genere, la configurazione di una chat criptata end-to-end genera automaticamente una coppia di chiavi, pubblica e privata. La chiave pubblica viene usata per criptare i messaggi, quella privata per decriptarli. Poich\u00e9 gli altri utenti hanno bisogno della chiave pubblica per avviare una chat protetta con l\u2019utente, queste chiavi vengono in genere archiviate nei server dell\u2019app.<\/p>\n

La chiave privata, tuttavia, dovrebbe idealmente risiedere solo nel dispositivo dell\u2019utente, che \u00e8 esattamente il modo in cui Signal esegue questa operazione. Questo fa da semplice e ferrea garanzia che n\u00e9 l\u2019azienda stessa n\u00e9 terze parti che violassero la sua infrastruttura possono accedere alle chat degli utenti, pur volendolo.<\/p>\n

Ma i progetti di Elon Musk marciano sempre al ritmo del proprio tamburo: gli sviluppatori XChat hanno deciso che sarebbe stata un\u2019ottima idea memorizzare le chiavi private degli utenti sui server XChat. Pertanto affermano che, per archiviare queste chiavi private, X user\u00e0 i moduli di protezione hardware (HSM), ovvero dispositivi specializzati pensati per impedire persino al proprietario del sistema di accedere facilmente ai dati all\u2019interno. Tuttavia, molti esperti del settore mettono in dubbio<\/a> l\u2019affidabilit\u00e0 di questa configurazione e stanno pervenendo a una triste conclusione: se X desidera davvero ottenere la chiave privata di un utente, molto probabilmente l\u2019otterr\u00e0.<\/p>\n

Come funziona nella pratica la messaggistica criptata in XChat<\/h2>\n

Una volta risolti i problemi di scaling<\/em> a quasi un anno dall\u2019annuncio, X ha lanciato ufficialmente l\u2019app XChat per iOS nell\u2019aprile 2026. Adesso chiunque pu\u00f2 usarla, ma da un punto di vista pratico la situazione con le chat criptate sembra pi\u00f9 contorta che in Telegram.<\/p>\n

Secondo il centro assistenza del social network<\/a>, per usare il criptaggio chat end-to-end in XChat, entrambi gli utenti devono disporre di un account X, configurare XChat e avere instaurato qualche tipo di connessione tra loro:<\/p>\n