Apple rimuove Max Messenger, la super-app russa sorvegliata dal Cremlino

L'architettura dell'app è ciò che ha allarmato i difensori della privacy e i ricercatori di sicurezza. Le preoccupazioni principali sono fondamentali e interconnesse:

• Nessuna crittografia end-to-end: A differenza di WhatsApp o Signal, Max non offre la crittografia end-to-end per i suoi messaggi. Ciò significa che le comunicazioni non sono codificate in modo che solo mittente e destinatario possano leggerle; il contenuto è accessibile lato server. I difensori dei diritti e gli esperti di cybersicurezza hanno ripetutamente avvertito che questo rende l'app un potente strumento di sorveglianza statale, lasciando tutti i dati che vi transitano effettivamente "nelle mani dello stato russo" .
• Archiviazione esclusiva dei dati in Russia: Tutti i dati degli utenti sono memorizzati esclusivamente su server in Russia, il che li sottopone alle leggi di sorveglianza domestica come il "pacchetto Yarovaya", che richiede agli operatori di telecomunicazioni e ai servizi di messaggistica di consegnare contenuti, metadati e capacità di decrittazione ai servizi di sicurezza .
• Raccolta estensiva di dati: Analisi indipendenti del codice hanno documentato le ampie funzionalità di sorveglianza dell'app. È stato scoperto che raccoglie geolocalizzazione, intere rubriche, contenuti degli appunti, un elenco di app installate e bozze di messaggi, e può attivare regolarmente la fotocamera. Questi dati vengono inviati a server russi e il sistema sarebbe collegato al sistema SORM, una rete gestita dallo stato per la sorveglianza delle forze dell'ordine . Un esperto IT ha definito l'app "letteralmente una spia, una spia personalizzata che ti dice dove sei stato" .
• Registrazione limitata: L'accesso all'app è controllato fin dall'inizio. La registrazione richiede un numero di telefono russo o bielorusso, che è collegato a un documento d'identità rilasciato dal governo, eliminando ogni possibilità di anonimato .

Un'etichetta di Spyware e una rapida inversione di marcia

Le preoccupazioni per la sicurezza hanno raggiunto un nuovo livello di visibilità pubblica il 30 aprile 2026, quando il sistema di categorizzazione dei domini di Cloudflare, Cloudflare Radar, ha contrassegnato i domini di Max (max.ru e web.max.ru) con un'etichetta di "spyware". Questa classificazione ha fatto sì che i browser e i firewall aziendali che utilizzano il filtraggio di Cloudflare segnalassero il sito come non sicuro, trattandolo come un dominio impegnato nella raccolta occulta di dati e nel tracciamento degli utenti .

Gli sviluppatori di Max hanno immediatamente respinto l'etichetta, affermando che era stata causata da una "interpretazione errata delle intestazioni delle richieste ai normali servizi di web analytics" e non da un'analisi del codice dell'app . Il giorno successivo, il 1° maggio, Cloudflare ha rimosso l'etichetta di spyware, riclassificando la risorsa semplicemente come un messenger . In una sovrapposizione confusa, un rapporto indicava che un avviso di "malignità" rimaneva visibile in un rapporto di scansione storico, ma non era una designazione attiva, mentre un'altra fonte sosteneva in seguito che la classificazione spyware era stata ripristinata . L'episodio, per quanto breve, ha cementato la reputazione dell'app come rischio per la sicurezza nella mente di molti potenziali utenti e organizzazioni.

L'obbligo di Mosca e la stretta sui rivali crittografati

La rimozione di Max da parte di Apple non è avvenuta nel vuoto. È stata l'ultima mossa in una battaglia ad alto rischio per il controllo dell'infrastruttura di comunicazione in Russia. Dal 1° settembre 2025, è in vigore una legge russa che richiede che Max sia preinstallato su tutti i nuovi smartphone e tablet venduti nel paese . Questo mandato impone l'app sui dispositivi di ogni cittadino che acquista un nuovo telefono.

Contemporaneamente, l'ente regolatore delle comunicazioni russo, Roskomnadzor, ha sistematicamente rallentato e bloccato le piattaforme di messaggistica crittografate straniere che i russi usavano da anni. Le restrizioni su WhatsApp e Telegram si sono intensificate fino a quando WhatsApp non è stato completamente bloccato in Russia all'inizio del 2026, una mossa ampiamente interpretata come una strategia per convogliare l'intera base di utenti verso l'alternativa statale e non crittografata . Al momento della rimozione di Max dall'App Store, era la nona app più scaricata in Russia, mentre gli altri nove posti nella top ten erano occupati da servizi VPN, strumenti che i russi usano per aggirare la censura statale .

L'obiettivo di Mosca è chiaro: costruire un ecosistema di comunicazioni completamente controllabile. Come ha affermato un'analisi, il piano è quello di sostituire un messenger globale con crittografia end-to-end con un ecosistema domestico che le autorità possano monitorare completamente, incentrato sulla super-app Max e sull'architettura dell'internet sovrana russa .

Una rimozione silenziosa con un messaggio forte

Apple non ha commentato il motivo esatto per cui ha eliminato l'app. L'azienda potrebbe essere stata motivata dalla violazione delle sue politiche sulla privacy e la sicurezza, dal peso delle prove provenienti da analisi indipendenti del codice, dalla designazione pubblica di spyware da parte di Cloudflare, o da una combinazione di tutti questi fattori. Ciò che è chiaro è che la rimozione ha conseguenze immediate e pratiche: congela di fatto l'adozione di Max da parte dei nuovi utenti iPhone in Russia e paralizza una funzionalità fondamentale per la sua massiccia base di utenti esistente .

L'eliminazione è un atto singolare che taglia il rumore di fondo: un gatekeeper di una piattaforma globale si rifiuta di ospitare quello che i critici descrivono come un sistema di sorveglianza sponsorizzato dallo stato, anche di fronte a un determinato mandato del Cremlino.