chat control europa parlamento

Chat Control torna in Europa, ma non è ancora legge: la privacy resta in bilico

Era già scritto che avremmo potuto perdere. Matrice Digitale ha raccontato per anni il tentativo di introdurre nell’Unione Europea un sistema capace di esaminare preventivamente le comunicazioni private, anche quando protette dalla crittografia end-to-end, con la speranza che il Parlamento europeo difendesse fino in fondo quei principi di democrazia, riservatezza e proporzionalità che Bruxelles rivendica come elementi distintivi rispetto ai regimi autoritari. La vicenda, tuttavia, richiede una precisazione indispensabile: Chat Control non è stato definitivamente approvato e, al 14 luglio 2026, non è ancora una legge in vigore. Il Parlamento europeo ha riaperto la strada alla possibile riattivazione della deroga alle norme ePrivacy, ma ha anche introdotto un’esclusione esplicita per le comunicazioni alle quali sia stata, venga o verrà applicata la crittografia end-to-end. La posizione emendata deve ora tornare al Consiglio dell’Unione Europea. Quest’ultimo ha tre mesi per accettarla integralmente oppure respingerne, anche solo in parte, le modifiche. Nel secondo caso si aprirà una procedura di conciliazione. L’Osservatorio legislativo del Parlamento indica infatti che il dossier è ancora “in attesa della decisione del Consiglio in seconda lettura”. È quindi corretto parlare di una riabilitazione politica e procedurale di Chat Control, non di una sua entrata in vigore. È tornata percorribile l’architettura giuridica che consente il controllo preventivo delle comunicazioni, ma non esiste ancora un testo definitivo, pubblicato nella Gazzetta ufficiale dell’Unione Europea e vincolante negli Stati membri.

La distinzione non è un cavillo. È il punto dal quale bisogna partire per comprendere quanto sia avanzato il progetto, quali siano le garanzie introdotte e perché il pericolo per la riservatezza delle comunicazioni non possa considerarsi superato.

La riabilitazione di Chat Control non equivale alla sua approvazione

Annuncio

La storia più recente comincia con il regolamento europeo 2021/1232, una misura temporanea che introduceva una deroga ad alcune disposizioni della direttiva ePrivacy. La deroga consentiva ai fornitori di servizi di comunicazione interpersonale, come webmail e piattaforme di messaggistica, di utilizzare volontariamente tecnologie per individuare materiale relativo agli abusi sessuali sui minori, segnalarlo alle autorità o alle organizzazioni specializzate e rimuoverlo dai propri servizi. Il regolamento era stato prorogato fino al 3 aprile 2026. Il 19 dicembre 2025 la Commissione europea aveva proposto di estenderlo di altri due anni, fino al 3 aprile 2028, in attesa dell’approvazione del regolamento permanente contro gli abusi sessuali sui minori online. L’11 marzo 2026 il Parlamento europeo aveva sostenuto una proroga più breve, fino al 3 agosto 2027, accompagnandola con condizioni più restrittive e con la richiesta di autorizzazioni giudiziarie. Il testo era passato con 458 voti favorevoli, 103 contrari e 63 astensioni. Le trattative con il Consiglio non avevano però prodotto un accordo. Il 26 marzo il Parlamento aveva quindi respinto la proposta di proroga con 228 voti favorevoli, 311 contrari e 92 astensioni. La deroga era scaduta il 3 aprile 2026, aprendo un vuoto normativo a livello europeo. Il Consiglio ha rimesso in moto il procedimento il 2 luglio, presentando una propria posizione in prima lettura. Quel testo avrebbe sostanzialmente riattivato la deroga scaduta, permettendo nuovamente ai provider di effettuare scansioni volontarie fino al 3 aprile 2028.

Il 9 luglio il Parlamento si è trovato davanti a una procedura particolarmente complessa. In seconda lettura serviva la maggioranza assoluta dei componenti, pari a 360 voti, per respingere o modificare la posizione del Consiglio. Una maggioranza semplice di eurodeputati ha inizialmente votato per il rigetto, con 314 favorevoli, 276 contrari e 17 astensioni, senza tuttavia raggiungere la soglia richiesta.

Il Parlamento ha poi approvato alcuni emendamenti, il più importante dei quali esclude dall’ambito della deroga “le comunicazioni alle quali la crittografia end-to-end è stata, viene o verrà applicata”. Non essendoci stata una maggioranza per respingere la posizione così emendata, la seconda lettura parlamentare si è chiusa.

Il risultato è una situazione intermedia:

Chat Control non è attualmente una legge operativa; la deroga europea è scaduta; il nuovo testo non è definitivo; il Consiglio deve ancora decidere se accettare la protezione esplicita della crittografia end-to-end voluta dal Parlamento. Se il Consiglio accetterà tutti gli emendamenti, il regolamento potrà essere adottato e pubblicato. Se non li accetterà, Parlamento e Consiglio dovranno cercare un compromesso attraverso il comitato di conciliazione.

Le piattaforme non sarebbero obbligate a scansionare i messaggi

Un’altra precisazione è necessaria per non trasformare una minaccia reale in una ricostruzione tecnicamente inesatta. La deroga temporanea non impone a WhatsApp, Signal, Telegram o agli altri fornitori di controllare tutte le comunicazioni degli utenti. Essa permette ai provider di utilizzare volontariamente determinati strumenti di rilevazione, offrendo una deroga alle regole sulla riservatezza delle comunicazioni previste dalla direttiva ePrivacy. Non è quindi corretto sostenere che ogni messaggio verrebbe automaticamente consegnato alla polizia europea prima di essere inviato. Il meccanismo autorizzerebbe i fornitori che decidessero di aderire a trattare contenuti e dati di traffico, individuare corrispondenze o comportamenti sospetti e trasmettere le segnalazioni ritenute fondate. La volontarietà riguarda però la decisione iniziale della piattaforma. Una volta scelto di utilizzare questi sistemi, il provider dovrebbe rispettare condizioni, controlli e obblighi previsti dal regolamento.

La posizione del Consiglio contempla la scansione di immagini, video, testi e dati di traffico. Le tecnologie indicate comprendono sistemi di hashing, classificatori e strumenti di intelligenza artificiale. L’hashing confronta la firma digitale non reversibile di un’immagine o di un video con quelle contenute in archivi di materiale già verificato. I classificatori e i modelli automatizzati potrebbero invece essere impiegati per cercare materiale non ancora conosciuto o schemi riconducibili all’adescamento di minori. Il testo del Consiglio esclude la scansione delle comunicazioni audio e richiede che il trattamento sia strettamente necessario, proporzionato e limitato ai dati indispensabili. Prevede inoltre una valutazione preventiva di impatto sulla protezione dei dati, la consultazione delle autorità competenti, meccanismi di ricorso per gli utenti e la cancellazione dei dati quando non siano più necessari.

I contenuti non precedentemente identificati come CSAM e le conversazioni sospettate di grooming dovrebbero essere sottoposti a conferma umana prima della segnalazione. I dati relativi a un sospetto verificato potrebbero essere conservati per il tempo strettamente necessario e, in ogni caso, generalmente non oltre dodici mesi. Queste salvaguardie esistono e devono essere riportate. Ma non cancellano il problema originario: per individuare un contenuto privato bisogna comunque analizzarlo, automaticamente o manualmente. La presenza di una finalità legittima e di un controllo umano non elimina l’interferenza con la riservatezza, ma prova a renderla giuridicamente sostenibile. Lo stesso Consiglio riconosce nel proprio testo che la rilevazione volontaria costituisce un’interferenza con i diritti alla vita privata e alla protezione dei dati di tutti gli utenti. Aggiunge che un controllo generale e indiscriminato delle comunicazioni interferirebbe con il diritto alla loro confidenzialità.

La crittografia end-to-end è il vero terreno dello scontro

La questione centrale non è soltanto se una piattaforma possa leggere un messaggio dopo averlo ricevuto. Il nodo è dove e quando avviene la scansione. La crittografia end-to-end protegge una comunicazione dal dispositivo del mittente a quello del destinatario. Nessun soggetto intermedio, compreso il gestore del servizio, dovrebbe essere in grado di leggere il contenuto in chiaro. Signal dichiara che tutte le proprie conversazioni sono sempre protette dalla crittografia end-to-end. WhatsApp applica la protezione alle conversazioni e alle chiamate personali. Telegram presenta invece un’architettura diversa: le normali chat cloud utilizzano una cifratura tra client e server, mentre soltanto le cosiddette Secret Chat adottano la crittografia end-to-end. Per aggirare l’impossibilità di leggere il contenuto durante il transito, alcune proposte hanno ipotizzato la scansione sul dispositivo, spesso indicata come client-side scanning o upload moderation. Il software controllerebbe il messaggio, l’immagine o il video prima della cifratura oppure immediatamente dopo la decifratura sul dispositivo del destinatario.

image 353
Chat Control torna in Europa, ma non è ancora legge: la privacy resta in bilico 5
image 354
Chat Control torna in Europa, ma non è ancora legge: la privacy resta in bilico 6

Formalmente, la cifratura durante il trasporto rimarrebbe intatta. Sostanzialmente, però, il contenuto sarebbe esaminato prima di essere protetto. È questo il punto denunciato nel 2024 da Matrice Digitale nell’approfondimento Signal Foundation è contro Chat Control. Signal, Proton e Threema avvertivano che chiamare il sistema “moderazione del caricamento” non ne avrebbe modificato la natura: un controllo sistematico sul dispositivo sarebbe una capacità di sorveglianza collocata alle estremità della comunicazione, con possibili vulnerabilità sfruttabili anche da criminali, servizi ostili e gruppi APT. Il testo del Consiglio afferma che nulla nel regolamento dovrebbe essere interpretato come un divieto o un indebolimento della crittografia end-to-end. Riconosce inoltre che una cifratura indebolita potrebbe essere sfruttata da soggetti malevoli.

Questa dichiarazione, da sola, non risolve però il problema tecnico. Una scansione effettuata prima della cifratura non rompe necessariamente l’algoritmo crittografico, ma compromette la promessa sostanziale secondo cui soltanto mittente e destinatario possono conoscere il contenuto.

Proprio per eliminare questa ambiguità, il Parlamento ha scelto una formula più netta: escludere dalla deroga ogni comunicazione alla quale la crittografia end-to-end sia stata, venga o verrà applicata. Se il Consiglio accetterà tale emendamento, il perimetro del controllo temporaneo sarà molto più ristretto. Se lo rifiuterà, la crittografia tornerà al centro della conciliazione.

Chat Control temporaneo e regolamento permanente non sono la stessa cosa

Nel dibattito pubblico vengono spesso sovrapposti due procedimenti distinti. Il primo è la deroga temporanea alla direttiva ePrivacy, finora basata su misure volontarie. È il dossier discusso il 9 luglio 2026. Il secondo è il regolamento permanente proposto dalla Commissione europea l’11 maggio 2022. Quest’ultimo mira a creare un sistema strutturale nel quale i servizi online devono valutare il rischio di utilizzo delle proprie infrastrutture per gli abusi sui minori, adottare misure di mitigazione e, in determinate condizioni, eseguire ordini di rilevazione, rimozione o blocco. La proposta comprende anche la creazione di un Centro europeo contro gli abusi sessuali sui minori, destinato a ricevere e valutare le segnalazioni, mantenere database di indicatori e cooperare con Europol e con le autorità nazionali.

Chat Control Privacy o Sicurezza definitivo

La posizione adottata dal Parlamento nel 2023 aveva limitato gli ordini di rilevazione ai casi fondati su un sospetto ragionevole, circoscritti nel tempo e diretti verso utenti o gruppi specifici. Aveva inoltre escluso dal loro ambito le comunicazioni protette da crittografia end-to-end e i messaggi testuali. Il Consiglio, nel mandato negoziale del novembre 2025, ha invece proposto di rendere permanente la possibilità per le aziende di eseguire volontariamente scansioni dei servizi. Le trattative sul regolamento definitivo sono ancora aperte. Il Parlamento ha comunicato che, durante la presidenza cipriota del Consiglio nella prima metà del 2026, è stato raggiunto un accordo su molti aspetti, mentre alcuni punti restano irrisolti.

È dunque prematuro affermare che l’Europa abbia approvato un obbligo generalizzato di scansione. È però altrettanto sbagliato sottovalutare il processo: la deroga temporanea prepara e normalizza un modello di controllo che il regolamento permanente potrebbe trasformare in un’infrastruttura stabile, accompagnata da ordini e autorità dedicate.

Europol e la pressione delle forze di polizia sulla crittografia

Matrice Digitale aveva già evidenziato un passaggio decisivo: quando il consenso politico intorno a Chat Control si era indebolito, la pressione delle forze di polizia europee sulla crittografia era aumentata. Nell’aprile 2024 i vertici delle polizie europee, attraverso una dichiarazione diffusa da Europol, avevano chiesto all’industria e ai governi di intervenire contro l’espansione della crittografia end-to-end. Secondo le autorità, la cifratura impedirebbe alle piattaforme sia di rispondere efficacemente alle richieste legittime sia di individuare e segnalare attività illecite. Nel successivo rapporto europeo sulla crittografia, Europol ha collocato la questione nel programma denominato Going Dark, collegato al gruppo di alto livello sull’accesso ai dati per un’efficace attività di contrasto, conosciuto anche come ADELE. Il documento descrive la tensione tra protezione della riservatezza e accesso legittimo alle prove elettroniche, ricostruendo le tecniche e gli strumenti impiegati dalle autorità per superare o attaccare la cifratura. Europol dispone inoltre di una propria piattaforma di decrittazione. Nel bilancio 2024 era previsto un milione di euro per i costi operativi, la manutenzione, l’energia e la sicurezza dell’infrastruttura. Questo strumento ha sostenuto indagini su sfruttamento minorile, terrorismo, cybercrime, narcotraffico e criminalità organizzata, comprese attività riguardanti Sky ECC ed EncroChat. È quindi documentato che le forze di polizia europee chiedono da anni maggiori capacità di accesso alle comunicazioni cifrate. È anche documentato che partecipano attivamente alla formazione dell’indirizzo politico e tecnico dell’Unione. Non è invece documentata l’ipotesi secondo cui parlamentari europei sarebbero stati ricattati attraverso dossier relativi alla loro vita privata. Una simile affermazione non può essere presentata come fatto senza prove. Il problema reale, già sufficientemente grave, è l’asimmetria del potere istituzionale: agenzie di polizia, governi e apparati di sicurezza dispongono di continuità, informazioni, capacità tecniche e accesso decisionale molto superiori a quelli del singolo cittadino. La pressione non deve necessariamente assumere la forma di un ricatto. Può manifestarsi attraverso l’emergenza permanente, l’argomento della sicurezza, l’invocazione delle vittime e l’attribuzione a chi difende la cifratura della responsabilità politica per gli eventuali reati non impediti. È proprio questo meccanismo che rende il confronto così difficile: chi contesta la sorveglianza rischia di essere descritto come un ostacolo alla protezione dei bambini, anche quando propone strumenti investigativi alternativi, mirati e rispettosi dei diritti fondamentali.

La causa nobile del contrasto al CSAM non autorizza qualsiasi mezzo

Il contrasto al materiale che documenta abusi sessuali sui minori è una finalità indiscutibilmente legittima. Ogni immagine può rappresentare una violenza reale, una vittima ancora in pericolo e un contenuto che continua a produrre danno ogni volta che viene condiviso.

La protezione dei bambini non può essere ridotta a un pretesto retorico. Deve restare il centro delle indagini.

Proprio per questo bisogna chiedersi quali strumenti producano risultati concreti e quali rischino invece di accumulare milioni di segnalazioni, falsi positivi e comunicazioni di persone estranee ai reati. Il Consiglio riconosce esplicitamente il problema degli errori. Le tecnologie dovrebbero ridurre al minimo i falsi positivi, correggerli rapidamente e consentire agli utenti di presentare reclami e ricorsi. La Commissione dovrebbe inoltre valutare periodicamente la precisione degli strumenti e l’effettiva proporzionalità della deroga. Le autorità europee per la protezione dei dati hanno espresso critiche molto più profonde. Nel parere congiunto del 2022, il Comitato europeo per la protezione dei dati e il Garante europeo hanno segnalato seri dubbi sulla proporzionalità della proposta permanente, sulla possibilità di una scansione generalizzata e indiscriminata e sull’elevato margine di errore dei sistemi destinati a riconoscere materiale nuovo o conversazioni di adescamento. Nel 2024 l’EDPB ha ribadito che l’accesso generale e indiscriminato ai contenuti potrebbe incidere sull’essenza stessa dei diritti riconosciuti dagli articoli 7 e 8 della Carta dei diritti fondamentali. Ha inoltre ricordato che gli strumenti probabilistici per individuare materiale sconosciuto e grooming possono superare ciò che è necessario e proporzionato, proprio a causa dell’intrusività e degli errori. Un sistema che segnala una corrispondenza errata non produce soltanto una notifica tecnica. Può determinare il blocco di un account, l’esame di immagini familiari, l’identificazione dell’utente e la trasmissione del contenuto a un’organizzazione privata o a una forza di polizia.

La revisione umana, presentata come garanzia, comporta a sua volta che una persona possa vedere materiale o conversazioni inizialmente destinati a restare privati. La domanda non è soltanto se l’algoritmo sbagli, ma chi riceva il risultato, dove siano conservati i dati, quale giurisdizione si applichi e quanto tempo serva per correggere un’accusa infondata.

Le indagini mirate dimostrano che esistono altre strade

La discussione su Chat Control viene spesso rappresentata come una scelta binaria: scansione preventiva di massa oppure impunità per gli autori degli abusi. La realtà investigativa è molto più complessa. Matrice Digitale ha documentato nell’articolo Perché l’OSINT è vitale nella lotta al CSAM i risultati della campagna “Trace an Object” di Europol. Attraverso l’analisi di oggetti, ambienti, insegne e altri dettagli visibili nei contenuti, le segnalazioni del pubblico avevano contribuito al salvataggio di 26 bambini, all’individuazione di cinque autori degli abusi e alla determinazione del paese d’origine del materiale in 127 casi.

In quel modello investigativo non viene scandagliata preventivamente la corrispondenza di tutti. Si parte da una prova, da un’immagine già acquisita, da un dettaglio ambientale o da un indicatore concreto e si lavora per identificare la vittima e il responsabile.

Nel luglio 2026, una nuova operazione internazionale raccontata da Matrice Digitale in Maxi operazione internazionale contro gli abusi online ha prodotto 28 arresti e il salvataggio di tre bambini. In Italia, la Polizia Postale ha arrestato sette persone, indagato altri soggetti e sequestrato dispositivi destinati all’analisi forense. Questi risultati dimostrano che la lotta al CSAM può fondarsi su cooperazione internazionale, intelligence, acquisizione mirata delle prove, analisi forense, infiltrazione nei gruppi chiusi, identificazione delle vittime e intervento giudiziario. Nessuno di questi strumenti è semplice. Nessuno garantisce di raggiungere tutti i responsabili. Ma la difficoltà investigativa non può trasformarsi automaticamente nella giustificazione di un controllo preventivo sulle comunicazioni dell’intera popolazione.

I criminali più organizzati non dipendono dalle chat di massa

La criminalità organizzata e gli attori più sofisticati non utilizzano soltanto WhatsApp, Signal o Telegram. Nel corso degli anni hanno costruito o acquistato piattaforme dedicate, terminali modificati e infrastrutture riservate, progettate espressamente per ridurre il rischio di intercettazione. EncroChat, Sky ECC e altre reti simili non erano semplici applicazioni consumer utilizzate occasionalmente per scopi illeciti. Erano ecosistemi distribuiti attraverso canali dedicati e adottati da gruppi criminali per traffico di stupefacenti, armi, riciclaggio e altre attività. Nell’approfondimento Arresti per Sky ECC e condanna per l’hacker dell’account X della SEC, Matrice Digitale ha ricostruito l’operazione che aveva permesso alle autorità di accedere alla piattaforma e monitorare decine di migliaia di utenti. Europol ha ottenuto risultati analoghi contro EncroChat e contro altre infrastrutture criminali cifrate. Nel settembre 2024 una coalizione internazionale ha smantellato un’ulteriore piattaforma di comunicazione impiegata dalla criminalità organizzata, confermando che l’accesso può essere ottenuto attraverso operazioni mirate, compromissione dell’infrastruttura, sequestro dei server e attività sotto copertura. Questo non significa che la cifratura renda irrilevanti le attività criminali sulle piattaforme di massa. Significa però che chi dispone di competenze, risorse e motivazioni sufficienti tende a migrare verso sistemi alternativi non appena una piattaforma diventa controllabile. La scansione delle applicazioni utilizzate da centinaia di milioni di cittadini rischia quindi di produrre un effetto asimmetrico: il controllo si concentra soprattutto sugli utenti comuni, mentre i gruppi più pericolosi sviluppano canali proprietari, ricorrono alla steganografia, utilizzano servizi decentralizzati o cambiano infrastruttura. È il classico problema della funzione espansiva della sorveglianza: lo strumento viene progettato per colpire il soggetto più sofisticato, ma finisce per essere più efficace nei confronti di chi non cerca neppure di nascondersi.

La geografia degli abusi non può diventare una scorciatoia narrativa

La produzione e la circolazione di CSAM hanno una dimensione globale. Server, vittime, responsabili e consumatori possono trovarsi in paesi differenti, mentre le indagini attraversano più giurisdizioni. Non è però giornalisticamente corretto affermare, senza un dataset verificabile, che la maggior parte dei contenuti provenga necessariamente dall’Ucraina, dalla Russia, dalla Cina o dal Sud-est asiatico. La transnazionalità del fenomeno è documentata; una gerarchia geografica assoluta non può essere costruita sulla percezione o sulla narrazione degli ultimi anni. Il punto valido resta un altro: una norma europea applicata alle piattaforme e agli utenti dell’Unione non intercetterebbe automaticamente la produzione collocata fuori dall’Europa, né risolverebbe il problema delle infrastrutture ospitate in giurisdizioni non cooperative. La misura potrebbe individuare alcuni consumatori o diffusori presenti nel territorio europeo. Ma chi visualizza o conserva un video non coincide necessariamente con chi produce l’abuso, e chi consuma materiale registrato non coincide automaticamente con chi commette violenze fisiche dal vivo. Si tratta di condotte tutte gravissime, ma diverse sotto il profilo investigativo, probatorio e criminologico. Una politica efficace deve distinguere la produzione, la distribuzione, la detenzione, il grooming, il live streaming e l’abuso fisico. Confondere questi livelli consente di presentare un’unica tecnologia di scansione come soluzione universale a fenomeni molto differenti.

Soggetti privati, organizzazioni extra UE e governance delle segnalazioni

Il testo del Consiglio prevede che le segnalazioni possano essere trasmesse non soltanto alle autorità di polizia, ma anche a organizzazioni che operano nell’interesse pubblico contro gli abusi sessuali sui minori, comprese strutture collocate in paesi terzi. Il provider rimarrebbe responsabile, in qualità di titolare del trattamento, della valutazione del soggetto al quale trasferisce i dati. La Commissione dovrebbe pubblicare un elenco delle organizzazioni destinatarie, mentre gli eventuali trasferimenti fuori dall’Unione dovrebbero rispettare il capo V del GDPR.

È precisamente qui che emerge la questione sollevata nel testo originario: una comunicazione privata potrebbe entrare in un circuito composto da piattaforme, sistemi automatizzati, revisori, organizzazioni non governative, autorità nazionali e organismi europei.

Non risulta dagli atti ufficiali che l’intero sistema sia stato formalmente affidato a una singola società londinese. Risulta invece un’intensa attività di consultazione e interlocuzione con soggetti privati e organizzazioni specializzate. Un’analisi del Servizio di ricerca del Parlamento europeo ha documentato i contributi e gli incontri della Commissione con Thorn, Internet Watch Foundation, Microsoft, Meta, SafeToNet, WeProtect e altre organizzazioni. Thorn ha promosso la certezza giuridica necessaria affinché le piattaforme possano rilevare proattivamente il CSAM e ha proposto una cooperazione tra il futuro Centro europeo, forze di polizia, organizzazioni non governative e provider.

Anche i registri di trasparenza del Parlamento mostrano incontri recenti con Internet Watch Foundation, Google, Meta, Apple, Snap, Proton, European Digital Rights e altri portatori di interesse.

Questi incontri non provano da soli l’esistenza di un conflitto di interessi, né dimostrano che il testo sia stato scritto per favorire un soggetto privato. Dimostrano però che intorno alla regolamentazione esiste un mercato di soluzioni tecnologiche, consulenze, sistemi di rilevazione e organizzazioni chiamate a ricevere o processare segnalazioni. Il conflitto potenziale nasce quando chi contribuisce a definire la necessità di una tecnologia può diventare anche il fornitore, il valutatore o il gestore degli strumenti necessari per applicarla. In un settore che tratta dati estremamente sensibili, la trasparenza sugli algoritmi, sui contratti, sui database e sui trasferimenti internazionali non può essere considerata accessoria. Il GDPR interviene soprattutto attraverso responsabilità, valutazioni di impatto, controlli e sanzioni successive. Ma quando una conversazione privata è già stata analizzata, condivisa o associata erroneamente a un sospetto, la riparazione ex post non restituisce pienamente la riservatezza perduta.

Le Big Tech diventano difensori occasionali dei diritti digitali

Il dibattito produce un paradosso evidente. Le stesse piattaforme che hanno costruito modelli economici fondati sulla raccolta dei dati, sulla profilazione e sulla pubblicità comportamentale possono trovarsi, nel caso della messaggistica cifrata, a difendere una prerogativa essenziale degli utenti. Signal ha fondato la propria identità sulla riservatezza e non segue il modello pubblicitario delle grandi piattaforme. WhatsApp appartiene invece a Meta, una delle aziende più controverse sul fronte della protezione dei dati. Telegram conserva una parte significativa delle normali conversazioni nel proprio cloud.

Nonostante queste differenze, l’opposizione all’indebolimento della cifratura può far coincidere temporaneamente gli interessi commerciali dei provider con il diritto dei cittadini alla segretezza delle comunicazioni.

Questo non trasforma le Big Tech in garanti neutrali della democrazia. Significa soltanto che, in questo specifico conflitto, un’azienda può avere sia un interesse economico sia una posizione tecnicamente corretta. La sicurezza della cifratura non protegge soltanto la conversazione quotidiana. Protegge giornalisti e fonti, avvocati e assistiti, medici e pazienti, imprese, funzionari pubblici, dissidenti, vittime di violenza e minori che cercano aiuto.

Il Consiglio riconosce espressamente la necessità di tutelare il segreto professionale e cita le comunicazioni tra giornalisti e fonti, avvocati e clienti, medici e pazienti. Esiste inoltre una contraddizione strategica: mentre gli Stati promuovono la crittografia come strumento di cybersicurezza, una parte delle autorità chiede capacità che ne riducano la riservatezza operativa. Matrice Digitale aveva già evidenziato la promozione della cifratura nella Strategia nazionale di cybersicurezza 2022-2026.

Non esiste una cifratura forte per le istituzioni e strutturalmente debole soltanto per i criminali. Una capacità tecnica installata sui dispositivi può diventare un obiettivo per governi ostili, spyware, malware, gruppi cybercriminali e soggetti interni infedeli.

Il confronto con Cina e Russia è politico, non tecnico

Il richiamo a WeChat in Cina o alla piattaforma MAX in Russia esprime una preoccupazione politica comprensibile: l’Europa rischia di avvicinarsi a modelli nei quali le comunicazioni private diventano una fonte ordinaria di controllo statale. Non si tratta però di sistemi giuridicamente identici. L’Unione Europea mantiene una Carta dei diritti fondamentali, autorità indipendenti, controllo giudiziario, pluralismo politico, ricorsi e un processo legislativo pubblico. Equiparare integralmente Bruxelles a Pechino o Mosca sarebbe una semplificazione.

Il confronto conserva comunque un valore. L’Europa ha costruito una parte della propria legittimità presentandosi come alternativa democratica ai modelli autoritari. Se introduce tecnologie capaci di esaminare preventivamente le comunicazioni di persone non sospettate di alcun reato, deve dimostrare che limiti, controlli e finalità impediscano una trasformazione dello strumento.

Ogni infrastruttura di sorveglianza nasce con una finalità dichiarata. Il problema della democrazia non è soltanto ciò che una tecnologia fa nel giorno della sua approvazione, ma ciò che un futuro legislatore, governo o apparato potrà chiederle di fare. Una volta costruita la capacità di analizzare testi e immagini prima della cifratura, il passaggio dal CSAM al terrorismo, dalla criminalità organizzata all’estremismo, dalla disinformazione ad altre categorie di contenuto diventa tecnicamente più semplice, anche se richiederebbe nuove basi normative. La funzione espansiva non è inevitabile, ma è possibile. Per questo la barriera decisiva deve essere tecnologica e giuridica insieme, non affidata esclusivamente alle intenzioni degli attuali decisori.

Come cambierebbe il comportamento degli utenti europei

La maggior parte degli utenti potrebbe non accorgersi immediatamente dell’eventuale riattivazione della deroga. Le scansioni sarebbero integrate nelle piattaforme e descritte attraverso informative, condizioni del servizio o avvisi relativi alla sicurezza. Una parte più consapevole del pubblico cercherebbe invece strumenti nei quali la protezione venga applicata prima che il contenuto possa essere esaminato da componenti esterni, oppure servizi decentralizzati, software verificabili e infrastrutture sotto il controllo diretto dell’utente. Il paradosso è che un sistema concepito per aumentare la visibilità delle attività criminali potrebbe spingere i soggetti più preparati verso strumenti meno osservabili, lasciando sulle piattaforme controllate soprattutto cittadini comuni e criminali meno sofisticati. Non è opportuno trasformare questa constatazione in una guida per eludere le indagini. Il tema giornalistico è un altro: la crittografia è una tecnologia generale, non un privilegio criminale, e qualsiasi restrizione produce innovazione, migrazione e adattamento anche tra gli utenti legittimi.

L’efficacia di Chat Control non potrà quindi essere valutata soltanto contando il numero delle segnalazioni. Bisognerà misurare quante siano fondate, quanti bambini vengano effettivamente identificati e salvati, quanti autori siano condannati, quanti innocenti vengano coinvolti e quanti criminali migrino verso infrastrutture alternative.

Lo stesso testo del Consiglio prevede statistiche sul numero delle segnalazioni, dei minori identificati e dei responsabili condannati. È un’ammissione importante: la quantità di contenuti intercettati non coincide automaticamente con l’efficacia investigativa.

Cosa può succedere nei prossimi tre mesi

Il Consiglio dell’Unione Europea ha ora tre mesi per decidere sulla posizione emendata dal Parlamento. Se accetterà integralmente l’esclusione delle comunicazioni protette da crittografia end-to-end e le altre modifiche, il regolamento sarà considerato adottato. Entrerà in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale e resterà applicabile fino al 3 aprile 2028. Se il Consiglio non accetterà tutti gli emendamenti, verrà convocato un comitato di conciliazione. Parlamento e Consiglio avranno il compito di costruire un testo comune. In assenza di accordo, il regolamento decadrà. Parallelamente proseguiranno i negoziati sul regolamento permanente, molto più importante perché destinato a definire obblighi, ordini di rilevazione, autorità nazionali e futuro Centro europeo.

La partita, quindi, non è chiusa.

Il Parlamento non ha approvato la versione del Consiglio senza condizioni. Ha impedito che la posizione originaria passasse automaticamente e ha inserito una protezione esplicita per la crittografia end-to-end. Allo stesso tempo, non ha raggiunto la maggioranza assoluta necessaria per seppellire definitivamente la deroga.

È questa l’ambivalenza del voto: Chat Control non è diventato legge, ma è tornato politicamente vivo.

Chat Control resta una delle peggiori prove per la democrazia europea

La protezione dei bambini è un dovere dello Stato e dell’Unione Europea. Ma proprio la gravità degli abusi impone soluzioni efficaci, controllabili e misurabili, non formule capaci di trasformare ogni cittadino in un soggetto preventivamente osservabile.

La democrazia non si misura soltanto dalle finalità che dichiara, ma dai limiti che accetta di imporsi mentre le persegue.

Chat Control rappresenta una delle peggiori prove politiche affrontate dall’Unione sul terreno della privacy. Non perché ogni sua versione coincida automaticamente con una sorveglianza totalitaria, ma perché introduce e normalizza il principio secondo cui una comunicazione privata può essere esaminata senza che esista prima un sospetto individuale. Il rischio è che la causa più nobile — la difesa dei bambini — diventi il precedente sul quale costruire un’infrastruttura riutilizzabile. Il passaggio successivo potrebbe non avvenire subito. Potrebbe essere introdotto lentamente, emergenza dopo emergenza, categoria dopo categoria, sempre con una motivazione presentata come eccezionale. Matrice Digitale ha contestato Chat Control quando sembrava inevitabile, quando è stato respinto e oggi che è tornato nell’agenda legislativa.

La posizione non consiste nel negare il problema del CSAM, ma nel rifiutare che la lotta contro un crimine mostruoso venga utilizzata per alterare il rapporto tra cittadini, piattaforme e potere pubblico.

L’Europa non ha ancora definitivamente tradito la propria promessa democratica. Il Parlamento ha inserito una linea rossa sulla cifratura e il Consiglio può ancora accettarla. Ma il semplice fatto che sia stato necessario votare per proteggere espressamente la crittografia dimostra quanto quella promessa sia diventata fragile. Non è ancora il momento di dichiarare la sconfitta. È però il momento di riconoscere che l’architettura europea del controllo preventivo è stata riabilitata, che le pressioni istituzionali non si sono fermate e che il regolamento permanente resta il vero punto di arrivo. La difesa della riservatezza non appartiene ai criminali. Appartiene alla democrazia. E una democrazia che considera sospetta la crittografia dei propri cittadini rischia, prima o poi, di rendere sospetti anche i cittadini stessi.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto