Il 26 novembre i rappresentanti permanenti dei 27 Stati membri dell’Unione europea hanno approvato la posizione negoziale del Consiglio sul regolamento per prevenire e contrastare gli abusi sessuali sui minori online, quello che nel dibattito pubblico è stato ribattezzato Chat control. È il passaggio politico che riapre formalmente il dossier, sbloccando una proposta rimasta per mesi in un limbo istituzionale, ma allo stesso tempo cristallizza un punto: l’Europa imbocca la strada di un controllo crescente sulle comunicazioni digitali, mentre l’astensione dell’Italia e della Germania apre interrogativi profondi sulla direzione presa dal progetto europeo, sulla tenuta della crittografia end-to-end e sul confine sempre più labile tra tutela dei minori e costruzione di uno stato di polizia interna.
Cosa leggere
Chat control, da norma tecnica a simbolo politico
Chat control nasce come regolamento “tecnico” per fronteggiare un fenomeno reale e devastante: la diffusione di CSAM, contenuti sessuali di abuso sui minori che, secondo i dati di Europol, ha generato nel 2023 oltre 36 milioni di segnalazioni a livello globale. Il testo originario, fortemente voluto dall’allora commissaria agli Affari interni Ylva Johansson, prevedeva che le autorità nazionali potessero imporre alle piattaforme tecnologiche la scansione obbligatoria di tutti i servizi di messaggistica, inclusi quelli cifrati end-to-end come WhatsApp o Signal, con l’obiettivo dichiarato di individuare contenuti illegali o tentativi di adescamento. Quella norma ha però funzionato da detonatore. In due anni il dibattito, nato nelle community di sicurezza informatica e tra le organizzazioni per i diritti digitali, è esploso nel campo più ampio dei diritti civili. Non si parla più soltanto di un conflitto tra tutela dell’infanzia e privacy di nicchia, ma di un conflitto che riguarda i diritti di tutti i cittadini europei, compreso il diritto a una cifratura robusta che non possa essere forzata da governi o aziende private. Il punto politico è che questa volta i diritti in gioco non sono incasellabili nelle solite categorie – LGBTQ+, “woke”, polarizzazioni da guerra culturale – ma toccano la struttura stessa dello spazio pubblico digitale: chi vede cosa, quando, come e a quali condizioni le conversazioni private restano davvero private. È qui che Chat control smette di essere una norma tecnica e diventa un simbolo politico dell’Europa che verrà.
Come è cambiato il testo e perché non basta
Per superare l’impasse, la presidenza danese ha scelto di intervenire sul cuore del problema: nel nuovo testo approvato dal Consiglio viene eliminato l’obbligo di scansione generalizzata delle comunicazioni, sostituito da un sistema di valutazione e mitigazione dei rischi. Le piattaforme non saranno più costrette a leggere ogni messaggio, ma dovranno analizzare i rischi connessi ai propri servizi e adottare misure preventive, dalla progettazione di strumenti di segnalazione più efficaci a impostazioni di privacy rafforzate per i minori, passando per funzioni di segnalazione semplificate e controlli più rigidi sugli account sospetti. La scansione dei contenuti resta tecnicamente possibile, ma solo su base volontaria. Il Consiglio inserisce inoltre un richiamo esplicito alla necessità di salvaguardare la crittografia end-to-end, specificando che le misure adottate non dovranno comprometterne la funzione. Nasce anche un nuovo attore istituzionale, il Centro europeo per gli abusi sessuali sui minori (Eu Centre), incaricato di supportare gli Stati membri, gestire una banca dati delle segnalazioni e collaborare con Europol. Sulla carta, il compromesso appare come una retromarcia rispetto alla versione più invasiva: niente più “scanner universale” sulle chat, ma un modello di risk management in cui il controllo si fa più morbido, più procedurale, meno esplicito. Tuttavia, proprio questa trasformazione alimenta i timori di chi vede nel nuovo testo una forma di sorveglianza diffusa, meno visibile ma più pervasiva, perché integrata nell’architettura delle piattaforme e inevitabilmente spinta da incentivi politici, commerciali e investigativi.
L’astensione dell’Italia: scelta di merito o di opportunità?
In questo quadro, l’astensione dell’Italia e della Germania è stata letta come un segnale di dissenso, ma anche come una mossa tattica che evita lo scontro frontale senza rinunciare a mantenere margini di manovra. Roma, secondo le ricostruzioni diplomatiche, ha ribadito l’impegno a combattere la pedopornografia online, ma ha espresso preoccupazioni su qualsiasi forma di controllo delle comunicazioni che possa tradursi in una sorveglianza indiscriminata da parte dello Stato o di soggetti privati. La domanda, però, è se questa astensione sia davvero una presa di posizione di principio oppure una scelta di opportunità politica. L’Italia è stata negli ultimi anni uno dei palcoscenici privilegiati delle campagne europee sulla “sicurezza digitale”, con visite, eventi e incontri istituzionali che hanno visto protagonisti rappresentanti di Europol, Commissione e governi nazionali. Nel pieno della prima stagione di polemiche su Chat control, il capo di Europol ha visitato l’Italia incontrando i vertici delle forze di polizia giudiziaria proprio per illustrare il progetto, sottolineando soprattutto la necessità di “combattere la crittografia che ostacola le indagini”. Il messaggio è chiaro: la crittografia non è più soltanto uno strumento di sicurezza per i cittadini, ma diventa un ostacolo investigativo da aggirare, limitare o rendere permeabile. In questo contesto, l’astensione italiana appare meno come un rifiuto radicale del modello di sorveglianza e più come un modo per non bruciarsi politicamente, lasciando al tempo stesso aperta la porta a future implementazioni “creative” del regolamento una volta approvato.
La coincidenza con il fronte dell’età minima sui social
A rendere ancora più significativa questa scelta è la coincidenza temporale con un altro fronte normativo: la richiesta, da parte del Parlamento europeo, di fissare a 16 anni l’età minima per iscriversi ai social media e alle piattaforme di condivisione video, nonché l’introduzione di limiti alle pratiche di gamification e all’uso di algoritmi e IA per spingere l’engagement dei minori. Da un lato, quindi, l’Unione europea si propone come garante del benessere digitale dei minori, denunciando l’uso eccessivo dello smartphone, la dipendenza dai social e l’impatto sulla salute mentale; dall’altro lato, con Chat control, apre la porta a un sistema che potrebbe normalizzare principi e tecnologie di controllo strutturale sulle comunicazioni. La tutela dei bambini diventa così l’argomento perfetto per giustificare un salto di qualità nella sorveglianza preventiva. Il rischio è che il discorso “proteggiamo i minori” venga usato come una sorta di scudo morale dietro cui far passare dispositivi legislativi che, in altre forme, erano stati promessi come impossibili, improponibili, o addirittura esclusi da impegni istituzionali precedenti.
La deriva verso uno stato di polizia interna
Il filo rosso che unisce Chat control, le limitazioni d’età sui social, le pressioni contro i sistemi di cifratura robusta e le campagne anti-terrorismo post conflitto su Gaza è la costruzione progressiva di uno stato di polizia interna, fondato sull’idea che ogni spazio digitale debba essere, in ultima istanza, permeabile alle istituzioni. La narrazione è nota: per combattere la diffusione di CSAM, il terrorismo, la criminalità organizzata e le minacce ibride, i governi devono avere strumenti “adeguati ai tempi”, cioè capacità intrusiva sulle piattaforme, accesso privilegiato ai dati, possibilità di aggirare o indebolire la crittografia end-to-end quando necessario. In questo scenario, qualsiasi tecnologia che sottrae porzioni di realtà digitale alla visibilità istituzionale viene percepita come un problema da “gestire”. Nel frattempo, proprio mentre Bruxelles discute di Chat control in nome della protezione dei minori, in Francia si è consumato un caso emblematico che mostra fino a che punto possa spingersi la criminalizzazione degli strumenti di privacy: l’attacco mediatico e istituzionale contro GrapheneOS, sistema operativo open source basato su Android, progettato per offrire il massimo livello di sicurezza e per funzionare su smartphone de-Googlizzati. Nelle ultime settimane, parte della stampa francese – con il sostegno implicito di ambienti legati ai servizi di sicurezza – ha descritto GrapheneOS come il “telefono dei criminali”, associandolo a narcotrafficanti, telefoni blindati e funzioni inesistenti di autodistruzione dei dati, fino a confonderlo con fork illegittimi venduti in Europa come “privacy phone” e già finiti nel mirino delle autorità.
Di fronte a questa campagna di delegittimazione, il progetto ha annunciato lo stop a qualsiasi attività in Francia e la migrazione delle proprie infrastrutture da provider francesi verso server in altre giurisdizioni, denunciando il rischio concreto di sequestri, manomissioni e logging forzato dei propri servizi. In altre parole, un sistema operativo nato per difendere gli utenti dalle intrusioni diventa il bersaglio di uno Stato che, in nome della sicurezza, tratta la cifratura forte come indizio di colpevolezza: lo stesso schema culturale e politico che ritroviamo, amplificato, nel disegno di Chat control, dove l’idea di proteggere i minori si salda con la richiesta di rendere ogni tecnologia di anonimato e di sicurezza potenzialmente sospetta, negoziabile, revocabile.
Chi controlla i controllori: tra big tech e agenzie di sicurezza
Un altro nodo irrisolto di Chat control riguarda la gestione dei dati generati dal sistema. Già nel progetto originario targato Johansson era emerso il tema di soggetti extraeuropei, di matrice anglosassone, coinvolti nella gestione dei flussi informativi legati alla rilevazione dell’abuso online, tanto da spingere la Commissione europea ad aprire una indagine interna su possibili conflitti di interesse. Il rischio strutturale è duplice. Da un lato, un’Europa che dice di voler proteggere i cittadini trasferendo di fatto parte della capacità di analisi e profilazione a macchine e infrastrutture fuori dal suo pieno controllo. Dall’altro, piattaforme statunitensi che basano i propri modelli di business sulla raccolta massiva di dati e che, tra leggende metropolitane e sospetti fondati, vengono percepite come gli unici veri custodi delle conversazioni cifrate, in grado di decidere chi, come e quando può accedere alle “porte di servizio” eventualmente presenti nei loro sistemi. La conseguenza è un paradosso: per proteggere i cittadini europei si creano meccanismi che, se portati alle estreme conseguenze, consegnano a un numero ristrettissimo di attori – grandi piattaforme e apparati di sicurezza – il controllo effettivo sulle chiavi della vita digitale di centinaia di milioni di persone.
Dal modello cinese alla predittività dei reati
Se il regolamento venisse implementato nella sua versione più invasiva, con strumenti di scansione, valutazione del rischio e reporting automatizzato integrati in ogni strato dell’infrastruttura digitale, il risultato finale si avvicinerebbe pericolosamente al modello cinese: un ecosistema alla WeChat, dove la messaggistica, i pagamenti, i servizi pubblici e la vita sociale convergono in piattaforme che diventano allo stesso tempo spazio di vita e dispositivo di controllo. In Europa non c’è – almeno sulla carta – l’intenzione di replicare un sistema di credit score sociale. Ma la combinazione di Big data, apprendimento automatico e politiche di prevenzione “proattiva” apre scenari in cui la linea tra investigazione e predizione dei reati diventa sempre più sottile. Anche se l’AI Act vieta formalmente alcune pratiche di sorveglianza predittiva, la tentazione di usare strumenti di analisi avanzata sui flussi di comunicazione, sui comportamenti online e sulle relazioni sociali è reale e crescente. È questo il terreno su cui la distopia smette di essere un genere letterario e diventa un’ipotesi di lavoro. Da oltre vent’anni, da quando internet è entrata stabilmente nelle nostre vite, abbiamo visto ripetersi lo stesso schema: scenari che sembravano fantascienza diventano, nel giro di pochi anni, politiche pubbliche, standard industriali, routine investigative. La distopia, molto spesso, è soltanto l’anticipazione di un presente che sta per arrivare.
Un futuro già scritto?
Nella sua forma attuale, Chat control è già oggi un punto di non ritorno. Non rappresenta solo un regolamento contro gli abusi sui minori, ma un test su quanta sorveglianza preventiva le democrazie europee siano disposte ad accettare in nome della sicurezza. Se il negoziato tra Consiglio, Parlamento e Commissione dovesse concludersi con un compromesso che normalizza l’idea di una infrastruttura di controllo permanente sulle comunicazioni, il risultato sarebbe una nuova dimensione orwelliana dello spazio digitale: un mondo ipercontrollato, iperspiato, in cui la possibilità di essere osservati in ogni momento diventa parte dell’arredamento, una condizione ambientale a cui ci si abitua senza più metterla in discussione. In un’Europa che ama raccontarsi come culla dei diritti fondamentali, il rischio è di ritrovarsi con un sistema normativo che, invece di garantire una libertà sostanziale, produce una libertà condizionata, continuamente subordinata a esigenze di sicurezza, lotta al terrorismo, tutela dei minori, difesa dell’ordine pubblico. Una libertà che esiste più nella retorica istituzionale che nella vita quotidiana delle persone, costrette a muoversi in una matrice digitale fatta di filtri, controlli, analisi di rischio e valutazioni algoritmiche. In questo scenario, l’astensione dell’Italia non basta a raccontare una resistenza. È piuttosto il sintomo di una ambiguità strutturale: da un lato il richiamo ai principi costituzionali, alla segretezza delle comunicazioni, alla difesa della crittografia; dall’altro la partecipazione, diretta o indiretta, alla costruzione di strumenti che rendono queste stesse comunicazioni più esposte, più condizionate, più vulnerabili a un uso politico del controllo. La domanda, allora, non è se Chat control passerà nella sua forma attuale o in una versione emendata. La vera domanda è un’altra: quale idea di democrazia digitale stiamo costruendo, e quanto siamo disposti a sacrificare in termini di anonimato, riservatezza, autonomia tecnologica, in cambio di una sicurezza che rischia di trasformarsi in una sorveglianza permanente. Perché, se non si rompe questo schema, il futuro appare già scritto: un’Europa in cui i governi avranno un’arma non solo di controllo, ma anche di ricatto latente nei confronti di una popolazione sempre più connessa, sempre più dipendente da piattaforme e dispositivi, sempre più materializzata in un universo digitale che qualcuno, da qualche parte, può osservare, misurare e – se necessario – piegare.
