Nata per contrastare gli abusi sui minori online, la proposta normativa dell’Unione Europea ribattezzata “Chat Control” rischia di scardinare la sicurezza delle comunicazioni. Si teme l’introduzione di uno scanner nelle chat private e l’indebolimento della cifratura, anche su piattaforme come WhatsApp. C’è davvero il rischio di una deriva verso la sorveglianza di massa?
C’è un dato da cui partire: gli abusi sessuali su minori esistono e crescono da anni. Solo negli Stati Uniti, il National Center for Missing and Exploited Children (NCMEC) ha indicato 21,7 milioni di segnalazioni nel 2020 e 29,3 milioni nel 2021; nel 2023 le segnalazioni sono salite a 36,2 milioni. Non è l’unico indicatore, ma basta per spiegare perché l’UE cerca una risposta strutturale.
Nei fatti, stiamo parlando della proposta di Regolamento per prevenire e combattere l’abuso sessuale sui minori presentata dalla Commissione l’11 maggio 2022 (COM (2022) 209). Il suo obiettivo è armonizzare in tutta l’UE la rilevazione, segnalazione e rimozione di contenuti di abuso e l’adescamento online (grooming), con la creazione di un Centro UE dedicato. Il Parlamento europeo ha già espresso la sua opinione (novembre 2023), che esclude le scansioni di massa e salvaguarda la cifratura end-to-end (E2EE). Nell’attesa di un accordo finale tra i governi, l’UE ha prorogato fino al 3 aprile 2026 la deroga che consente ai provider di continuare su base volontaria la rilevazione e segnalazione di Child Sexual Abuse Material (CSAM) per evitare un vuoto normativo.
La presidenza danese ha rimesso il dossier al centro dell’agenda. Sul calendario, incombe il voto dei ministri del 14 ottobre. Mentre alcuni Stati temono una “trappola normativa”, il punto è un altro: la proposta sembra essere uno screening preventivo generalizzato di tutti i messaggi, ma in realtà è un meccanismo a più stadi. Da qui partono le domande: come si applicano questi ordini e chi controlla chi?
Che cosa prevede davvero il testo: nessun “scanner universale” per default
I fornitori valutano e mitigano il rischio rispetto ai loro servizi. Quando un’autorità competente riscontra un rischio significativo, può chiedere a un’autorità giudiziaria o amministrativa indipendente, su richiesta dell’Autorità di coordinamento nazionale, un ordine di rilevazione mirato, (detection order), riferito a una specifica piattaforma o a uno specifico servizio a rischio di abuso.
Gli ordini devono essere eccezionali, limitati nel tempo, per un determinato servizio e accompagnati da garanzie. Il testo non impone dove avvenga tecnicamente la scansione, ovvero sui server del fornitore oppure sul dispositivo dell’utente, ma chiede che l’ordine sia eseguibile e proporzionato rispetto al rischio e al tipo di abuso. Una volta emesso, scattano gli obblighi di segnalazione, rimozione e, nei casi più estremi, di blocco.
Insomma, non esiste alcun “interruttore” che metta in moto la scansione di tutte le chat europee prima dell’invio per default. Il controllo sul dispositivo (client-side scanning) è solo una delle tecniche, tra le opzioni possibili, che un fornitore può scegliere per adempiere a un ordine mirato, ma non è un requisito imposto in modo indiscriminato dal regolamento di base.
A valle entra in gioco il nuovo Centro UE, istituito dal regolamento come agenzia e hub di competenze, cooperazione e scambio dati, che opera per la prevenzione e la lotta contro l’abuso. Il Centro (artt. 44-46) crea e gestisce banche dati di indicatori (per esempio hash, ovvero l’impronta digitale di un file che consente di riconoscere in modo rapido se un’immagine o un video corrispondono a contenuti già noti, senza doverli aprire o vedere), fornisce tecnologie affidabili ai provider, riceve le segnalazioni inviate dai fornitori, scarta quelle manifestamente infondate e inoltra i casi validi all’Europol e alle autorità nazionali competenti. Le Autorità di coordinamento nazionali restano titolari dei poteri di vigilanza, indagine ed esecuzione sul territorio.
In pratica, il processo prevede una valutazione dei rischi da parte del fornitore; un eventuale ordine mirato emesso dall’autorità competente; rilevazione e segnalazione al Centro EU; quindi, smistamento verso Europol e autorità nazionali per gli interventi successivi.
Per quanto riguarda la cifratura end-to-end (E2EE), la proposta originaria non impone l’obbligo testuale di “eludere la crittografia”. Nelle bozze di compromesso si precisa esplicitamente che nulla dovrebbe essere “interpretato come divieto, indebolimento o aggiramento” della cifratura. I fornitori restano liberi di offrire servizi cifrati e non sono obbligati a decrittare o creare accessi speciali.
Il nodo, però, è pratico: un ordine di rilevazione potrebbe richiedere di controllare i contenuti prima dell’invio, ad esempio durante l’upload o sul dispositivo dell’utente, così che l’analisi avvenga quando il dato è ancora in chiaro. Questo approccio, pur non spezzando formalmente l’E2EE sul canale di trasmissione, sposta il punto di controllo sul terminale e può avere effetti sostanziali sulla sicurezza complessiva. È qui che si concentra il dissenso dei garanti e della comunità tecnico-accademica: il rischio è di introdurre nuove superfici d’attacco, meccanismi riutilizzabili per altri scopi o, di fatto, backdoor. Quindi, anche se il regolamento non tocca la cifratura, alcuni tipi di rilevazione possono indebolire l’ecosistema se non sono rigorosamente limitati, verificati e auditati.
Rischi realistici e garanzie previste
In primo luogo, se per eseguire un ordine su un servizio cifrato occorre esaminare i contenuti prima o al momento della cifratura, si introduce un punto di controllo sul dispositivo dell’utente. È un vettore di rischio sia tecnico, in quanto crea una nuova superficie d’attacco o un possibile errore di implementazione, sia giuridico, come il riuso per finalità ulteriori. Su questo fronte i garanti europei EDPB ed EDPS (rispettivamente il Comitato e il Garante europeo per la protezione dei dati) hanno segnalato, sin dal 2022 e di nuovo nel 2024, seri dubbi di proporzionalità e impatti sui diritti fondamentali, fino a intaccare il diritto alla riservatezza. Chiedono quindi di eliminare o restringere drasticamente la parte sull’adescamento online e di chiarire in modo espresso che la normativa non deve vietare né indebolire la cifratura.
In secondo luogo, pesa la gestione dei falsi positivi e la qualità delle segnalazioni. Le tecnologie impiegate per riconoscere materiale di CSAM “noto”, permettono di confrontare foto e video con la loro “impronta digitale” (hash) già archiviata: ciò rende questa parte del processo più affidabile. Andare a riconoscere materiale di CSAM “nuovo” o l’adescamento nei messaggi è più difficile, perché non esite alcun riferimento; quindi, si usano modelli che stimano probabilità che possono portare errori. Per limitarli il testo prevede il controllo umano e introduce analisi periodiche dei tassi di errore su “campioni rappresentativi di dati anonimizzati”, quindi resi non riconducibili alle persone. Anche se è una garanzia utile, affinché funzioni servono metriche pubbliche, (es. tasso di falsi positivi/negativi), audit indipendenti e un diritto effettivo di contestazione per gli utenti colpiti da errori.
In terzo luogo, deve essere considerato il rischio di fuction creep. Una volta creata un’infrastruttura di rilevazione, potrebbe sorgere la tentazione di estenderla progressivamente ad altri reati o contenuti, ampliando le finalità del trattamento dei dati personali rispetto allo scopo originale per cui erano state definite e approvate. Per questo le salvaguardie devono essere di rango primario: finalità rigidamente delimitate, divieto di riuso per altri scopi, controllo giurisdizionale effettivo, sanzioni per abusi e trasparenza sostanziale. In questa logica, la proposta prevede relazioni annuali dai fornitori, dalle autorità e dal Centro EU: quanto più saranno dettagliate e comparabili, tanto più sarà efficace il controllo democratico.
Bisogna tenere in considerazione il fatto che la proposta si appoggi alla possibilità, prevista dalla direttiva 2002/58/CE e-Privacy, di limitare la riservatezza delle comunicazioni quando ciò sia “necessario, appropriato e proporzionato” per prevenire e perseguire reati gravi. È una base giuridica legittima, ma che va applicata con misura. Lo stesso regolamento indica espressamente che la limitazione di alcuni articoli dell’e-Privacy opera solo nella misura strettamente necessaria all’esecuzione degli ordini di rilevazione. Ne discende un obbligo di verifica caso per caso su necessità e proporzionalità (sia nella decisione di emettere l’ordine, sia nella scelta delle tecnologie impiegate).
Tuttavia, il testo mette sul tavolo garanzie precise, che però vanno trasformate in procedure verificabili. Gli ordini di rilevazione sono circoscritti nel tempo e mirati al singolo servizio, fino a 24 mesi per la diffusione di materiale noto/nuovo e di 12 mesi per grooming, con avvio non prima di tre mesi e non oltre dodici mesi dalla notifica. A chi li esegue è richiesto di usare tecnologie “allo stato dell’arte” e il meno invasive possibile rispetto all’obiettivo; è previsto un diritto di tutela/ricorso (redress) sia per i fornitori sia per gli utenti. Il Centro UE funziona da filtro, perché riceve segnalazioni, elimina gli evidenti falsi positivi e inoltra solo i casi fondati alle autorità competenti. A ciò si aggiungono obblighi di trasparenza e reporting sull’esecuzione degli ordini, così che i risultati siano misurabili e comparabili.
Diritti in gioco e prossime mosse: la direzione ipotetica del dossier
La base giuridica scelta dall’Unione europea è quella del mercato interno (art. 114 TFUE): l’idea è uniformare obblighi e responsabilità per i servizi online, inserendo nel sistema anche un Centro europeo dedicato alla gestione di indicatori, al supporto tecnico e all’inoltro delle segnalazioni. È una cornice che prova a coniugare tutela dei minori e libera circolazione dei servizi digitali. Il rovescio della medaglia è il bilanciamento con i diritti fondamentali. L’interferenza riguarda anzitutto l’art. 7 della Carta UE (vita privata e familiare, comunicazioni) e l’art. 8 (protezione dei dati), occorre evitare che tutela e privacy diventino un gioco a somma zero.
La Commissione stessa riconosce l’impatto del disegno regolatorio e fa leva sulla clausola di limitazione dei diritti quando “necessaria e proporzionata”, richiamando sia l’art. 52 della Carta UE, che l’art. 15 della direttiva e-Privacy, ma il margine d’errore è minimo: ordini troppo larghi o tecnologie troppo invasive rischiano l’illegittimità. Il bilanciamento, insomma, resta un cantiere aperto.
Sul piano politico, la discussione si è riaccesa con la bozza presentata della presidenza danese. Copenaghen ha rimesso sul tavolo i detection orders per i servizi E2EE, in concreto richiede che la rilevazione degli abusi avvenga “prima della trasmissione”. Quindi, il controllo si sposta dal server al dispositivo dell’utente nel momento dell’upload, prima che il messaggio venga cifrato e inviato. È il punto che più allarma garanti e mondo accademico per i noti rischi su sicurezza e diritti.
Fra agosto e settembre la mappa degli Stati membri si è chiarita: una maggioranza numerica di governi è orientata a favore (tra cui Francia, Spagna, Svezia), mentre un gruppo crescente si oppone (ad es. Austria, Paesi Bassi, Polonia, Finlandia e Belgio). In parallelo restano paesi indecisi (Estonia, Grecia, Romania, Slovenia). L’Italia è riportata fra i Paesi favorevoli a rendere operativi gli ordini (con l’obiettivo politico dichiarato di non toccare l’E2EE). Ad oggi, però, non risulta un documento pubblico definitivo che cristallizzi la posizione finale del governo in vista di ottobre.
Invece, la posizione della Germania diventa determinante. Più fonti hanno indicato un suo scivolamento nel fronte contrario alla scansione obbligatoria (DIET ZEIT, Deutschlandfunk, ZDF heute), ipotesi che, se confermata, spingerebbe verso la minoranza di blocco per soglia di popolazione, facendo slittare o ricalibrare il testo. Se Berlino non si opponesse, l’intesa politica al Consiglio diventerebbe più probabile, con l’invio delle questioni più controverse al trilogo con il Parlamento. In ogni caso, senza il requisito del 65% della popolazione, oltre al 55% degli Stati, il Consiglio non raggiunge la maggioranza qualificata per l’approvazione. Il punto controverso resta dove e come avviene la rilevazione quando c’è di mezzo la cifratura end-to-end. Se gli ordini resteranno davvero eccezionali, proporzionati e verificabili, si potrà proteggere i minori senza indebolire la cifratura; se si passerà per scorciatoie tecniche o giuridiche, il rischio sarà di costruire un’infrastruttura fragile. Nelle prossime tre settimane bisogna prestare attenzione a tre cose: ambito degli ordini, punto di controllo (server o dispositivo) e le tutele effettive per chi subisce gli errori.
Lettori e utenti dovrebbero pretendere regole chiare su quando scatta un ordine, trasparenza sui tassi di falsi positivi e divieti espliciti di riuso. La proposta apre un cantiere dove i dettagli fanno la differenza e, finché non ci sarà un testo comune, parlare di “fine della cifratura” è fuorviante; parlare di come limitare i rischi, invece, è doveroso.
Dopo il consolidamento delle posizioni del 12 settembre, il Consiglio potrebbe tentare un’intesa politica il 14 ottobre, ma questa è solo una tappa, non l’epilogo. Senza un accordo condiviso con il Parlamento in trilogo non ci sarà legge applicabile, e anche se ci dovesse essere, il testo finale potrebbe cambiare in modo significativo.
Non è una scelta netta tra sicurezza e privacy, ma quanto sullo strumento più adatto. Se gli impegni presi finora staranno in piedi, l’Europa potrà avere un modello credibile, volto a proteggere i minori senza normalizzare uno sguardo esterno dentro le nostre chat.
