Chat Control, cos’è, perché serve e perché non viola la privacy
1 minuti fa
Chat Control, cos’è, perché serve e perché non viola la privacy
Il nuovo sistema proposto dall'Unione europea mira a prevenire e combattere l' abuso sessuale sui minori, ecco come funzionerà
Giacomo Mele

Indice degli argomenti

L’Unione Europea sta varando un innovativo regolamento che mira a prevenire e combattere l’abuso sessuale su minori online, fissando nuove regole per le piattaforme digitali e i fornitori di servizi online. La proposta si chiama “Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (CSAM ), ed è nota come “Chat Control“.

Al centro della proposta, vi è il delicato equilibrio tra la necessità di proteggere i minori da abusi gravi quali pedofilia e pedopornografia, e la tutela dei diritti fondamentali degli utenti, in particolare la privacy.

Uno degli aspetti più discussi riguarda l’obbligo o meno per le piattaforme di effettuare una scansione preventiva e costante dei contenuti, anche in servizi che adottano la crittografia end-to-end, per individuare materiale pedopornografico o attività di grooming (adescamento).

Valutazione del rischio, un obbligo per i prestatori

Secondo la Proposta UE, ogni prestatore di servizi online, come piattaforme di social media, servizi di messaggistica o negozi di applicazioni, è tenuto a effettuare una valutazione del rischio per ogni servizio offerto, per capire “il rischio di un suo uso a fini di abuso sessuale su minori online” (Art. 3, par. 1).

Questa valutazione richiede di analizzare “casi già individuati di uso abusivo”, le funzionalità della piattaforma che possono facilitare tali abusi, le caratteristiche degli utenti, specie minori, e l’impatto del modello di business (Art. 3, par. 2). L’obiettivo è permettere al prestatore di individuare e mitigare questi rischi attraverso misure proporzionate e adeguate (Art. 4).

La scansione non è automatica, ma uno strumento di mitigazione

La Proposta chiarisce che la scansione dei contenuti non è un obbligo universale e automatico imposto a prescindere. Piuttosto la scansione è uno degli strumenti che il prestatore può adottare per mitigare il rischio emerso dalla valutazione (Art. 4). In altre parole, la scansione dei dati è una scelta che rientra all’interno delle misure di attenuazione ragionevoli e proporzionate, necessarie ma non obbligatorie a priori.

Come si legge nel testo: “I prestatori sono liberi di definire e attuare, conformemente al diritto dell’Unione, misure basate sulle pratiche adottate per rilevare i casi di abuso sessuale su minori online nei loro servizi” (Art. 4, par. 2), tenendo conto delle capacità tecniche e finanziarie.

Quando la scansione diventa obbligatoria

La Proposta prevede però che, se anche dopo la valutazione e le misure adottate dal prestatore persiste un rischio significativo che il servizio possa essere usato per abusi su minori, le autorità nazionali designate possano intervenire.

In questi casi, le autorità “possono chiedere all’autorità giudiziaria o amministrativa indipendente di emettere un ordine che impone al prestatore di servizi di effettuare la rilevazione obbligatoria di casi di abuso” (Art. 7, par. 1).

L’ordine viene emesso solo dopo una “valutazione obiettiva, diligente e caso per caso”, che bilancia la probabilità e gravità dell’abuso con le possibili conseguenze negative per i diritti fondamentali degli utenti (Art. 7, par. 4).

Il testo sottolinea inoltre che “l’ordine di rilevazione può essere emesso unicamente se i motivi per emetterlo prevalgono sulle conseguenze negative per i diritti e gli interessi legittimi di tutte le parti interessate” (Art. 7, par. 4).

Garanzie e tutela della privacy

Data la sensibilità della scansione automatica, specie nelle comunicazioni private e crittografate, il regolamento prevede una serie di garanzie, come la limitazione della durata degli ordini, la vigilanza umana sulle tecnologie di rilevazione, la minimizzazione dei dati trattati e l’accesso agli strumenti di ricorso per utenti e prestatori (Art. 10).

Il Centro UE sulla prevenzione e lotta contro l’abuso sessuale su minori, altra novità della proposta, avrà un ruolo di supporto per le autorità e le piattaforme, fornendo banche dati di indicatori affidabili e tecnologie adeguate per la rilevazione, contribuendo a ridurre falsi positivi e impatti invasivi (Art. 11).

L’iter legislativo, l’evoluzione dopo le polemiche

Fase 1. La Commissione europea

Pertanto la Proposta della Commissione inviata nel 2022 anche se non dice esplicitamente “avrete uno scanner o algoritmo sul telefono”, introduce “ordini di rilevazione” che devono essere rispettati indipendentemente dalla tecnologia usata, anche se il servizio è cifrato end-to-end; la scelta del “come” è lasciata al provider. E proprio sui servizi E2EE l’unico modo pratico sarebbe la scansione lato-client (prima della cifratura).

Fase 2. Il Parlamento

Nel 2023 la posizione del Parlamento europeo (mandato LIBE 2023, sintesi PE) ha escluso dalla portata degli ordini sia la cifratura end-to-end sia i messaggi di testo, e limitato gli ordini a casi con ragionevole sospetto, quindi niente scansione indiscriminata. Solamente qualora i fornitori non adempissero alle misure proposta dal nuovo Regolamento – principio di sicurezza fin dalla progettazione (sviluppare prodotti o servizi in modo da evitare potenziali danni), controlli parentali obbligatori, l’istituzione di meccanismi di segnalazione degli utenti e l’uso di sistemi di verifica dell’età in caso di rischio di adescamento di minori -, allora l’autorità giudiziaria potrebbe emettere un ordine di individuazione, ma solo come ultima risorsa. Tale ordine obbligherebbe il fornitore a utilizzare determinate tecnologie per rilevare materiale pedopornografico noto e nuovo.

Gli ordini di rilevamento verrebbero utilizzati solo in caso di ragionevole sospetto che singoli utenti o gruppi siano collegati a materiale pedopornografico. Gli ordini sarebbero limitati nel tempo, escludendo comunque dal loro ambito di applicazione le comunicazioni crittografate end-to-end e i messaggi di testo. Questo approccio mira a garantire la tutela della privacy e della sicurezza degli utenti dei servizi digitali.

Fase 3. Il Consiglio

Nel suo iter legislativo, il 1 luglio 2025 è stata presentata la Bozza del Consiglio, dopo una decina di consultazioni ed emendamenti: qui è scritto chiaro che, per i servizi E2EE, la rilevazione avviene “prima della trasmissione dei contenuti” (cioè pre-crittografia), con una clausola di “consenso dell’utente”. 

Fase 4. Triloghi tra Consiglio e PE

Per essere legge manca ancora la quarta fase: l’apertura dei triloghi (riunioni informali PE-Consiglio con la Commissione come facilitatore) per cucire un testo di compromesso accettabile ad entrambi. Già, Consiglio e PE sono co-legislatori. Il testo definitivo nasce quando Parlamento europeo e Consiglio votano e approvano lo stesso identico testo nell’ambito della procedura legislativa ordinaria. Se non c’è accordo, la legge non si adotta

Situazione attuale

Quindi non è legge e non c’è (ancora) un obbligo uguale per tutti. Se passasse l’attuale linea del Consiglio, per i servizi E2EE (es. WhatsApp/Signal/Telegram) significherebbe l’istallazione di software che controllano i contenuti prima della cifratura; se prevalesse invece la linea del Parlamento, non avverrebbe alcuna scansione. Tutto sarà più chiaro il 14 ottobre, quando i ministri potrebbero tentare l’adozione della posizione del Consiglio (“general approach”). È qui che si avrebbe il vero “voto politico” dei ministri, se il dossier sarà pronto.

Nella giornata odierna invece sta avvenendo una riunione tecnica del Consiglio (LEWP – Law Enforcement Working Party) che esamina il testo di compromesso della presidenza. Non è una “adozione formale”: è un preparatorio dove gli Stati indicano le loro posizioni e si prova a chiudere un testo da portare ai ministri.

Dunque, dopo l’eventuale posizione del Consiglio a ottobre, serviranno i triloghi con il Parlamento per concordare un testo comune e poi l’adozione formale.

In tutto ciò va sempre ricordato l’art. 15 della Costituzione italiana che tutela la libertà e la segretezza della corrispondenza (privata) e di ogni altra forma di comunicazione, con possibili limitazioni solo per atto motivato dell’autorità giudiziaria e con le garanzie di legge. (foto di Adem AY su Unsplash)

© RIPRODUZIONE RISERVATA

Precedente
Legal

L’antipatico atteggiamento USA verso la normativa tech europea

03 Set 2025
G.
Mele

News correlate
ecosistema

Nasce a Milano lo SmartCityLab, incubatore, acceleratore, laboratorio tech

L'iniziativa voluta dall'amministrazione cittadina è gestita da Pwc, Lifegate, Lhub, Webgenesys e Designtech

22 Lug 2025
S.
Redazione
Report

Investimenti VC in sud Europa a quota 2,9 miliardi di euro nella prima metà del 2025

Il report di Pitchbook mette in luce come i Paesi del sud Europa siano protagonisti di una crescita in investimenti in startup

06 Ago 2025
S.
Redazione
Funding News

Round serie C da 70 milioni di euro per la scaleup cybersecurity Exein

Partecipano all'investimento Balderton, Supernova, Lakestar con 33N, United Ventures e Partech che avevano partecipato al round precedente

16 Lug 2025
S.
Redazione

Entra nella community

Premi qui per leggere le Newsletters precedenti

    Iscriviti alla newsletter