Il “Chat control” è l’epiteto dato alla proposta Ue di nuovo regolamento – ancora in fase di discussione – che mira a prevenire e combattere l’abuso sessuale su minori online, fissando nuove regole per le piattaforme digitali e i fornitori di servizi online, il “Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse (CSAM )”. Lo avevamo approfondito qui.
Questo epiteto si rifarebbe alla possibilità di scansione da parte di un ente governativo dei contenuti privati (“detection”) su piattaforme private di messagistica come Telegram, Whatsapp o Signal. Secondo i contrari, come si legge dall’iniziativa online Fight Chat Control, la proposta “richiede la scansione di tutte le comunicazioni digitali private, inclusi messaggi crittografati e foto. Questa minaccia i diritti fondamentali alla privacy e la sicurezza digitale di tutti i cittadini dell’UE”. Secondo però la prima versione della proposta tale scansione poteva avvenire solo su ordine dell’autorità, quindi né automatica né preventiva per tutti. L’obbligo dei provider (piattaforma come ad esempio WhatsApp, Signal o Telegram) era sullo svolgimento di una valutazione dei rischi. La scansione dei contenuti (messaggi, immagini ecc) poteva essere imposta su ordine dell’autorità competente, caso per caso:
- o qualora la valutazione del rischio e le misure di mitigazione non fossero state necessarie a eliminare il rischio significativo: quindi il servizio avrebbe continuato ad essere usato per gli abusi sessuali online;
- o qualora l’autorità giudiziaria o amministrativa indipendente avesse valutato che l’ordine fosse proporzionato e necessario.
Inoltre, l’ordine aveva un limitato di tempo (max 12 mesi, 6 per grooming) e di scopo (per esempio solo su certe chat, utenti o tipi di contenuti).
Pertanto, secondo la prima versione della proposta, la cosiddetta “scansione preventiva” non è obbligatoria di default. Diventa obbligatoria solo se viene emesso un “detection order” contro uno specifico servizio. Tuttavia, il regolamento introduce la possibilità di ordinare alle piattaforme la scansione mirata delle comunicazioni private, anche cifrate, per individuare materiale o comportamenti legati ad abusi su minori. E per questo motivo il dibattito politico e mediatico lo definisce “chat control”. Tecnicamente però, non si tratta di un obbligo generale di sorveglianza, ma di una misura eccezionale e autorizzata da un giudice.
Il punto del disegno, il motivo che ha fatto esplodere il dibattito sul cosiddetto “chat control” e la fine della privacy e della crittografia – anche se, tecnicamente, il regolamento non dice mai esplicitamente di “rompere la crittografia” – è nell’art. 7:
il provider deve essere in grado di eseguire la scansione quando riceve un “detection order”, anche nei servizi di comunicazione interpersonale privata (come WhatsApp, Signal, Telegram, Messenger, ecc.). L’obbligo riguarda la ricerca di materiale noto o nuovo di abuso su minori e di conversazioni sospette di grooming (“adescamento dei minori”). Quindi, il regolamento non vieta la crittografia end-to-end, ma impone ai fornitori di trovare un modo per eseguire l’ordine anche se la usano.
Ma allo stesso tempo, se un’autorità ordina al gestore di una piattaforma di scansionare i messaggi per immagini o testo sospetto, ci sarebbero solo due possibilità tecniche:
- rompere la crittografia: il gestore decritta i messaggi prima di inviarli o li intercetta mentre vengono cifrati, per poterli analizzare. Di conseguenza, la comunicazione non è più privata, perché il fornitore ha accesso al contenuto.
- Il “client-side scanning”: la scansione avviene sul dispositivo dell’utente (prima che il messaggio venga cifrato e inviato). Ed è questo ciò che il regolamento sembra implicitamente richiedere: il provider deve usare “tecnologie di rilevamento efficaci e meno intrusive possibili, compatibili con lo stato dell’arte”. Di conseguenza, anche se il messaggio resta cifrato durante il trasporto, viene analizzato sul telefono o computer dell’utente prima di partire. In pratica, un software deve “leggere” tutto ciò che l’utente scrive o invia per verificare che non sia materiale illecito. E tale software dovrebbe essere istallato proprio sul dispositivo, in questo caso smartphone, dell’utente.
A oggi, l’Unione europea non ha ritirato il progetto “chat control”, come in diversi stanno affermando. La proposta di regolamento COM(2022) 209, non è stata respinta. Il 30 ottobre 2025 era prevista nel Consiglio Giustizia e Affari Interni (JHA) una votazione sulla posizione degli Stati membri relativa alla proposta COM(2022) 209. Ma diversi Stati membri chiave (Germania, Austria, Paesi Bassi, Polonia ecc) avevano annunciato che non avrebbero sostenuto la versione del testo che includeva la possibilità di scansione delle comunicazioni cifrate. Pertanto, senza di loro, non si sarebbe raggiunta la maggioranza qualificata necessaria per approvare la posizione del Consiglio. Ecco allora che la presidenza belga (guida del Consiglio nel semestre corrente) ha ritenuto opportuno togliere il punto dall’ordine del giorno poco prima del voto.
Nel frattempo rimane in vigore la regolamentazione temporanea (Reg. UE 2021/1232, prorogata fino ad aprile 2026), che attualmente fornisce una chiara base giuridica per consentire alle aziende di analizzare proattivamente e volontariamente materiale pedopornografico sulle proprie piattaforme, senza il rischio di essere ritenute responsabili per violazione delle norme privacy.
Una delle ultime soluzioni è stata proposta dall’IWF (Internet Watch Foundation), la più grande associazione “europea” dedicata alla rimozione di materiale pedopornografico online, che ha da poco pubblicato (9 ottobre) un nuovo documento che illustra come le piattaforme di messaggistica crittografate end-to-end (E2EE) possono impedire la diffusione di immagini e video di abusi sessuali su minori noti senza violare la crittografia o violare la privacy degli utenti. In pratica non verrebbero eseguite analisi di testo o immagini sconosciute, proprio perché non è richiesta la scansione di tutte le chat: vengono bloccate automaticamente solo l’upload di immagini già identificate come illegali, attraverso un controllo pre-cifratura che preserva la privacy. Il processo è paragonabile ai normali controlli antivirus o ai “rich link preview” già esistenti su WhatsApp o Gmail.
Certo, magari non sarà la soluzione migliore, ma non bisogna escludere un altro rischio che si starebbe prospettando: trovarsi con una grave lacuna giuridica. Il prossimo aprile infatti scadrà laregolamentazione temporanea (Reg. UE 2021/1232), che di certo non ha limitato il numero di abusi avvenuti negli ultimi anni, e qualora fosse nuovamente rinnovata, non risolverebbe il problema. Il numero degli abusi infatti sembrerebbe negli ultimi anni diminuito leggermente, ma questa diminuzione non sarebbe legata a minori casi di abusi ma a un numero minore di segnalazioni fatte a causa della crittografia di queste piattaforme. Lo abbiamo approfondito in questo articolo. (foto di William Navarro su Unsplash)
© RIPRODUZIONE RISERVATA