Chat Control. Tutte le domande e tutte le risposte
Chat Control: l'UE proroga il controllo volontario dei messaggi. È scontro aperto tra privacy e sicurezza
di Maria Giulia Molinaro Vitale
Nel 2020, mentre il mondo era alle prese con la pandemia e con lo sdoganamento di tecnologie di comunicazione fino ad allora pressoché ignorate, Bruxelles compiva un passo silenzioso ma fondamentale nella garanzia della privacy delle persone residenti in Europa: equiparava le chat digitali alla corrispondenza fisica. Un messaggio su WhatsApp o Messenger diventava, agli occhi della legge, sacro come una lettera chiusa in busta — nessuno, eccetto il mittente e il destinatario, avrebbe potuto aprirla e leggerla. Questo, come vedremo più avanti, non vuol dire che non esistesse già una sorveglianza di massa nel continente. Tuttavia, per la Commissione europea, quella tutela rendeva più difficile stanare chi usava proprio quelle chat per scambiarsi materiale illegale, primo tra tutto materiale pedopornografico. Nasce così l'idea di una deroga — Chat Control 1.0 — che avrebbe permesso alle piattaforme, su base volontaria, di scansionare le conversazioni alla ricerca di questo tipo di contenuti. Non un obbligo, ma una possibilità.
Il Parlamento europeo dice no a questa deroga, non una ma ben due volte. Nelle aule di Strasburgo la proposta viene bollata come una breccia pericolosa nella privacy di centinaia di milioni di cittadini, un varco che si apre per una buona causa ma che potrebbe non richiudersi mai più. È a questo punto che la storia si divide. Anziché fare marcia indietro, la Commissione alza la posta: se il Parlamento non vuole concedere la possibilità, la Commissione propone di trasformarla in obbligo. Nasce così Chat Control 2.0, il fascicolo più ambizioso e controverso della storia dell’istituzione, che imporrebbe ai provider di controllare ogni scambio privato — comprese le comunicazioni protette da cifratura end-to-end, lo stesso scudo tecnico che rende WhatsApp illeggibile persino a Meta. Per farlo davvero, servirebbe spostare il controllo direttamente sul telefono dell'utente, prima ancora che il messaggio venga cifrato e spedito.
Questo secondo fascicolo, il più radicale, resta bloccato: la Commissione e il Consiglio spingono, il Parlamento frena. Ma il primo, quello più contenuto — la semplice deroga volontaria del 2020 — continua a vivere di vita propria, su un binario parallelo, tornando periodicamente sul tavolo del voto. L'ultimo appuntamento è il 9 luglio 2026, quando l'Aula è stata chiamata a decidere, ancora una volta, se prorogare quella finestra aperta cinque anni prima. Sembra quasi che il Chat Control 2.0 sia una dimostrazione di forza al Parlamento: la Commissione può obbligare i provider a fornire le chat, ma proprio perché tengono alla privacy dei residenti, la mettono su base volontaria (l’obbligo, se servirà, arriverà con altri tipi di accordi tra tecnici, su cui il Parlamento non ha potere).
Prima di entrare nel merito, è necessaria una precisazione: Chat Control 1.0 è una norma pensata per cercare contenuti pedopornografici, criticata perché permetterebbe alle piattaforme e ai provider di leggere le conversazioni degli utenti, ma nel voto del 9 luglio 2026 le comunicazioni protette da cifratura end-to-end sono state escluse dal campo di applicazione del testo. Questo significa che WhatsApp o Messenger, se cifrati end-to-end, restano fuori dalla scansione volontaria prevista da questa specifica deroga — un punto che il Parlamento europeo ha ottenuto proprio per limitare la portata della misura. Detto questo, il nucleo del problema resta: chi si oppone sostiene che si stiano consegnando le chat private ai big tech, i sostenitori dicono di voler combattere la pedopornografia, e il dibattito sulla proporzionalità dello strumento è tutt'altro che chiuso.
Cronologia burocratica
Il quadro normativo distingue due binari paralleli. Il primo è la deroga temporanea al regolamento ePrivacy (Chat Control 1.0): il Regolamento UE 2021/1232 consentiva ai provider di derogare ad alcune regole ePrivacy per rilevare, segnalare e rimuovere il CSAM (Child Sexual Abuse Material) su base volontaria. Questa deroga è scaduta ad aprile 2026 dopo che il trilogo tra Parlamento, Commissione e Consiglio non aveva trovato un accordo. Il 2 luglio 2026 il Consiglio dell'Unione Europea ha rimesso in moto, tramite procedura scritta, il meccanismo che consente alle piattaforme di scansionare volontariamente le chat alla ricerca di materiale pedopornografico, di fatto ricreando lo stesso regime scaduto sotto la veste di un regolamento nuovo. Il 9 luglio, in seconda lettura, il Parlamento ha votato sulla posizione del Consiglio: la mozione per respingerla ha ottenuto 314 voti favorevoli, 276 contrari e 17 astensioni, ma serviva la maggioranza assoluta di 360 voti per bloccarla. Visto che la soglia non è stata raggiunta, il Parlamento europeo ha quindi approvato la proroga, che si applicherà fino ad aprile 2028, mentre i contenuti e i metadati analizzati dovranno essere cancellati entro 12 mesi dal rilevamento, salvo sospetto concreto.
Il secondo binario, separato, è il regolamento permanente (il cosiddetto Chat Control 2.0, o CSAR – Child Sexual Abuse Regulation), ancora in negoziazione: la maggior parte degli aspetti del testo è stata concordata sotto la presidenza cipriota del Consiglio nella prima metà del 2026, ma restano punti aperti, e i negoziati dovrebbero riprendere dopo l'estate. Va notato un elemento procedurale controverso: il Parlamento aveva già respinto la proroga nell'aprile 2026 e aveva persino invitato la Commissione a ritirare la proposta, ma con una procedura eccezionale sollecitata dalla presidente del Parlamento europeo Metsola il fascicolo è stato rimesso sul tavolo con regole procedurali più favorevoli alla sua approvazione — un meccanismo che alcuni osservatori giudicano un aggiramento della volontà già espressa dall'aula.
La posizione della Commissione europea si fonda su dati concreti sull'utilità delle segnalazioni: in alcuni Paesi UE fino all'80% delle indagini sugli abusi sessuali sui minori online nascerebbe da segnalazioni dei fornitori di servizi. La Commissione ha inoltre avvertito che la fine della scansione renderebbe più facile la diffusione di materiale pedopornografico, l'impunità dei responsabili e l'adescamento di bambini nell'UE.
Le critiche: politiche e tecniche
Sul piano politico, le obiezioni non riguardano il fine ma i mezzi. Secondo i critici — tra cui esperti di sicurezza informatica e associazioni per i diritti digitali — si tratterebbe di sorveglianza di massa e di violazione della corrispondenza privata garantita dalle costituzioni occidentali, con un controllo lasciato interamente a un algoritmo la cui segnalazione errata potrebbe rovinare la vita di una persona innocente. Viene anche sollevata la questione del precedente: non c'è nulla che distingua giuridicamente la pedopornografia da altri reati; quindi, nulla impedirebbe in futuro di usare lo stesso strumento per sorvegliare azioni non riconducibili moralmente alla pedopornografia. Primi tra tutti, gli attivisti, già nel mirino del sistema Schengen e dell’Europol. In Parlamento, l'eurodeputato ed ex sindaco di Roma Ignazio Marino ha parlato apertamente di "sorveglianza di massa", mentre la verde Markéta Gregorová ha sostenuto che sia in gioco "l'essenza stessa della democrazia”. Oltre 800 ricercatori hanno firmato un appello mettendo in guardia sugli errori della scansione automatica.
Sul piano tecnico-accademico, il lavoro di riferimento resta lo studio Bugs in our Pockets: The Risks of Client-Side Scanning, firmato da un gruppo internazionale di crittografi ed esperti di sicurezza (tra cui Ross Anderson, Hal Abelson, Carmela Troncoso e Josh Benaloh) e pubblicato sulla rivista Journal of Cybersecurity di Oxford Academic. Gli autori sostengono che il client-side scanning non garantisce né una prevenzione efficace dei crimini né impedisce la sorveglianza, e che non esiste uno spazio di progettazione per soluzioni che offrano benefici sostanziali alle forze dell'ordine senza mettere seriamente a rischio la privacy e la sicurezza dei cittadini rispettosi della legge.
Un altro studio osserva che anche se l'obiettivo iniziale di questi sistemi fosse solo l'individuazione di contenuti chiaramente illegali, con il tempo si genererebbe una pressione enorme per ampliarne l'ambito di applicazione, lasciando alle persone poche possibilità di resistere a tale espansione o di prevenirne gli abusi. Sul fronte dell'affidabilità tecnica, un documento pubblicato dall’Università di Bristol, Lancaster spiega che i sistemi di rilevamento basati su hash crittografici sono molto inaffidabili in questo contesto, perché qualsiasi modifica dell'immagine (ritaglio, rotazione, ridimensionamento, compressione usata dai sistemi di messaggistica) ne fa fallire la rilevazione. Il caso più noto di fallimento pratico è quello di Apple. Nel 2021 la casa statunitense annunciò la scansione delle foto su iCloud tramite NeuralHash, ma i ricercatori dimostrarono rapidamente falle fondamentali creando collisioni di hash (immagini innocue generavano lo stesso hash e venivano automaticamente catalogate come CSAM) e l'azienda, pur controllando sia hardware sia software del proprio ecosistema, ammise di non poter implementare il sistema senza creare nuovi vettori di minaccia, abbandonando poi il progetto.
Con la scansione lato client la cifratura end-to-end resta formalmente in vigore ma viene di fatto aggirata, perché il contenuto deve essere controllato sul dispositivo del mittente prima della cifratura. Il quadro emerso dalle fonti più recenti mostra un compromesso instabile: la deroga volontaria è stata prorogata fino al 2028, ma con l'esclusione esplicita delle comunicazioni cifrate end-to-end — un punto conquistato proprio da chi temeva la sorveglianza generalizzata. Resta però aperta la partita più importante, quella del regolamento permanente (Chat Control 2.0), dove si deciderà se e come estendere obblighi di scansione anche ai servizi cifrati. La letteratura scientifica citata converge su un punto: tecnicamente, non risulta ancora dimostrata l'esistenza di un sistema di scansione che protegga i minori senza creare al contempo vulnerabilità sistemiche sfruttabili da governi malintenzionati o rischi di falsi positivi su larga scala.
I dati mostrano con chiarezza che il sistema genera un volume enorme di segnalazioni, e che solo una piccola parte corrisponde a casi concreti. Sul fronte dei volumi, il NCMEC (il centro americano a cui arrivano le segnalazioni di quasi tutte le piattaforme, incluse quelle europee) ha ricevuto oltre 546.000 segnalazioni di adescamento online (grooming) nel 2024, in crescita del 194% rispetto al 2023 — un salto enorme che i sostenitori della scansione citano come prova diretta della sua efficacia nel far emergere casi altrimenti invisibili. Quello che manca — e che sia i ricercatori indipendenti sia, internamente, la stessa Europol segnalano — è una misurazione pubblica e verificabile di quanto sia realmente accurato: non esiste alcun tasso ufficiale di falsi negativi, lo stesso NCMEC, nei suoi report di trasparenza al Congresso USA, ammette che solo circa la metà delle segnalazioni ricevute sono davvero actionable (utilizzabili dalle forze dell'ordine per aprire un caso) — l'altra metà sono classificate come informational, cioè troppo povere di dati per portare a un'indagine concreta. Quindi il numero grezzo di segnalazioni non equivale al numero di abusi realmente contrastati. Il secondo problema è la qualità delle etichette stesse. Nel primo semestre 2025 Amazon ha segnalato centinaia di migliaia di contenuti come generati da AI (GAI), ma un'analisi di Stanford ha stabilito che circa l'80% di quelle segnalazioni erano vere foto ma semplici corrispondenze di hash con materiale già noto, mal classificate — un segnale di quanto siano inconsistenti le pratiche di reporting tra piattaforme diverse.
Il paper Putting the Count Back Into Accountability nota un punto cruciale: esistono dati sui falsi positivi, ma nessun dato pubblico sui falsi negativi — cioè su quanto materiale reale sfugga alla scansione — né sulla prevalenza reale del fenomeno. Nemmeno Meta, che pure pubblica statistiche di prevalenza per altre categorie di contenuti nocivi, ha mai pubblicato questo dato per i CSAM. Significa che non esiste, a oggi, una misura solida di quanta pedopornografia il sistema riesce davvero a fermare rispetto a quanta ne passa comunque.
Europol e accademici hanno seri dubbi
Un dettaglio interessante emerso da un'inchiesta di IrpiMedia: nel luglio 2023 un documento interno dell'Ufficio per i diritti fondamentali di Europol — cioè l'agenzia che dovrebbe beneficiare di questi strumenti — esprimeva preoccupazioni sulle implicazioni per i diritti fondamentali derivanti da risultati distorti, falsi positivi o falsi negativi del sistema di riconoscimento CSAM che l'agenzia stessa sta sviluppando. Nonostante questo, l'ufficio ha dato comunque il via libera al progetto. Quindi, l'efficacia dichiarata su cui si basano i sostenitori di questo testo si basano sul volume di segnalazioni, e non su prove che il fenomeno complessivo si stia effettivamente riducendo, o che questo sistema di sorveglianza di massa stia funzionando.