Il 9 luglio 2026 il Parlamento Europeo ha approvato la proroga del
regolamento temporaneo noto come Chat Control 1.0, estendendone la
validità fino al 3 aprile 2028. Il voto è stato più complicato di quanto
sembri: la proposta di respingere integralmente la proroga ha ottenuto
314 voti favorevoli, 276 contrari e 17 astensioni, ma non ha raggiunto
la soglia dei 361 voti necessaria per bloccarla — quella maggioranza
assoluta richiesta dalla procedura d’urgenza che il PPE e la presidente
Roberta Metsola avevano voluto per riportare il testo in aula. Una
procedura che, di fatto, ha ribaltato l’onere della prova: non bastava
il “sì”, bisognava che il “no” raccogliesse abbastanza forza. Non l’ha
raccolta.
Per chi non ha seguito questa vicenda fin dall’inizio, vale la pena
ricostruirla con precisione, perché il racconto semplificato — “l’Europa
vuole spiare i tuoi messaggi” — non cattura né l’esatto perimetro della
norma né le ragioni per cui la questione resterà aperta a lungo.
Cosa fa davvero Chat Control 1.0 (e cosa non fa)
Il regolamento UE 2021/1232 autorizza i fornitori di servizi online —
Meta, Google, Microsoft e altri — a scansionare volontariamente le
comunicazioni elettroniche alla ricerca di materiale pedopornografico
CSAM (acronimo inglese di Child Sexual Abuse Material) .
Non impone un obbligo generalizzato. Non tocca le comunicazioni
protette da crittografia end-to-end (un sistema che protegge i messaggi
in modo che solo il mittente e il destinatario possano leggerli,
rendendoli incomprensibili a chiunque altro, anche al fornitore del
servizio). L’emendamento approvato il 9 luglio esclude esplicitamente
dall’ambito di applicazione “le comunicazioni alle quali è stata, è o
sarà applicata la crittografia end-to-end” . Rientrano in questa
esclusione WhatsApp, Signal, ecc. Dentro rimangono piattaforme come
Instagram, Discord, Snapchat, Skype, Xbox, Gmail e iCloud, cioè servizi
su cui i contenuti viaggiano — o vengono archiviati — in chiaro per il
provider. Queste aziende già potevano accedere a quei dati. La norma le
autorizza a farlo in modo sistematico, attraverso algoritmi che
confrontano gli hash dei file con database internazionali di materiale
illegale noto.
Detto così suona quasi banale. Non lo è, per almeno due motivi.
Il primo: gli algoritmi di rilevamento producono falsi positivi. Non
sono macchine infallibili, e una segnalazione errata — che finisce nelle
mani di autorità nazionali — riguarda una persona reale, non un dato
astratto. Un esempio concreto è una foto innocente di un bambino in una
vasca da bagno che potrebbe essere classificata erroneamente, generando
stress, segnalazioni e possibili problemi legali per i genitori. Il
secondo: il potere di sorveglianza che questa norma esercita non è nelle
mani di uno Stato, ma di aziende private, spesso statunitensi, che
operano in un quadro normativo ibrido. Chi controlla il controllore è
una domanda che il regolamento temporaneo non risolve.
L’Italia e la coerenza che non c’è
C’è un dettaglio che vale la pena registrare, perché racconta
qualcosa di preciso sul modo in cui la politica europea funziona — o non
funziona. Al 14 luglio 2026, continuano le discussioni sulla posizione
del governo italiano, che ha votato “sì” in sede di Consiglio UE per la
proroga di un provvedimento, pur avendo espresso contrarietà in sede
parlamentare. Nello specifico, i partiti di maggioranza Lega e Fratelli
d’Italia hanno votato “no” al Parlamento di Strasburgo sulla medesima
questione. Non è una sfumatura: è una contraddizione documentata, tra
due livelli dello stesso esecutivo, sullo stesso provvedimento.
La storia vera, che è quella di Chat Control 2.0
Chat Control 1.0 è solo un prolungamento. La vera questione è il
regolamento permanente, chiamato Chat Control 2.0. Questo è stato
proposto a maggio 2022 dalla Commissaria Ylva Johansson e ora è in
discussione tra Parlamento, Consiglio e Commissione. Le trattative
dovrebbero ricominciare a settembre 2026. Nella sua versione originale,
Chat Control 2.0 prevedeva la scansione sistematica di tutte le
comunicazioni, incluse quelle crittografate end-to-end. Il meccanismo
ipotizzato — il cosiddetto client-side scanning — avrebbe effettuato
l’analisi direttamente sul dispositivo dell’utente, prima che il
messaggio venisse cifrato (in poche parole quando ancora non è partito).
Dal punto di vista tecnico, questo svuota la crittografia end-to-end
del suo significato: è come installare una telecamera nell’appartamento
prima che qualcuno possa chiudere le tende. Esperti di crittografia e
sicurezza informatica, come l’ex europarlamentare e attivista Patrick
Breyer, avvertono che l’introduzione di “backdoor” o meccanismi di
controllo preventivo crea vulnerabilità strutturali che possono essere
sfruttate da attori malevoli e compromette i principi di sicurezza degli
strumenti digitali. Il testo è stato successivamente modificato per
rendere facoltativa l’adozione di questi sistemi, ma il dibattito resta
aperto e la direzione di marcia non è definita. Chi sostiene che la
crittografia end-to-end sia un diritto non negoziabile e chi ritiene che
la protezione dei minori online richieda strumenti più invasivi partono
da premesse entrambe legittime, ma inconciliabili senza sacrificare
qualcosa. Questa è una sfida a cavallo tra diritto, etica e architettura
tecnica dei sistemi di comunicazione, e nessuna delle due parti può
permettersi di liquidare l’altra come in malafede.
Cosa accade adesso, concretamente
Fino al 3 aprile 2028, le piattaforme che già accedono ai contenuti
in chiaro possono continuare a scansionarli volontariamente. Il testo
emendato approvato dal Parlamento tornerà ora al Consiglio UE, che ha
tre mesi per accettare o respingere le modifiche. Se non trova accordo,
si aprirà una procedura di conciliazione. Nel frattempo, i negoziati su
Chat Control 2.0 ripartiranno in autunno.
Se usi WhatsApp o Signal per comunicare, oggi non cambia nulla
rispetto a ieri. Se usi Gmail, Discord o Snapchat, quei contenuti erano
già accessibili ai provider e potevano già essere analizzati. La proroga
non introduce nuovi poteri di accesso: li mantiene, e li formalizza per
altri due anni.
Il punto su cui tenere alta l’attenzione non è Chat Control 1.0. È
cosa deciderà il trilogo nei prossimi mesi su Chat Control 2.0, e se il
client-side scanning troverà spazio nel testo definitivo. Quello sì
cambierebbe lo scenario in modo strutturale — non per chi spia le chat,
ma per come e dove avviene l’analisi. Su questo, per ora, non c’è ancora
una risposta.
Alternative alla sorveglianza di massa per la protezione dei minori
I critici di Chat Control suggeriscono che esistono alternative più
efficaci e meno invasive per combattere l’abuso sessuale sui minori
online, senza compromettere la privacy di tutti gli utenti. Queste
includono:
Indagini mirate: Concentrare le risorse su indagini specifiche basate
su sospetti concreti, piuttosto che su scansioni generalizzate.
Rafforzamento della cooperazione internazionale: Migliorare la
collaborazione tra le forze dell’ordine a livello globale per
identificare e perseguire i responsabili.
Sanzioni più severe: Aumentare la severità delle pene per i crimini di abuso sessuale sui minori.
Investimenti nella protezione dei minori: Destinare maggiori risorse a
programmi di educazione alla sicurezza online e supporto alle vittime.
Strumenti investigativi esistenti: Utilizzare metodi già collaudati come
intercettazioni mirate e Trojan di Stato, che colpiscono singoli
sospettati tramite mandato del giudice.
Analisi forense e intelligence: Sfruttare l’analisi di oggetti,
ambienti, insegne e altri dettagli visibili nei contenuti (come nella
campagna “Trace an Object” di Europol) per identificare vittime e
responsabili, insieme all’infiltrazione nei gruppi chiusi.
Un po di dati?
Non sono stati trovati dati specifici che dimostrino l’efficacia
delle scansioni di massa rispetto a questi metodi più mirati. Tuttavia, i
critici sostengono che estendere la scansione ai messaggi privati
significherebbe aggiungere un’intrusione enorme a fronte di un beneficio
da dimostrare. Si evidenzia inoltre che il 95% delle segnalazioni
proviene da un solo soggetto privato (Meta/Zuckerberg), con una valanga
di falsi positivi, suggerendo che l’attuale approccio è sproporzionato.
E per concludere?
Come spesso accade, più passa il tempo, più la tecnologia evolve e
più le sfide diventano complesse. È un po’ come alcune piante: finché
crescono isolate non arrecano alcun danno, ma se si diffondono senza
controllo accanto ad altre possono trasformarsi in infestanti, al punto
che estirparle senza compromettere l’intero ecosistema diventa
estremamente difficile. Con il digitale sta accadendo qualcosa di
simile. Per questo l’attenzione dei governi dovrebbe concentrarsi meno
su risposte lente e burocratiche e più sulla creazione di task force
agili, altamente specializzate e costantemente aggiornate, capaci di
intervenire con rapidità. Perché mentre il dibattito politico procede
con i suoi tempi, i nostri figli continuano a essere bersagli sempre più
facili per persone senza scrupoli che sfruttano gli strumenti digitali
per adescare, manipolare e abusare.
(https://marcomirra.it/chat-control-1-0-chi-scansiona-le-tue-chat-cosa-ha-deciso-leuropa-e-dove-stiamo-andando/)