Il 9 luglio 2026 il Parlamento Europeo ha approvato la proroga del regolamento temporaneo noto come Chat Control 1.0, estendendone la validità fino al 3 aprile 2028. Il voto è stato più complicato di quanto sembri: la proposta di respingere integralmente la proroga ha ottenuto 314 voti favorevoli, 276 contrari e 17 astensioni, ma non ha raggiunto la soglia dei 361 voti necessaria per bloccarla — quella maggioranza assoluta richiesta dalla procedura d’urgenza che il PPE e la presidente Roberta Metsola avevano voluto per riportare il testo in aula. Una procedura che, di fatto, ha ribaltato l’onere della prova: non bastava il “sì”, bisognava che il “no” raccogliesse abbastanza forza. Non l’ha raccolta.
Per chi non ha seguito questa vicenda fin dall’inizio, vale la pena ricostruirla con precisione, perché il racconto semplificato — “l’Europa vuole spiare i tuoi messaggi” — non cattura né l’esatto perimetro della norma né le ragioni per cui la questione resterà aperta a lungo.
Cosa fa davvero Chat Control 1.0 (e cosa non fa)
Il regolamento UE 2021/1232 autorizza i fornitori di servizi online — Meta, Google, Microsoft e altri — a scansionare volontariamente le comunicazioni elettroniche alla ricerca di materiale pedopornografico CSAM (acronimo inglese di Child Sexual Abuse Material) . Non impone un obbligo generalizzato. Non tocca le comunicazioni protette da crittografia end-to-end (un sistema che protegge i messaggi in modo che solo il mittente e il destinatario possano leggerli, rendendoli incomprensibili a chiunque altro, anche al fornitore del servizio). L’emendamento approvato il 9 luglio esclude esplicitamente dall’ambito di applicazione “le comunicazioni alle quali è stata, è o sarà applicata la crittografia end-to-end” . Rientrano in questa esclusione WhatsApp, Signal, ecc. Dentro rimangono piattaforme come Instagram, Discord, Snapchat, Skype, Xbox, Gmail e iCloud, cioè servizi su cui i contenuti viaggiano — o vengono archiviati — in chiaro per il provider. Queste aziende già potevano accedere a quei dati. La norma le autorizza a farlo in modo sistematico, attraverso algoritmi che confrontano gli hash dei file con database internazionali di materiale illegale noto.
Detto così suona quasi banale. Non lo è, per almeno due motivi.
Il primo: gli algoritmi di rilevamento producono falsi positivi. Non sono macchine infallibili, e una segnalazione errata — che finisce nelle mani di autorità nazionali — riguarda una persona reale, non un dato astratto. Un esempio concreto è una foto innocente di un bambino in una vasca da bagno che potrebbe essere classificata erroneamente, generando stress, segnalazioni e possibili problemi legali per i genitori. Il secondo: il potere di sorveglianza che questa norma esercita non è nelle mani di uno Stato, ma di aziende private, spesso statunitensi, che operano in un quadro normativo ibrido. Chi controlla il controllore è una domanda che il regolamento temporaneo non risolve.
L’Italia e la coerenza che non c’è
C’è un dettaglio che vale la pena registrare, perché racconta qualcosa di preciso sul modo in cui la politica europea funziona — o non funziona. Al 14 luglio 2026, continuano le discussioni sulla posizione del governo italiano, che ha votato “sì” in sede di Consiglio UE per la proroga di un provvedimento, pur avendo espresso contrarietà in sede parlamentare. Nello specifico, i partiti di maggioranza Lega e Fratelli d’Italia hanno votato “no” al Parlamento di Strasburgo sulla medesima questione. Non è una sfumatura: è una contraddizione documentata, tra due livelli dello stesso esecutivo, sullo stesso provvedimento.
La storia vera, che è quella di Chat Control 2.0
Chat Control 1.0 è solo un prolungamento. La vera questione è il regolamento permanente, chiamato Chat Control 2.0. Questo è stato proposto a maggio 2022 dalla Commissaria Ylva Johansson e ora è in discussione tra Parlamento, Consiglio e Commissione. Le trattative dovrebbero ricominciare a settembre 2026. Nella sua versione originale, Chat Control 2.0 prevedeva la scansione sistematica di tutte le comunicazioni, incluse quelle crittografate end-to-end. Il meccanismo ipotizzato — il cosiddetto client-side scanning — avrebbe effettuato l’analisi direttamente sul dispositivo dell’utente, prima che il messaggio venisse cifrato (in poche parole quando ancora non è partito). Dal punto di vista tecnico, questo svuota la crittografia end-to-end del suo significato: è come installare una telecamera nell’appartamento prima che qualcuno possa chiudere le tende. Esperti di crittografia e sicurezza informatica, come l’ex europarlamentare e attivista Patrick Breyer, avvertono che l’introduzione di “backdoor” o meccanismi di controllo preventivo crea vulnerabilità strutturali che possono essere sfruttate da attori malevoli e compromette i principi di sicurezza degli strumenti digitali. Il testo è stato successivamente modificato per rendere facoltativa l’adozione di questi sistemi, ma il dibattito resta aperto e la direzione di marcia non è definita. Chi sostiene che la crittografia end-to-end sia un diritto non negoziabile e chi ritiene che la protezione dei minori online richieda strumenti più invasivi partono da premesse entrambe legittime, ma inconciliabili senza sacrificare qualcosa. Questa è una sfida a cavallo tra diritto, etica e architettura tecnica dei sistemi di comunicazione, e nessuna delle due parti può permettersi di liquidare l’altra come in malafede.
Cosa accade adesso, concretamente
Fino al 3 aprile 2028, le piattaforme che già accedono ai contenuti in chiaro possono continuare a scansionarli volontariamente. Il testo emendato approvato dal Parlamento tornerà ora al Consiglio UE, che ha tre mesi per accettare o respingere le modifiche. Se non trova accordo, si aprirà una procedura di conciliazione. Nel frattempo, i negoziati su Chat Control 2.0 ripartiranno in autunno.
Se usi WhatsApp o Signal per comunicare, oggi non cambia nulla rispetto a ieri. Se usi Gmail, Discord o Snapchat, quei contenuti erano già accessibili ai provider e potevano già essere analizzati. La proroga non introduce nuovi poteri di accesso: li mantiene, e li formalizza per altri due anni.
Il punto su cui tenere alta l’attenzione non è Chat Control 1.0. È cosa deciderà il trilogo nei prossimi mesi su Chat Control 2.0, e se il client-side scanning troverà spazio nel testo definitivo. Quello sì cambierebbe lo scenario in modo strutturale — non per chi spia le chat, ma per come e dove avviene l’analisi. Su questo, per ora, non c’è ancora una risposta.
Alternative alla sorveglianza di massa per la protezione dei minori
I critici di Chat Control suggeriscono che esistono alternative più
efficaci e meno invasive per combattere l’abuso sessuale sui minori
online, senza compromettere la privacy di tutti gli utenti. Queste
includono:
Indagini mirate: Concentrare le risorse su indagini specifiche basate
su sospetti concreti, piuttosto che su scansioni generalizzate.
Rafforzamento della cooperazione internazionale: Migliorare la
collaborazione tra le forze dell’ordine a livello globale per
identificare e perseguire i responsabili.
Sanzioni più severe: Aumentare la severità delle pene per i crimini di abuso sessuale sui minori.
Investimenti nella protezione dei minori: Destinare maggiori risorse a
programmi di educazione alla sicurezza online e supporto alle vittime.
Strumenti investigativi esistenti: Utilizzare metodi già collaudati come
intercettazioni mirate e Trojan di Stato, che colpiscono singoli
sospettati tramite mandato del giudice.
Analisi forense e intelligence: Sfruttare l’analisi di oggetti,
ambienti, insegne e altri dettagli visibili nei contenuti (come nella
campagna “Trace an Object” di Europol) per identificare vittime e
responsabili, insieme all’infiltrazione nei gruppi chiusi.
Un po di dati?
Non sono stati trovati dati specifici che dimostrino l’efficacia delle scansioni di massa rispetto a questi metodi più mirati. Tuttavia, i critici sostengono che estendere la scansione ai messaggi privati significherebbe aggiungere un’intrusione enorme a fronte di un beneficio da dimostrare. Si evidenzia inoltre che il 95% delle segnalazioni proviene da un solo soggetto privato (Meta/Zuckerberg), con una valanga di falsi positivi, suggerendo che l’attuale approccio è sproporzionato.
E per concludere?
Come spesso accade, più passa il tempo, più la tecnologia evolve e più le sfide diventano complesse. È un po’ come alcune piante: finché crescono isolate non arrecano alcun danno, ma se si diffondono senza controllo accanto ad altre possono trasformarsi in infestanti, al punto che estirparle senza compromettere l’intero ecosistema diventa estremamente difficile. Con il digitale sta accadendo qualcosa di simile. Per questo l’attenzione dei governi dovrebbe concentrarsi meno su risposte lente e burocratiche e più sulla creazione di task force agili, altamente specializzate e costantemente aggiornate, capaci di intervenire con rapidità. Perché mentre il dibattito politico procede con i suoi tempi, i nostri figli continuano a essere bersagli sempre più facili per persone senza scrupoli che sfruttano gli strumenti digitali per adescare, manipolare e abusare.
(https://marcomirra.it/chat-control-1-0-chi-scansiona-le-tue-chat-cosa-ha-deciso-leuropa-e-dove-stiamo-andando/)