Il 14 ottobre non si è tenuto in Consiglio UE il voto sul regolamento noto come Chat control, che punta aI rilevamento dei contenuti di abusi sessuali su minori nelle comunicazioni cifrate. Il motivo è che non si è raggiunta la maggioranza qualificata.

La presidenza danese aveva tentato fino all’ultimo di mediare tra le posizioni degli Stati membri, ma l’opposizione della Germania ha reso impossibile il consenso.

L’esito sposta tutto su un tavolo tecnico e ridà spazio a un dibattito articolato tra la necessità di contrastare gli abusi sui minori e la tutela delle libertà digitali, della crittografia e della sicurezza delle infrastrutture.

Chat control: rilevare i contenuti di abusi sessuali su minori nelle comunicazioni cifrate

La proposta, varata dalla Commissione europea nel 2022, mira a introdurre un sistema per rilevare contenuti di abusi sessuali su minori (CSAM, Child Sexual Abuse Material) anche all’interno di comunicazioni cifrate, imponendo ai fornitori di servizi digitali – comprese le piattaforme di messaggistica end-to-end come WhatsApp, Signal e Telegram – l’obbligo, su ordine delle autorità competenti, di attivare processi di scansione automatica per immagini, video e link sospetti.

L’intento è quello di identificare in anticipo materiale illecito, limitando il
fenomeno della distribuzione online.

Le critiche al provvedimento europeo

Fin dall’inizio il provvedimento ha sollevato perplessità tecniche e giuridiche. La modalità più controversa è la cosiddetta scansione lato client, che consisterebbe nell’ispezione del contenuto direttamente sul dispositivo dell’utente prima che questo venga cifrato.

In tal modo i sistemi di rilevamento potrebbero intercettare contenuti sospetti prima della crittografia end-to-end, ma ciò comporterebbe l’introduzione, su larga scala, di una vera e propria vulnerabilità strutturale.

Tra le critiche principali avanzate da accademici, crittografi e operatori di sicurezza figurano:

• il rischio che un meccanismo di scansione lato client diventi un punto di accesso abusabile da attori malevoli o governi autoritari;
• l’indebolimento effettivo della crittografia end-to-end, che verrebbe aggirata o bypassata;
• la possibilità che in futuro strumenti come VPN, sistemi di anonimizzazione o altri metodi di tutela della privacy vengano anch’essi oggetto di attacchi o obblighi analoghi;
• l’elevato tasso di falsi positivi generato dalle tecnologie di classificazione automatica, che può coinvolgere utenti innocenti;
• e la mancanza di prove certe che la scansione preventiva massiva possa avere un’efficacia sufficiente nel contrasto reale al fenomeno della pedopornografia.

Le lettere aperte degli scienziati e ricercatori

Dal 2022 più di 500 scienziati e ricercatori hanno firmato lettere aperte indirizzate alla Commissione europea e al Consiglio, denunciando che l’adozione di tali sistemi comprometterebbe la sicurezza digitale complessiva e la privacy dei cittadini.

In particolare, essi avvertono che l’inserimento di codice di sorveglianza lato client su massa di dispositivi creerebbe una superficie di attacco estremamente appetibile per cybercriminali o Stati ostili, e minerebbe la fiducia nell’ecosistema digitale europeo.

I compromessi sul Chat control

La proposta ha subito modifiche nel tentativo di ottenere compromessi: la versione presentata dalla presidenza danese prevedeva di limitare la scansione a immagini e link, introdurre salvaguardie per la crittografia e applicare una classificazione del rischio in funzione del tipo di servizio.

Tuttavia, tali aggiustamenti non sono bastati a superare le resistenze. Germania e Belgio, pur avendo manifestato apertura al dialogo, hanno mantenuto cautela.

Su pressione dei garanti per la protezione dei dati e di molte autorità scientifiche, il governo tedesco ha annunciato la propria contrarietà nei giorni che precedevano la data prevista per il voto, rendendo impossibile il raggiungimento della maggioranza qualificata.

La Germania è considerata decisiva nel consesso del Consiglio Ue per il suo forte peso demografico e politico: rappresenta uno degli Stati più popolosi dell’Unione e la sua adesione a un fronte favorevole potrebbe far superare la soglia del 65% della popolazione richiesta per la maggioranza qualificata.

Se Berlino rimane contraria, può contribuire da sola alla formazione di una minoranza di blocco, determinando l’inefficacia della proposta. In sedici anni di applicazione del meccanismo secondo “doppia maggioranza”, il voto tedesco ha spesso avuto un effetto determinante nei dossier regolatori.

I neutrali

Nella fase negoziale, diversi Stati (tra cui l’Italia, la Svezia, la Lettonia) hanno assunto posizioni di neutralità cauta, non opponendosi esplicitamente, ma chiedendo garanzie e limiti stringenti.

Ciò ha ridotto ulteriormente il margine di manovra per la formazione di una coalizione favorevole. Al momento del rinvio, mancavano i numeri per soddisfare sia il requisito degli Stati (55%) sia quello della popolazione (65%).

La politica europea sulla sicurezza digitale

Il dibattito sul Chat control sottende una tensione profonda che attraversa la politica europea della sicurezza digitale. Da un lato, l’urgenza di rafforzare gli strumenti di contrasto ai crimini sessuali su minori. Dall’altro, la necessità di preservare le garanzie fondamentali della privacy, la solidità della crittografia e la fiducia degli utenti nei servizi digitali.

L’introduzione della scansione preventiva lato client potrebbe compromettere il principio della proporzionalità, aprire la strada a estensioni di controllo generalizzato e minare l’efficacia stessa delle misure antiabuso, se gli utenti perdessero fiducia nei sistemi di comunicazione.

Dal punto di vista giuridico, il testo proposto solleva dubbi di compatibilità con la Carta dei diritti fondamentali dell’Unione europea, in particolare con l’articolo 7 (diritto al rispetto della vita privata e familiare) e l’articolo 8 (protezione dei dati personali).

Il Parlamento europeo, nel mandato di emendamento, ha eliminato la previsione di controlli indiscriminati e ha posto l’accento su approcci mirati, su autorizzazione giudiziaria e su criteri restrittivi per ridurre il rischio di abuso.

Il regolamento, nella sua forma attuale, potrebbe essere oggetto di ricorsi e contenziosi sulla sua legittimità sotto il profilo costituzionale nei vari Stati membri.

I limiti di Chat control: serve una riflessione tecnica, giuridica e politica

L’esperienza dei sistemi volontari già esistenti (c.d. “Chat Control 1.0”) nei servizi non cifrati ha mostrato limiti evidenti: molte segnalazioni automatiche risultano criminalmente irrilevanti e generano costi elevati di verifica e falsi allarmi.

Il cambiamento radicale introdotto da Chat Control 2.0 interesserebbe non solo le piattaforme, ma l’intero ecosistema delle comunicazioni cifrate nell’Unione, con rischi per la competitività dell’industria digitale europea.

Il rinvio del voto offre una finestra per approfondire la riflessione tecnica, giuridica e politica, riprendere il dialogo tra Stati membri e stakeholder, valutare alternative funzionali (quali indagini mirate, cooperazione giudiziaria, uso di metadati anonimizzati) e ridefinire le garanzie a tutela delle libertà digitali.

Resta chiaro che la lotta agli abusi sui minori non è incompatibile con la tutela della crittografia, ma richiede regole chiare, controlli, trasparenza e proporzionalità.

In assenza di queste condizioni, un modello di sorveglianza preventiva massiva rischia di indebolire le fondamenta della fiducia digitale su cui si basa l’Unione.