Il 3 aprile 2026 è scaduta una deroga. Non una qualsiasi, ma quella che negli ultimi anni abbiamo imparato a chiamare, con una certa semplificazione giornalistica, Chat Control.

In realtà, il suo nome tecnico è Regolamento (UE) 2021/1232, cioè quella norma che, in via eccezionale e temporanea, consentiva alle piattaforme di analizzare le comunicazioni private degli utenti per individuare contenuti di abuso sui minori.

Scaduta la deroga, il tempo è finito. Ma la prassi – auto-consolidatasi – continua. Ed è proprio in questo scarto tra diritto e realtà che risiede il cuore, o forse sarebbe più corretto dire il “server”, del problema.

Adesso o prevale il diritto o comandano le piattaforme. Ecco perché.

Dopo la deroga, la posizione ufficiale delle piattaforme

Era una deroga. E, come tutte le eccezioni, aveva due caratteristiche: una giustificazione forte – ancorché, a mio avviso, discutibile per l’eccessiva intrusione nella riservatezza delle comunicazioni – e un limite temporale chiaro.

Il termine era il tempo, giacché, nel frattempo, l’Unione europea avrebbe dovuto costruire un quadro stabile, quello che oggi conosciamo come proposta COM(2022) 209 final, il vero Chat Control in senso proprio, ancora fermo nei negoziati. Ora la norma si è esaurita. Tuttavia, le piattaforme hanno affermato senza ambiguità che continueranno comunque nella loro opera di vigilanza preventiva.

La scansione volontaria dei privati

Non è un’impressione né una lettura critica: è una presa di posizione ufficiale.

Il 27 marzo 2026, sul blog istituzionale di Google – in un testo che riflette una linea condivisa anche da Meta, Microsoft e Snap – si legge chiaramente che le aziende “will continue to take voluntary action” per individuare contenuti di abuso nei loro servizi di comunicazione.

Pochi giorni prima, il 19 marzo 2026, una dichiarazione congiunta pubblicata da Snap e sottoscritta anche da TikTok e LinkedIn, oltre che dalle altre grandi piattaforme, aveva chiesto esplicitamente alla UE di prorogare la deroga, ritenuta essenziale per continuare queste attività.

Le piattaforme impongono una prassi

Se si leggono insieme queste due dichiarazioni, emerge un dato che non può essere ignorato: le piattaforme non stanno semplicemente colmando un vuoto, stanno consolidando, e in qualche misura imponendo, una prassi.

E lo fanno su un terreno che, nel diritto europeo, è tra i più sensibili in assoluto: quello delle comunicazioni private.

Chat Control, la posizione delle istituzioni

La Commissione europea ha affermato, attraverso un suo portavoce – con una voce che appare francamente troppo flebile rispetto alla portata del tema – che senza una base giuridica tali attività di rilevazione proattiva non sono più autorizzate, aggiungendo che la protezione dei minori non può essere lasciata a decisioni autonome delle imprese, ma deve poggiare su regole chiare e vincolanti.

È una presa di posizione corretta, ma rischia di risultare inefficace, perché tra l’affermazione del principio e la realtà operativa si è aperto uno spazio che oggi viene riempito dalla decisione unilaterale delle piattaforme.

Non è in discussione la necessità di contrastare fenomeni gravissimi come lo sfruttamento minorile. Sarebbe persino superfluo ribadirlo. Il problema è il modello che si sta costruendo per farlo.

Negli ultimi anni si è passati progressivamente da interventi mirati, inseriti in un contesto investigativo e autorizzati, a forme di analisi automatizzata su larga scala, capaci di coinvolgere indistintamente le comunicazioni degli utenti.

È un cambiamento silenzioso ma decisivo, perché segna il passaggio dalla sorveglianza selettiva a quella preventiva.

Il diritto europeo e il ruolo dei soggetti privati

La mia posizione, da sempre critica verso il cosiddetto Chat Control, resta ferma. Non per negare il problema, ma per evitare che la soluzione introduca un precedente più ampio del problema stesso.

Il diritto europeo, attraverso il Regolamento generale sulla protezione dei dati e la Carta dei diritti fondamentali dell’Unione europea, ha costruito un equilibrio preciso: la riservatezza delle comunicazioni non può essere sacrificata mediante forme di controllo generalizzato e indiscriminato.

La Corte di giustizia lo ha ribadito più volte, proprio per evitare che esigenze legittime si trasformino in strumenti permanenti di compressione dei diritti.
Oggi, però, siamo su quella soglia. E forse l’abbiamo già superata.

Ciò che rende questa fase particolarmente delicata è che non è lo Stato a spingersi oltre, ma soggetti privati che, in assenza di una base normativa, decidono comunque di proseguire attività che incidono direttamente su diritti fondamentali.

È un rovesciamento che sfiora la sovversione dell’ordine giuridico: non è più il diritto che autorizza e delimita, ma la prassi di operatori privati che finisce per dettare il perimetro delle libertà.

Chat Control e il ruolo della crittografia

In questo quadro, il tema della crittografia non è un dettaglio tecnico, ma un punto strutturale.

I sistemi di rilevazione implicano, in molti casi, un accesso ai contenuti che entra in tensione con la cifratura end-to-end, cioè con uno degli strumenti più solidi per garantire la sicurezza delle comunicazioni digitali.

Indebolire la cifratura per controllare meglio significa inevitabilmente esporre di più, e questa esposizione non riguarda solo chi commette reati, ma l’intero ecosistema delle comunicazioni.

La zona grigia

Per questo la posizione della Commissione non può restare su un piano interlocutorio, quasi sommesso. Dire che manca una base giuridica e, nello stesso tempo, tollerare che le attività continuino significa lasciare aperta una zona grigia che, con ogni probabilità, finirà per consolidarsi.

Serve un passaggio più netto, una presa di posizione che non si limiti a descrivere il problema, ma lo affronti con la necessaria chiarezza.

Perché il nodo è ormai venuto al pettine: o queste attività vengono sospese, in assenza di una base normativa che le legittimi, oppure si ammette apertamente che il sistema sta già funzionando secondo una logica diversa, in cui la prassi precede la regola e la tecnocrazia finisce per prevalere sulla democrazia.

Tertium non datur. E soprattutto non esiste una terza via compatibile con l’impianto dei diritti fondamentali dei cittadini europei.

Il principio irrinunciabile

In gioco non c’è soltanto una tecnica di contrasto a un fenomeno criminale, ma la tenuta di un principio irrinunciabile: le comunicazioni private non possano diventare oggetto di controllo generalizzato, nemmeno quando la finalità è condivisibile.

Se questo principio si incrina, non lo fa in modo evidente, ma attraverso piccoli scarti, tolleranze, eccezioni che diventano abitudini.

E quando l’abitudine precede la legge, la legge finisce troppo spesso per limitarsi a ratificare.

È esattamente questo il passaggio che oggi l’Europa deve evitare. E forse, per farlo, non basta più parlare: serve alzare la voce e ricordare che, in Democrazia, è il diritto – e non il mercato – ad avere l’ultima parola.