L’eterno ritorno di Chat Control
Immagine in evidenza da stopchatcontrol.fr
Si torna a parlare di lotta agli abusi sui minori, privacy e crittografia
end-to-end, dopo che, il 26 novembre, il Consiglio UE ha votato a favore
dell’approvazione del nuovo testo del Child Sexual Abuse Regulation (CSAR), più
comunemente conosciuto come Chat Control. La proposta di legge, di cui si
discute ormai da più di tre anni, è volta a limitare la diffusione di materiale
pedopornografico online attraverso nuove disposizioni per le piattaforme e i
fornitori di servizi digitali, inclusa la possibilità di effettuare una
scansione preventiva e costante dei contenuti che gli utenti si scambiano, per
esempio, su WhatsApp, Telegram o Gmail, al fine di rilevare attività di
adescamento di minori o movimento di materiale pedopornografico.
La proposta, che da tempo cerca un equilibrio tra la necessità di proteggere i
minori da abusi sessuali e quella di tutelare i diritti fondamentali dei
cittadini europei (a partire dalla privacy), ha sollevato non poche critiche da
parte dei funzionari di governo, degli esperti di sicurezza, delle società di
servizi coinvolte e, non da ultimi, degli utenti stessi. E ora, dopo il voto
favorevole ottenuto dopo numerosi rinvii, il senso di preoccupazione sta
rapidamente crescendo. Proprio per questo, è importante fare chiarezza sul
cosiddetto Chat Control: cos’è, quali regolamentazioni prevede, quali sono i
reali rischi per la privacy, e come potrebbe cambiare la nostra vita.
CHAT CONTROL: COS’È E COSA PREVEDE
Era l’11 maggio 2022 quando, per la prima volta, la Commissione Europea
presentava una nuova proposta legislativa “per prevenire e combattere gli abusi
sessuali sui minori in rete”. Una manovra presentata come necessaria a causa
della crescente diffusione di materiale pedopornografico in rete rilevata a
partire dal 2021 – anno in cui, stando ai dati riportati dalla Commissione, sono
stati segnalati “85 milioni di immagini e video che ritraggono abusi sessuali su
minori” – e l’incapacità del sistema attualmente in vigore – il cosiddetto Chat
Control 1.0, che prevede la segnalazione di abusi tramite monitoraggio
volontario dei fornitori di servizi digitali – di proteggere adeguatamente i
minori.
Per contenere quanto più possibile la situazione, in quell’occasione la
Commissione ha proposto “una legislazione per affrontare efficacemente l’abuso
sessuale su minori online, anche richiedendo ai prestatori di
rilevare materiale pedopornografico noto e […] la creazione di un Centro dell’UE
di prevenzione e lotta contro l’abuso sessuale su minori”.
Una serie di norme, in sostanza, che consentirebbero a un’ampia gamma di
fornitori di servizi Internet, compresi i servizi di hosting e di messaggistica,
di accedere e scansionare le conversazioni private degli utenti al fine di
“individuare, segnalare e rimuovere il materiale pedopornografico dai loro
servizi”, o rilevare episodi di “adescamento di minori” (grooming).
Un’operazione che le compagnie dovrebbero attuare attraverso “tecnologie che
siano il meno invasive possibile per la privacy, in linea con lo stato dell’arte
del settore, e che limitino il più possibile il tasso di errore dei falsi
positivi”.
Allo stato attuale, il cosiddetto Chat Control richiede ai “prestatori di
servizi di hosting e prestatori di servizi di comunicazione interpersonale” di
individuare, esaminare e valutare “per ciascun servizio che offrono, il rischio
di un suo uso a fini di abuso sessuale su minori online”. E poi di prendere
“misure di attenuazione ragionevoli e adeguate al rischio individuato […] per
ridurlo al minimo”.
Tra queste misure, come anticipato, rientra anche la scansione delle
conversazioni private degli utenti: uno strumento che le piattaforme e i
fornitori di servizi possono utilizzare ai fini della valutazione del rischio e
della sua attenuazione. Tuttavia, la proposta prevede che, se dopo la
valutazione e le misure adottate dal fornitore sussiste ancora un rischio
significativo che il servizio possa essere utilizzato per abusi sui minori, le
autorità nazionali designate possano avvalersi di questo strumento per indagare
sulla diffusione di materiale pedopornografico. In questo caso, possono chiedere
all’autorità giudiziaria o amministrativa di “emettere un ordine di rilevazione
che impone a un prestatore di servizi di hosting o a un prestatore di servizi di
comunicazione interpersonale rientrante nella giurisdizione dello Stato membro
in questione di prendere le misure […] per rilevare casi di abuso sessuale su
minori online in un servizio specifico”.
Anche in questo caso, però, la proposta della Commissione Europea specifica che
le autorità devono avvalersi di tecnologie che non siano invasive nei confronti
degli utenti coinvolti, ma che siano anzi “efficaci nel rilevare la diffusione
di materiale pedopornografico noto o nuovo o l’adescamento di minori, a seconda
dei casi” e “non in grado di estrarre dalle comunicazioni in questione
informazioni diverse da quelle strettamente necessarie per rilevare […] pattern
rivelatori di diffusione di materiale pedopornografico noto o nuovo o di
adescamento di minori”.
Data la delicatezza della scansione, soprattutto nelle comunicazioni private e
crittografate, il regolamento prevede una serie di garanzie, quali la
limitazione della durata degli ordini, il controllo umano delle tecnologie di
rilevamento, la riduzione al minimo dei dati trattati e l’accesso a meccanismi
di ricorso per gli utenti e i fornitori. Pertanto, per garantire che il
regolamento venga rispettato, la proposta introduce anche il Centro dell’UE per
la prevenzione e la lotta contro gli abusi sessuali sui minori, che svolgerà un
ruolo di supporto alle autorità e alle piattaforme fornendo banche dati di
indicatori affidabili e tecnologie di rilevamento adeguate, contribuendo a
ridurre i falsi positivi e gli impatti invasivi.
LE ORIGINI E LE EVOLUZIONI DELLA PROPOSTA DI LEGGE
La proposta avanzata dalla Commissione Europea nel 2022 non dichiarava
apertamente che i telefoni dei cittadini europei sarebbero stati scansionati
alla ricerca di materiale pedopornografico, ma introduceva il concetto di
“obblighi di rilevamento” che i fornitori di servizi dovevano rispettare, anche
nel caso in cui questi proteggessero la privacy degli utenti con la crittografia
end-to-end.
Questo significava, quindi, che le autorità coinvolte nella rilevazione
potessero ricorrere alla scansione lato client, ossia all’analisi di contenuti
digitali presenti sui dispositivi degli utenti prima ancora che venissero
crittografati e inviati o ricevuti.
Com’è noto, la proposta ha sin da subito scatenato le critiche di governi ed
esperti di sicurezza e privacy, tanto che nel 2023 il Parlamento Europeo ha
escluso sia la crittografia end-to-end sia i messaggi di testo dall’ambito di
applicazione degli obblighi, limitando questi ultimi ai casi di ragionevole
sospetto e impedendo di fatto la scansione indiscriminata. Pertanto, solo se i
fornitori non rispettano le norme per la sicurezza dei minori, le autorità
competenti possono emettere un ordine di scansione e rilevamento di materiale
pedopornografico dai dispositivi degli utenti.
Nel corso degli anni, però, la proposta ha subìto decine di modifiche e
aggiornamenti. L’1 luglio 2025, il Consiglio dell’Unione Europea ha presentato
una proposta in cui si afferma chiaramente che, per i servizi dotati di
crittografia end-to-end (che impedisce a chiunque di leggere i messaggi, esclusi
soltanto mittente e destinatario) come WhatsApp, Signal e Telegram, il
rilevamento avviene “prima della trasmissione dei contenuti” – ossia prima che
questi vengano crittografati – installando un software preposto alla scansione,
ma con una clausola di “consenso dell’utente”.
Allo stato attuale, Chat Control rimane soltanto una proposta. Per far sì che
diventi una legge a tutti gli effetti è necessario l’avvio di triloghi – “un
negoziato interistituzionale informale che riunisce rappresentanti del
Parlamento europeo, del Consiglio dell’Unione europea e della Commissione
europea” – che mettano d’accordo le parti. Se la linea attuale del Consiglio
dovesse essere approvata, questo comporterebbe l’installazione di un software
che controlli i contenuti prima della crittografia per i servizi end-to-end; al
contrario, se prevalesse la linea del Parlamento, non verrebbe effettuata alcuna
scansione preventiva dei contenuti.
Proprio per questo, lo scorso 14 ottobre era stato fissato come data per il voto
del Consiglio UE sul Child Sexual Abuse Regulation (Csar): un giorno in cui i
ministri dei diversi paesi membri avrebbero espresso il proprio parere sulla
proposta. A una settimana dalla data, dopo aver subito forti pressioni da parte
dell’opinione pubblica, la Germania si era dichiarata contraria al disegno di
legge, costringendo l’intero Consiglio a rimandare il voto finale
sull’approvazione.
“Il monitoraggio ingiustificato delle chat deve essere un tabù in uno Stato di
diritto. La comunicazione privata non deve mai essere soggetta a sospetti
generalizzati. Né lo Stato deve obbligare a scansionare in massa i messaggi alla
ricerca di contenuti sospetti prima di inviarli. La Germania non accetterà tali
proposte a livello UE (…). Nemmeno i crimini peggiori giustificano la rinuncia
ai diritti civili fondamentali”, ha dichiarato Stefanie Hubig, ministra federale
della Giustizia e della Tutela dei consumatori, commentando la scelta della
Germania, che ha stravolto l’agenda legislativa della Commissione Europea.
LA SVOLTA DANESE
Dopo tante controversie, lo scorso novembre la presidenza danese del Consiglio
dell’Unione europea ha introdotto un’importante revisione alla proposta del
Child Sexual Abuse Regulation (CSAR), in cui le “disposizioni relative agli
obblighi di rilevamento (articoli da 7 a 11) sarebbero eliminate dal testo”.
In questo modo, il regolamento mantiene il monitoraggio delle chat private degli
utenti, senza renderlo obbligatorio, ma trasformandolo in uno strumento che le
aziende tecnologiche possono utilizzare a propria discrezione. Anche se, come si
legge nella proposta della presidenza danese, “i fornitori di servizi ad alto
rischio, in cooperazione con il Centro dell’UE, potrebbero comunque essere
tenuti ad adottare misure per sfruttare le tecnologie adeguate per mitigare il
rischio di abusi sessuali sui minori individuati sui loro servizi”.
La modifica della Danimarca ha segnato un momento importante nell’evoluzione di
Chat Control, che lo scorso 26 novembre ha ottenuto l’approvazione dei
rappresentanti dei 27 paesi membri dell’Unione Europea, dando così inizio
all’ultima fase che precede l’approvazione del regolamento: la discussione tra
Parlamento Europeo, Consiglio dell’Unione Europea e Commissione Europea.
“Ogni anno vengono condivisi milioni di file che ritraggono visivamente abusi
sessuali su minori. Dietro ogni singolo video e immagine c’è un minore che ha
subito gli abusi più orribili e tremendi. Ciò è del tutto inaccettabile”, ha
commentato Peter Hummelgaard, ministro danese della Giustizia, dopo la votazione
svoltasi a Bruxelles. “Sono pertanto lieto che gli Stati membri abbiano
finalmente concordato una via da seguire che prevede una serie di obblighi per i
prestatori di servizi di comunicazione al fine di combattere la diffusione di
materiale di abuso sessuale su minori”.
Allo stato attuale, secondo quanto approvato dai paesi membri dell’UE, “i
fornitori di servizi online saranno tenuti a valutare il rischio che le loro
piattaforme possano essere utilizzate impropriamente per diffondere materiale di
abuso sessuale su minori o per adescare minori. Sulla base di tale valutazione,
dovranno attuare misure di attenuazione per contrastare tale rischio. Tali
misure potrebbero includere la messa a disposizione di strumenti che consentano
agli utenti di segnalare casi di abuso sessuale su minori online, di controllare
quali contenuti che li riguardano sono condivisi con altri e di predisporre
impostazioni predefinite a tutela della vita privata dei minori”.
L’interesse del Consiglio è quello di arrivare ai triloghi il prima possibile,
considerando che ad aprile 2026 scadrà la legislazione temporanea che consente
alle app di eseguire la scansione alla ricerca di materiale pedopornografico.
“Il Consiglio ha finalmente adottato la sua posizione sul regolamento CSA”, ha
commentato in un post pubblicato su X il deputato spagnolo Javier Zarzalejos,
leader delle negoziazioni in Parlamento. “Abbiamo bisogno di un quadro
legislativo obbligatorio e a lungo termine con solide garanzie. Il tempo sta per
scadere e ogni minuto che perdiamo senza una legislazione efficace significa più
bambini danneggiati”.
La nuova proposta non sembra però incontrare né il sostegno delle forze
dell’ordine, preoccupate che i contenuti illegali rimarranno nascosti nelle
applicazioni con crittografia end-to-end, né gli attivisti a difesa della
privacy, preoccupati che il rilevamento – seppur volontario – possa trasformarsi
in uno strumento di sorveglianza di massa.
I RISCHI DI CHAT CONTROL
E qui arriviamo a un altro dei punti deboli della proposta della Commissione
ampiamente criticato dagli attivisti, l’alto tasso di falsi positivi. I sistemi
di scansione automatica, infatti, spesso segnalano come illegali contenuti che
non lo sono affatto, come le foto di bambini sulla spiaggia scattate durante le
vacanze familiari. Secondo la polizia federale della Svizzera, per esempio,
l’80% di tutte le segnalazioni elaborate da programmi informatici si rivelano
infondate. E stando ai dati raccolti in Irlanda, invece, solo il 20% delle
segnalazioni ricevute dal National Center for Missing and Exploited Children
(NCMEC) nel 2020 sono state confermate come effettivo “materiale
pedopornografico”. Il rischio, quindi, è che i cittadini vengano coinvolti in
indagini sull’abuso di minori senza aver mai commesso alcun reato e, per di più,
vedendo compromessa la propria privacy.
E non è tutto. Molti critici, infatti, temono anche il cosiddetto “function
creep”: una volta che esisterà un sistema per la scansione di tutti i messaggi
degli utenti, i futuri governi potrebbero essere tentati di estenderne
l’applicazione ad altri settori, come il terrorismo o, nel peggiore dei casi,
censurando il dissenso politico. “Una volta che viene implementato una
tecnologia di questo genere, significa che avremo un sistema che controlla tutte
le nostre comunicazioni e decide se sono legali o no”, ha commentato Udbhav
Tiwari, VP strategy and global affairs di Signal, nel corso del webinar Stop
Chat Control tenutosi lo scorso 30 settembre. “Il suo funzionamento dipende
esclusivamente da come e con quali dati viene addestrato”.
Un’opinione condivisa dai governi di Repubblica Ceca, Paesi Bassi e Olanda, che
hanno espresso un voto contrario lo scorso 26 novembre. E così pure – o quasi –
dall’Italia, che ha deciso di astenersi dalla votazione, sottolineando la
preoccupazione che una forma di sorveglianza delle comunicazioni potrebbe ledere
i diritti costituzionali della persona.
“I titoli dei giornali sono fuorvianti: Chat Control non è morto, è solo stato
privatizzato”, ha commentato Patrick Breyer, ex eurodeputato oggi alla guida del
movimento Fight Chat Control. “Quello che il Consiglio ha approvato oggi è un
cavallo di Troia. Consolidando la scansione di massa ‘volontaria’, stanno
legittimando la sorveglianza di massa senza mandato e soggetta a errori di
milioni di europei da parte delle aziende statunitensi”.
Il termine “volontario” per definire il rilevamento proposto dalla presidenza
danese, secondo Breyer, sarebbe ingannevole: “Il testo mira a rendere permanente
la normativa temporanea ‘Chat Control 1.0’”, che consente a fornitori come Meta
o Google di scansionare le chat private degli utenti, indiscriminatamente e
senza un mandato del tribunale. Nulla di troppo diverso, quindi, rispetto alla
proposta originaria. Chat Control, secondo gli attivisti, è e continua a essere
uno strumento pericoloso per la sicurezza e la privacy dei cittadini.
L'articolo L’eterno ritorno di Chat Control proviene da Guerre di Rete.