Dopo l’ampio dibattito sulla proposta originaria del Regolamento europeo per la prevenzione e il contrasto dell’abuso sessuale su minori online (CSAR, noto come “Chat Control”), gli ultimi mesi hanno segnato una serie di evoluzioni significative sia sul piano politico che tecnico. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e, per la formazione del professionista, il Master in Cybersecurity e compliance integrata.
Indice
- 1. La posizione negoziale del Consiglio dell’Unione Europea (novembre 2025)
- 2. La modifica centrale: dalla scansione obbligatoria alla scansione “volontaria”
- 3. L’obbligo di verifica dell’età degli utenti
- 4. La creazione di un nuovo organismo europeo di coordinamento
- 5. L’evoluzione del processo legislativo: l’ingresso nel trilogo
- 6. Le reazioni del settore scientifico e tecnico
- 7. Le strategie emergenti delle piattaforme digitali
- 8. Conclusione: un regolamento in evoluzione, tra tendenze nuove e interrogativi aperti
- Formazione in materia per professionisti
- Ti interessano questi contenuti?
1. La posizione negoziale del Consiglio dell’Unione Europea (novembre 2025)
La novità più rilevante è l’adozione, da parte del Consiglio UE, di una posizione negoziale ufficiale.
Questo passaggio consente l’avvio della fase di trilogo con Parlamento e Commissione, modificando lo scenario istituzionale: la discussione non è più sulla mera proposta della Commissione, ma su un testo che ha raccolto un accordo politico tra gli Stati membri.
L’Italia ha scelto l’astensione.
Altri Stati, come Germania, Olanda e Austria, hanno espresso riserve su aspetti tecnici e di tutela della crittografia.
Al contrario, alcuni Paesi dell’Est e del Centro Europa sostengono misure più incisive.
La spaccatura tra gli Stati membri è dunque più definita di quanto non fosse nella fase precedente. In materia consigliamo il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. La modifica centrale: dalla scansione obbligatoria alla scansione “volontaria”
Il Consiglio ha eliminato l’obbligo di scansione generalizzata delle comunicazioni private — incluso il client-side scanning — che rappresentava l’aspetto più controverso della versione iniziale del regolamento.
Il testo attuale prevede che i fornitori possano optare volontariamente per l’utilizzo di sistemi di rilevazione dei contenuti illegali.
Non si tratta quindi più di un obbligo imposto indistintamente a tutti i servizi digitali.
Va rilevato, tuttavia, che il nuovo approccio si accompagna all’introduzione di meccanismi di:
- classificazione dei servizi in base al livello di rischio,
- misure di mitigazione del rischio eventualmente richieste alle piattaforme,
- cooperazione con un nuovo organismo europeo di coordinamento (vedi oltre).
Questa combinazione di elementi costituisce una novità sostanziale rispetto alla struttura originaria del regolamento.
3. L’obbligo di verifica dell’età degli utenti
La nuova versione della proposta introduce un requisito ulteriore che non era presente nella bozza iniziale: la verifica dell’età.
I fornitori di servizi digitali dovranno applicare sistemi idonei a determinare, con ragionevole certezza, se l’utente è minorenne o adulto.
Le modalità tecniche non sono specificate nel dettaglio, ma rientrano tra le misure di “age assurance” già discusse in altri contesti UE.
Si tratta di una novità di impatto potenzialmente significativo, perché implica modifiche ai flussi di registrazione e autenticazione, e apre la strada a sistemi di identificazione più strutturati di quelli attualmente utilizzati dalla maggior parte delle piattaforme.
Potrebbero interessarti anche:
4. La creazione di un nuovo organismo europeo di coordinamento
Un ulteriore elemento nuovo è la previsione di un Centro europeo dedicato al contrasto degli abusi sessuali online sui minori, con funzioni di:
- valutazione del rischio dei servizi digitali,
- coordinamento delle segnalazioni ricevute dai provider,
- supporto tecnico alle autorità competenti,
- elaborazione di linee guida e standard.
Questo organismo non era previsto nella formulazione originaria del regolamento e rappresenta un cambiamento significativo nella governance complessiva del sistema.
5. L’evoluzione del processo legislativo: l’ingresso nel trilogo
Con la posizione del Consiglio, il regolamento è passato alla fase di trilogo tra Parlamento, Consiglio e Commissione.
Questa fase è caratterizzata da:
- margini di modifica molto ampi,
- negoziazioni informali ad alta densità politica,
- tempistiche spesso rapide,
- interventi simultanei di stakeholder e gruppi di pressione.
Si tratta quindi di una fase decisiva: è qui che si definirà il testo finale del regolamento, incluso l’equilibrio tra misure di tutela e garanzie per i diritti degli utenti.
6. Le reazioni del settore scientifico e tecnico
Un elemento nuovo nel quadro pubblico è l’aumento del numero di critiche tecnico-scientifiche, provenienti da esperti di crittografia, ricercatori in sicurezza informatica e accademici.
Sono stati pubblicati documenti collettivi, firmati da centinaia di specialisti europei, che segnalano possibili rischi strutturali per:
- integrità della crittografia end-to-end,
- sicurezza delle comunicazioni,
- affidabilità dei sistemi di rilevazione automatica,
- gestione dei falsi positivi.
Tali interventi non erano presenti con la stessa intensità nella fase precedente.
7. Le strategie emergenti delle piattaforme digitali
In parallelo, si osservano nuove dinamiche da parte dei fornitori di servizi:
- alcuni operatori valutano se adottare la scansione “volontaria” per ottenere una classificazione a minor rischio;
- altri manifestano timore per potenziali responsabilità derivanti dall’adozione o dal rifiuto di tali sistemi;
- servizi basati su crittografia forte segnalano difficoltà di adeguamento e, in alcuni casi, ipotizzano l’uscita dal mercato europeo.
Questi movimenti strategici sono emersi solo nell’ultima fase e mostrano l’impatto anticipato del regolamento, ancora prima della sua approvazione definitiva.
8. Conclusione: un regolamento in evoluzione, tra tendenze nuove e interrogativi aperti
Le novità introdotte nella versione attuale di Chat Control – in particolare la combinazione tra scansione volontaria, verifica obbligatoria dell’età e istituzione di un nuovo Centro europeo – rappresentano un cambiamento significativo rispetto al testo originario.
Il regolamento è oggi in una fase decisiva del suo iter, con margini di modifica ancora ampi ma con una direzione istituzionale ormai chiara: proseguire verso una forma di intervento coordinato e strutturato contro gli abusi sessuali online sui minori.
Resta però un interrogativo, inevitabile in questa fase del processo: l’equilibrio finale tra esigenze di tutela dei minori e garanzie per la riservatezza, la sicurezza delle comunicazioni e la proporzionalità degli strumenti potrà essere raggiunto in modo soddisfacente?
La risposta dipenderà dall’esito del trilogo e dalle scelte tecniche che accompagneranno la versione definitiva del regolamento.
Formazione in materia per professionisti
Master in Cybersecurity e compliance integrata
Il Master, giunto alla II edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla nuova regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e le linee guida e le ultime Determinazioni dell’ACN.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento