Chat control: sicurezza o sorveglianza? Anatomia critica di un regolamento europeo

L’Europa ha deciso di affrontare a muso duro uno dei crimini più odiosi di sempre, reso ancor più pervasivo dal dilagare del digitale: l’abuso sessuale sui minori, perpetrato attraverso adescamento online. Nessuno mai potrebbe trovare qualcosa da ridire sul fine, il punto è che il mezzo per raggiungere un nobile scopo rischia di farci scivolare su una china pericolosa, aprendo la porta a un modello di sorveglianza generalizzata che mina alla radice diritti fondamentali come la privacy, la libertà di comunicazione e la sicurezza delle infrastrutture digitali. Il tutto nel nome di un controllo preventivo ribattezzato con un nome all’apparenza innocuo: Chat Control.
Dietro l’etichetta si nasconde una proposta legislativa dirompente, presentata dalla Commissione europea nel maggio 2022, con il titolo completo: “Regolamento per la prevenzione e la lotta contro l’abuso sessuale sui minori” (Child Sexual Abuse Regulation – CSAR). Obiettivo: costringere le piattaforme di messaggistica (inclusi i servizi cifrati end-to-end) a monitorare preventivamente i contenuti trasmessi dagli utenti, per individuare e segnalare materiale pedopornografico o tentativi di adescamento.
Una missione senza dubbio condivisibile. Ma a quale prezzo? Per approfondire questi temi consigliamo il volume Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon e il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e abbiamo organizzato il corso di formazione Master in Cybersecurity e compliance integrata

1. Il cuore del problema: la scansione preventiva delle comunicazioni in chat

La misura più controversa della proposta CSAR è il cosiddetto client-side scanning: un sistema di controllo algoritmico che analizza automaticamente, prima della cifratura, i contenuti digitali inviati dagli utenti (testi, immagini, video, file). Se l’algoritmo rileva qualcosa di sospetto o rientrante nei modelli di CSAM (Child Sexual Abuse Material), il contenuto viene segnalato a una nuova autorità centrale europea e, potenzialmente, alle forze dell’ordine.
Tecnicamente: un controllo su ogni messaggio prima che diventi privato. Giuridicamente: una sorveglianza preventiva e indiscriminata che assomiglia più a un regime autoritario che a uno stato di diritto. Eppure, proprio questo meccanismo è al centro della proposta, nonostante le molteplici obiezioni sollevate da esperti, giuristi, autorità indipendenti e attivisti digitali.

2. Un attacco alla crittografia: l’effetto backdoor

Uno degli aspetti più critici della proposta è la sua incompatibilità con i principi della crittografia end-to-end. Servizi come WhatsApp e Signal si fondano sulla garanzia che solo mittente e destinatario possano accedere al contenuto dei messaggi, nemmeno la piattaforma stessa, questo per garantire la massima privacy degli utenti.
Se però si introduce uno strumento di scansione sul dispositivo prima della cifratura, questa garanzia viene infranta. Si crea una backdoor tecnica e concettuale, che mina l’integrità della crittografia, rendendo l’intero sistema più vulnerabile ad abusi, violazioni, attacchi informatici. Quindi da un lato ci sarebbe ilo controllo preventivo, che aprirebbe le porte ad una sorveglianza generalizzata, dall’altro l’apertura di una porta prima della cifratura renderebbe tutti i nostri dati più vulnerabili.
Oltre 650 esperti internazionali di sicurezza e crittografia hanno firmato una lettera aperta per chiedere il rigetto della proposta, definendola “pericolosa per la democrazia, la sicurezza e i diritti umani”. Per approfondire questi temi consigliamo il volume Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon e il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon

3. Sorveglianza generalizzata: il paradosso della presunzione

La Corte di giustizia dell’Unione europea ha diverse volte stabilito con chiarezza che la sorveglianza indiscriminata delle comunicazioni è incompatibile con la Carta dei diritti fondamentali. Solo misure mirate, proporzionate, basate su sospetti concreti e soggette a controllo giudiziario sono ammissibili.
La proposta CSAR, al contrario, propone uno scanning generalizzato a tutti i cittadini europei, indipendentemente da ogni indizio o contesto. Il principio è ribaltato: non sei più innocente fino a prova contraria, ma potenzialmente sospetto fino a verifica algoritmica. E se l’algoritmo sbaglia — come spesso accade — potresti finire segnalato ingiustamente, senza neppure saperlo.
Il rischio di effetto chilling (ossia la limitazione indiretta e dissuasiva della libertà di espressione e comunicazione, che non deriva da una censura esplicita, bensì dal timore di conseguenze negative) è reale. Chi garantisce che questi strumenti non vengano poi estesi ad altri reati? Chi controlla il controllore?

4. Falsi positivi, costi tecnici e sostenibilità

Dal punto di vista tecnico, la proposta si affida a sistemi di intelligenza artificiale, riconoscimento immagini e modelli linguistici per identificare contenuti illeciti. Ma questi strumenti, per quanto evoluti, non sono infallibili. Anzi, producono falsi positivi in misura significativa (nel mio piccolo, ricordo che una volta un mio contenuto su un social è stato segnalato come “sessualmente esplicito”: parlavo di privacy e avevo una maglietta senza maniche a collo alto nera, credo la combinazione meno sessualmente esplicita che si possa immaginare).
Lo dimostra il caso di alcuni software già in uso da piattaforme americane, come PhotoDNA o Thorn: immagini lecite di bambini (es. al mare, in contesti familiari) sono state etichettate come sospette. In assenza di un controllo umano tempestivo, il danno può essere significativo: blocco degli account, segnalazioni penali, stigmatizzazione sociale.
Oltre al rischio giuridico, c’è un impatto economico non trascurabile: l’implementazione di sistemi di scansione su larga scala ha costi elevatissimi, difficilmente sostenibili da piccole e medie imprese digitali. Il pericolo è che il mercato si concentri ancora di più di quanto già non sia nelle mani di pochi grandi player in grado di reggere il peso delle compliance tecniche e normative.

Potrebbero interessarti anche:

• Chat privata e la diffusione online: avvertimento generale del Garante
• Telegram e la sicurezza delle app di messaggistica: tra privacy e rischi di abusi
• Bannare Whatsapp dai dispositivi governativi: quando la cybersecurity diventa geopolitica

5. Il principio della proporzionalità (che manca)

Come ogni regolamento europeo, anche il CSAR deve rispettare il principio di proporzionalità sancito dall’art. 5, par. 4, TUE: le misure di sicurezza adottate devono essere adeguate, necessarie e proporzionate rispetto agli obiettivi.
Nel caso di Chat Control, così come oggi illustrato, è lecito dubitare che tale proporzionalità sussista:

• è davvero necessario controllare ogni messaggio per combattere i reati su minori?
• non esistono alternative meno invasive, come indagini mirate, collaborazione giudiziaria, potenziamento degli organi investigativi?
• quali sono i benefici concreti rispetto ai rischi sistemici introdotti?

La Corte Europea dei Diritti dell’Uomo, nella giurisprudenza su privacy e sorveglianza, ha più volte ribadito che il controllo preventivo indiscriminato non può essere giustificato neppure per finalità di sicurezza nazionale. Figurarsi per la prevenzione di reati, per quanto gravi.

6. Le voci critiche: EDPS, EDPB, e giuristi europei

L’European Data Protection Supervisor (EDPS) e l’European Data Protection Board (EDPB), in un parere congiunto del luglio 2022, hanno bocciato duramente la proposta, definendola una minaccia per i diritti fondamentali.
In particolare, i Garanti contestano:

• l’obbligo generalizzato di sorveglianza preventiva;
• la mancanza di base giuridica adeguata;
• l’incompatibilità con la crittografia end-to-end;
• l’insufficienza delle salvaguardie proposte;
• l’assenza di una valutazione d’impatto indipendente.

Anche il Servizio giuridico del Consiglio dell’Unione ha espresso perplessità sulla compatibilità della proposta con la Carta dei diritti fondamentali e con la giurisprudenza della Corte di giustizia. Il sospetto è che il regolamento, così come concepito, non reggerebbe a un ricorso per annullamento davanti alla CGUE.

7. Verso un compromesso? Proposte di mitigazione e alternative

Di fronte a questo scenario, alcuni europarlamentari e stati membri (tra cui Germania e Austria) hanno proposto emendamenti per ridurre l’impatto del regolamento. Le opzioni in discussione includono:

• escludere i servizi cifrati end-to-end dall’obbligo di scansione;
• limitare le misure a casi mirati e soggetti a controllo giudiziario;
• introdurre clausole di trasparenza e audit indipendenti;
• prevedere una clausola di revisione biennale (“sunset clause”).

Alcune associazioni propongono anche modelli alternativi:

• potenziare la collaborazione tra autorità nazionali;
• migliorare la segnalazione volontaria da parte delle piattaforme;
• sviluppare strumenti tecnici privacy-preserving per il rilevamento di CSAM;
• investire sull’educazione digitale e la prevenzione.

La sfida è trovare un equilibrio che protegga davvero i minori senza demolire le fondamenta della sicurezza e della libertà digitale.

8. Riflessione personale: la posta in gioco non è tecnica: è politica, culturale, esistenziale

Le discussioni su Chat Control non riguardano soltanto algoritmi, crittografia, interoperabilità o compliance normativa. Dietro il dibattito tecnico-giuridico si cela una questione molto più ampia: che tipo di società vogliamo costruire? A quale idea di cittadinanza digitale vogliamo aderire? E soprattutto: quanto siamo disposti a sacrificare, in termini di libertà e diritti, nel nome della sicurezza?

Chi lavora da anni nella protezione dei dati sa bene che il rischio non è solo quello di un errore tecnico o di una norma sproporzionata. Il vero pericolo è la normalizzazione del controllo: l’abitudine a essere osservati, scansionati, valutati. È il lento scivolamento verso un paradigma in cui la privacy non è più il default, ma un privilegio da conquistarsi; in cui la trasparenza è richiesta solo al cittadino, mentre le decisioni automatizzate restano opache e inaccessibili.
Proposte come il regolamento CSAR ci mettono davanti a un bivio culturale. Da una parte, la promessa rassicurante di un mondo più sicuro, protetto, monitorato. Dall’altra, la consapevolezza scomoda che la libertà, come la fiducia, non si costruisce con il sospetto sistematico, né con la scansione automatica della vita quotidiana.
Come giuristi, abbiamo il dovere di analizzare le norme, ma anche di porci domande scomode:

• È accettabile che ogni cittadino venga trattato come potenziale criminale, a prescindere da qualunque indizio?
• Possiamo davvero affidarci alla tecnologia per giudicare cosa sia lecito o illecito, senza margine per il contesto, l’ambiguità, l’errore umano?
• Siamo certi che strumenti progettati per un fine nobile non verranno, domani, estesi ad altri scopi meno legittimi?

La storia del diritto è fatta anche di battaglie preventive, combattute prima che una norma entri in vigore, prima che diventi la prassi. Non dobbiamo aspettare che il sistema degeneri per riconoscere che l’equilibrio si è spezzato.
Io non voglio vivere in un’Unione europea in cui i miei messaggi — anche quelli cifrati — devono passare attraverso il filtro di un’intelligenza artificiale prima di raggiungere chi amo. Non voglio un mondo in cui la sicurezza dei bambini viene usata come grimaldello per introdurre meccanismi di sorveglianza di massa. E non perché non mi importi dei bambini — al contrario. Ma perché la protezione dei più vulnerabili richiede strumenti seri, mirati, intelligenti, non scorciatoie tecnologiche che colpiscono tutti.
Le vittime reali di abusi hanno bisogno di giustizia, non di algoritmi confusi. Hanno bisogno di indagini efficaci, supporto psicologico, cooperazione internazionale, risorse per le forze dell’ordine, non di un sistema che scansiona milioni di foto di compleanni per trovare un ago nel pagliaio.
In questo momento storico, è necessario scegliere: vogliamo una civiltà digitale fondata sul rispetto, sulla fiducia, sull’autodeterminazione? O vogliamo scivolare, senza accorgercene, in una tecnocrazia del sospetto?
Io scelgo la prima. Con convinzione, con fatica, con spirito critico. E con la consapevolezza che ogni norma va giudicata non solo per ciò che promette oggi, ma per ciò che può diventare domani.

Formazione per professionisti

Master in Cybersecurity e compliance integrata
Il Master è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il Master esplora: 
•  L’evoluzione della strategia europea di cybersicurezza
•  L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori
•  Il perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato
•  Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA)
•  Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa
•  Ruoli e poteri dell’ACN: atti attuativi e misure tecniche
•  Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!