La riunione del Coreper, l’organo del Consiglio UE che prepara i lavori ministeriali negoziando testi legislativi, si è conclusa il 26 novembre senza clamori. Nessuna conferenza stampa, nessun comunicato trionfale. Solo una breve nota nel sistema interno del Consiglio europeo: il testo rivisto di Chat Control 2.0 è stato approvato.
Fuori dalle stanze di Bruxelles, milioni di cittadini europei hanno continuato a scrivere messaggi su WhatsApp, Signal, Telegram. Conversazioni private, protette dalla crittografia end-to-end. Ma quella protezione potrebbe durare poco. Perché il nuovo testo, pur eliminando la scansione obbligatoria, introduce qualcosa di più subdolo: la sorveglianza “volontaria” permanente e l’obbligo di identificarsi per comunicare. Un po’ come dire che la porta di casa resta chiusa, ma la chiave va lasciata sotto lo zerbino.
Il gioco delle tre carte di Bruxelles
Chat Control, formalmente noto come Child Sexual Abuse Regulation, era stato proposto dalla Commissione Europea nel 2022. L’obiettivo dichiarato era nobile: individuare materiale pedopornografico attraverso la scansione delle comunicazioni private. Il problema era il metodo: scansione obbligatoria di ogni messaggio, anche quelli protetti da crittografia end-to-end. Già a maggio 2024 la Germania aveva bloccato tutto, insieme a Polonia, Austria e Paesi Bassi. Troppo invasivo, troppo pericoloso per la privacy. Ora, dopo una seconda stroncatura nello scorso ottobre, la proposta sembrava morta. E invece.
La Danimarca, che tiene la presidenza di turno del Consiglio, ha impiegato esattamente un mese per riscrivere il testo. Il risultato è Chat Control 2.0: stessa sostanza, confezione diversa. La scansione non è più “obbligatoria”, è “volontaria”. Le piattaforme possono scegliere se implementarla o meno. Serve che qualcuno spieghi ai danesi cosa significa “volontario” quando hai European Digital Rights che denuncia pressioni sistemiche sulle piattaforme per adeguarsi. Finché la scelta è tra “scansiona volontariamente” e “sembri quello che protegge i pedofili”, la volontarietà è un dettaglio tecnico.
Il Coreper ha approvato il testo con Germania astenuta (non più contraria) e Italia astenuta. Repubblica Ceca, Paesi Bassi e Polonia hanno votato contro, ma senza la Germania non si raggiunge la minoranza di blocco del 35% della popolazione UE.
Il voto finale al Consiglio è previsto per l’8-9 dicembre 2025. Se passa, iniziano i triloghi con Parlamento e Commissione per il testo definitivo. Se avete a cuore il problema e volete farlo conoscere, condividete questi temi a più persone possibili.
L’intelligenza artificiale che leggerà tutto (sbagliando nell’80% dei casi)
Patrick Breyer, ex eurodeputato del Partito Pirata ed esperto di diritti digitali, ha definito Chat Control 2.0 “un inganno volto a eludere il dibattito democratico”. Il punto centrale è l’intelligenza artificiale che dovrebbe distinguere conversazioni innocenti da “comportamenti sospetti”. Solo che non funziona.
La Polizia Federale Svizzera ha dichiarato che l’80% dei contenuti segnalati automaticamente non è illegale. Foto di bambini al mare, conversazioni tra familiari, battute tra amici. Falsi positivi che intasano le procure e violano la privacy di milioni di persone.
Diciotto esperti europei di cybersecurity hanno firmato una lettera aperta pubblicata sul sito di Breyer. Il loro verdetto è netto: Chat Control 2.0 rappresenta “alti rischi per la società senza benefici comprovati per i minori”. Gli algoritmi di riconoscimento del “grooming” (l’adescamento online) sono ancora più imprecisi. Come fa un’AI a distinguere tra un padre che scrive “ti amo” alla figlia e un adescatore? Non può. La parola “amore” in una chat tra adolescenti innesca l’allarme? Probabilmente sì. Il risultato è una caccia alle streghe digitale dove l’apparenza di certe parole sostituisce l’analisi del contesto.
Chat control, addio comunicazioni anonime
C’è un secondo problema nel testo approvato dal Coreper: l’obbligo di verifica dell’età per accedere ai servizi di messaggistica. L’Articolo 4 richiede sistemi di age-verification che, secondo i critici, sono tecnologicamente incompatibili con la privacy. Per verificare l’età servono dati biometrici o documenti d’identità. Vuoi aprire un account email? Serve la carta d’identità. Vuoi usare Signal in modo anonimo? Non più possibile.
L’effetto collaterale è devastante per giornalisti, whistleblower e attivisti. Come raccontavo qui parlando della privacy delle AI, l’anonimato online non è un capriccio da hacker: è protezione per chi denuncia corruzione, violenze, abusi di potere. Obbligare tutti a identificarsi elimina questa possibilità. E spinge gli under-16 verso piattaforme meno sicure, senza crittografia, dove i rischi reali sono maggiori. Serve proteggere i minori? Certo. Vietandogli WhatsApp e costringendoli su app oscure senza controlli? Forse no.
Function creep è il termine tecnico per quando una tecnologia nata con uno scopo limitato si espande progressivamente. Il Patriot Act americano post-11 settembre era “temporaneo”. È diventato permanente e molto più esteso. L’Online Safety Act britannico obbliga le piattaforme a sviluppare sistemi di scansione che tecnicamente non esistono ancora, creando l’autorità legale in attesa della capacità tecnica.
Quello che Europol non fa (e che funzionerebbe)
Il paradosso è che esistono metodi efficaci per combattere la pedopornografia online. Europol potrebbe rimuovere materiale noto dagli host dove è caricato. Non lo fa sistematicamente. Le piattaforme come Facebook usano già tecnologie di scansione da anni, eppure il numero di segnalazioni automatiche continua a crescere senza arrestare la circolazione reale. I perpetratori più sofisticati usano forum decentralizzati, archivi crittografati condivisi tramite link e password. Metodi che nessun algoritmo di scansione può intercettare.
La Electronic Frontier Foundation ha avvertito: una volta costruita, un’infrastruttura di sorveglianza universale non serve solo chi governa oggi. Serve anche chi governerà domani, quali che siano le sue intenzioni. L’idea di Ursula von der Leyen che legge i messaggi di tutti è inquietante. L’idea che questa capacità resti disponibile per chiunque arriverà dopo è terrificante. La Corte di Giustizia dell’Unione Europea ha già stabilito che l’analisi generale e automatica delle comunicazioni private viola i diritti fondamentali.
Chat Control 2.0 contraddice questo precedente, ma serviranno anni per un nuovo ricorso giudiziario che lo annulli.
Breyer l’ha sintetizzato con chiarezza:
“Ci vendono sicurezza ma consegnano una macchina di sorveglianza totale. Promettono protezione dei minori ma puniscono i nostri figli e criminalizzano la privacy”.
Il voto finale si avvicina. La finestra per fermare Chat Control si sta chiudendo. Questa tecnologia non può funzionare tecnicamente per raggiungere il nobile obiettivo del contrasto alla pedopornografia.
E una volta costruito, decidere chi può guardare diventa solo questione di potere.
