La proposta dell’Unione Europea nota come Chat Control, introdotta nel 2020 e formalizzata nel 2022, mira a contrastare la diffusione di materiale di abuso sessuale su minori (CSAM) e l’adescamento online di minori (grooming), imponendo ai fornitori di servizi digitali (piattaforme di messaggistica, email e cloud) la scansione automatica dei contenuti, anche quelli protetti da crittografia end-to-end (E2EE). Sebbene la tutela dei minori sia un obiettivo prioritario, la proposta solleva gravi preoccupazioni per la sua natura di sorveglianza di massa incompatibile con i diritti fondamentali sanciti dagli articoli 7 (riservatezza delle comunicazioni) e 8 (protezione dei dati personali) della Carta dei diritti fondamentali dell’UE. La giurisprudenza della Corte di giustizia dell’Unione Europea considera tali misure sproporzionate.
Le tecnologie previste per l’analisi dei contenuti, come il client-side scanning, presentano rischi di falsi positivi, vulnerabilità di sicurezza ed espansione delle finalità di sorveglianza (function creep). Inoltre, la proposta potrebbe spingere aziende tecnologiche a lasciare il mercato europeo, con danni per l’innovazione, nonché legittimare le analoghe azioni di regimi autoritari […] si raccomanda di rigettare la proposta attuale, eventualmente valutando soluzioni alternative come la crittografia omomorfica […] e la cooperazione transnazionale per bilanciare sicurezza e diritti fondamentali.
CONTESTO E SVILUPPO NORMATIVO EUROPEO
[…] La nuova proposta introduce obblighi di scansione automatica, anche per comunicazioni protette da E2EE, coinvolgendo piattaforme di messaggistica come WhatsApp, Signal e Telegram, oltre a servizi di email e cloud. L’iniziativa risponde all’aumento degli abusi online: nel 2021, oltre 85 milioni di immagini e video di CSAM sono stati segnalati globalmente, molti su reti cifrate.OBIETTIVI DICHIARATI E RATIO GIURIDICA
[…] Il regolamento Chat Control mira a rafforzare la lotta contro CSAM e il grooming online attraverso un quadro normativo vincolante per i fornitori di servizi digitali. I principali obiettivi delineati includono:- rilevare e segnalare contenuti illeciti tramite tecnologie automatizzate, anche su comunicazioni cifrate;
- identificare vittime e perseguire penalmente i responsabili;
- obbligare i provider a implementare strumenti di scansione e collaborare con le autorità;
- istituire un EU Centre per gestire segnalazioni e monitorare le misure. Il meccanismo si articola in tre fasi: valutazione del rischio da parte dei provider, ordini di rilevamento emessi da autorità nazionali per rischi significativi e segnalazione dei contenuti rilevati con successiva rimozione e notifica alle forze dell’ordine.
CRITICITÀ GIURIDICHE E CONFLITTI CON I PRINCIPI DELL’UNIONE EUROPEA
La proposta di Chat Control presenta numerose criticità giuridiche che la rendono molto probabilmente incompatibile con i principi fondamentali dell’Unione Europea, minacciando privacy, sicurezza digitale e libertà di espressione. La scansione obbligatoria di tutte le comunicazioni private, incluse quelle protette da crittografia end-to-end, sembra violare l’articolo 7 della Carta dei diritti fondamentali, che garantisce la riservatezza delle comunicazioni. La Corte di giustizia dell’Unione Europea […] ha stabilito che la sorveglianza di massa è sproporzionata e contraria ai principi di necessità e proporzionalità, trattando ogni utente come sospetto.
Il client-side scanning, che accede ai contenuti prima della crittografia, compromette l’E2EE, pilastro della sicurezza digitale secondo l’Agenzia dell’UE per la cybersicurezza (ENISA), introducendo vulnerabilità, come dimostrato dall’attacco hacker noto come Salt Typhoon.
Una lettera aperta di centinaia di scienziati nel settembre 2025 ha definito la proposta tecnicamente infattibile senza minare la sicurezza digitale.
Inoltre, la raccolta massiva di dati personali e il loro trasferimento al EU Centre violano i principi di minimizzazione e consenso informato del GDPR (articolo 5), aumentando i rischi di abuso, come sottolineato dal Garante italiano per la protezione dei dati. […]
RISCHI TECNOLOGICI DELLA PROPOSTA DI CHAT CONTROL
La proposta contempla l’impiego di strumenti basati sull’intelligenza artificiale, incluse tecnologie di riconoscimento visivo e modelli linguistici computazionali, con l’obiettivo di rilevare e classificare contenuti potenzialmente illeciti. Tecnologie come client-side scanning, machine learning e hashing presentano limiti significativi. Gli algoritmi di intelligenza artificiale infatti possono generare falsi positivi, classificando erroneamente contenuti leciti come illeciti, con conseguenti violazioni della privacy e messa in osservazione di cittadini innocenti, senza contare l’inutile, se non addirittura dannoso, sovraccarico di segnalazioni per le autorità.
I metodi necessari ad aggirare i normali sistemi di autenticazione ed eseguire la scansione, possono essere backdoor tecniche, che espongono i sistemi a cyberattacchi, come evidenziato da Signal, compromettendo le infrastrutture critiche. […]
Inoltre, l’uso di algoritmi proprietari privi di audit indipendenti può ridurre la trasparenza e aumenta il rischio di bias (cioè di distorsioni o pregiudizi impliciti nel modo in cui vengono effettuate le verifiche sulla liceità dei contenuti) […] In questo senso possiamo definire un sistema di controllo basato su algoritmi – senza audit indipendenti – una sorta di “scatola nera” che impedisce a chiunque, al di fuori dei proprietari e dei loro collaboratori, di capire come vengono prese le decisioni, rendendo difficile verificare se l’algoritmo operi in modo etico e conforme alle normative. […]
Si assisterebbe a un’inversione del principio fondamentale della presunzione d’innocenza: il cittadino non è più considerato non colpevole fino a prova contraria, ma diventa oggetto di un sospetto preventivo […]
WHATSAPP: “PROPOSTA UE PERICOLOSA PER LA PRIVACY E LA SICUREZZA”
Will Cathcart, CEO di WhatsApp (gruppo Meta), ha definito la proposta della presidenza UE “una minaccia per la privacy e la sicurezza di tutti”. Il 3 ottobre 2025 ha dichiarato pubblicamente:
L’ultima proposta della Presidenza dell’UE viola ancora la crittografia end-to-end, mettendo a rischio la privacy e la sicurezza di tutti, un’opinione condivisa da esperti di oltre 30 paesi. Continuiamo a esortare i paesi dell’UE a impegnarsi per una maggiore sicurezza per i propri cittadini e a respingere questa proposta.
SIGNAL: “UNA MINACCIA ESISTENZIALE”
Ancora più drastica è la posizione della Signal Foundation, che ha definito la proposta “una minaccia esistenziale” per la sua missione. Signal ha chiarito che integrare meccanismi di scansione preventiva nei messaggi – come previsto in alcune versioni del testo normativo- è incompatibile con il proprio modello di sicurezza. L’organizzazione ha dichiarato apertamente che, qualora la normativa venisse approvata nella sua forma attuale, si troverebbe costretta ad abbandonare il mercato europeo. […]
APPLE E IL PRECEDENTE DEL 2021: MARCIA INDIETRO SULLO SCANNING
Apple ha già vissuto un’esperienza simile nel 2021, quando annunciò l’introduzione di un sistema di scansione lato cliente per individuare materiale pedopornografico (CSAM) nei contenuti destinati a iCloud. L’iniziativa suscitò proteste immediate da parte di gruppi per i diritti civili e di esperti. A seguito del backlash, Apple sospese il progetto a meno di un mese dall’annuncio, riconoscendo le implicazioni per la privacy e la fiducia degli utenti.
META E IL PERCORSO VERSO L’E2EE UNIVERSALE
Dal 2019, Meta ha avviato un processo per estendere la crittografia end-to-end a tutte le sue piattaforme di messaggistica, incluse Facebook Messenger e Instagram Direct, oltre a WhatsApp dove è già attiva. L’implementazione è stata rallentata da sfide tecniche e problemi di interoperabilità, ma anche da pressioni governative, in particolare dagli Stati Uniti e da altri paesi preoccupati che E2EE possa ostacolare la lotta alla criminalità e alla disinformazione.
Ciononostante, Meta ha mantenuto la rotta. In un rapporto commissionato alla no-profit Business for Social Responsibility (BSR) e pubblicato nel 2022, l’azienda ha evidenziato come la crittografia end-to-end rappresenti una tutela fondamentale dei diritti umani, suggerendo 45 raccomandazioni su come bilanciare sicurezza pubblica e diritto alla privacy.
TELEGRAM: “UN ATTACCO ALLA LIBERTÀ”
Il fondatore di Telegram, Pavel Durov, ha diffuso il 14 ottobre 2025 un messaggio. a tutti gli utenti francesi, condannando apertamente la proposta europea. Durov ha denunciato la legge come un tentativo di trasformare i telefoni in strumenti di sorveglianza di massa, accusando direttamente la Francia di guidare l’iniziativa:
Oggi, l’Unione Europea ha quasi messo al bando il tuo diritto alla privacy […] Il loro vero obiettivo sono le persone comuni. […] Solo TU, cittadini comuni, correresti il rischio che i tuoi messaggi e le tue foto private vengano compromessi.
Durov ha attribuito il momentaneo stop della legge all’intervento della Germania, ma ha avvertito che le libertà digitali restano sotto minaccia.
ANCHE X PRENDE POSIZIONE
Infine, X (ex Twitter) ha accolto con favore la decisione del Consiglio dell’UE di rinviare il voto previsto per il 14 ottobre sulla proposta CSAM/Chat Control, definendo il rinvio “un passo importante nella protezione delle comunicazioni sicure”. Tuttavia, ha avvertito che la proposta resta sul tavolo, sottolineando l’urgenza di continuare a contrastare qualunque disposizione che legittimi forme di sorveglianza di massa.
[…]PROPOSTE PER BILANCIARE LA PROTEZIONE DEI MINORI E LA TUTELA DEI DIRITTI DIGITALI
Per contrastare il CSAM senza compromettere la privacy e la sicurezza digitale, sarebbe opportuno valutare approcci alternativi alla proposta attualmente in corso di valutazione, che prevedano di limitare le misure a casi specifici e sottoposti a controllo giudiziario, di introdurre clausole di trasparenza e audit indipendenti, nonché di inserire una clausola di revisione periodica.
Investire in tecnologie compatibili con la difesa della privacy, come la crittografia omomorfica, consentirebbe di analizzare dati cifrati senza decifrarli […] queste tecnologie, insieme ai zero-knowledge proof. offrono soluzioni per rilevare contenuti illeciti senza violare l’E2EE, come sostenuto da oltre 500 scienziati.
Programmi di educazione digitale per giovani e famiglie, uniti a una cooperazione transnazionale con Europol e Interpol, rafforzerebbero poi la prevenzione e l’efficacia delle indagini. Audit indipendenti e trasparenza algoritmica garantirebbero l’affidabilità delle tecnologie, mentre un dibattito pubblico inclusivo con cittadini, aziende e ONG eviterebbe approcci autoritari, favorendo soluzioni innovative. In conclusione, queste misure proteggono i minori, rispettano i diritti fondamentali e stimolano l’innovazione digitale europea.
CONCLUSIONI
L’attuale proposta di Chat Control per come si rappresenta oggi, rappresenta una sfida cruciale. Pur perseguendo un obiettivo condivisibile, l’approccio basato sulla sorveglianza indiscriminata sembra incompatibile con i principi di necessità e proporzionalità del diritto europeo, violando tra le altre cose la riservatezza delle comunicazioni e il GDPR, e generando un potenziali forme di auto-censura da parte delle persone, intimorite dal rischio di essere intercettate.
Le tecnologie previste, come il client-side scanning, presentano rischi di falsi positivi, vulnerabilità di sicurezza ed eccessivi ampliamenti negli scopi della sorveglianza, minacciando la sicurezza digitale e l’affidabilità dei sistemi. […]
Le big tech, da WhatsApp a Signal, passando per Telegram e X (ex Twitter), si oppongono alla scansione delle comunicazioni cifrate.
In questo contesto, è fondamentale ribadire che la riservatezza della corrispondenza, anche in forma digitale, rappresenta, prima ancora che una questione tecnica, giuridica o politica, una condizione essenziale per l’esercizio di numerosi diritti fondamentali. Essa costituisce uno degli elementi imprescindibili della dignità della persona, come riconosciuto dall’articolo 1 della Carta dei Diritti Fondamentali dell’Unione Europea. […]
Qualunque forma di compromissione, anche lieve, finisce per minare le basi dello Stato di diritto, già sotto pressione ovunque, anche in molti contesti democratici contemporanei. […]
Questa analisi propone quindi un approccio alternativo, basato su indagini giudiziarie, crittografia omomorfica, educazione digitale, trasparenza e dialogo pubblico, che consentirebbe di combattere il CSAM senza sacrificare i diritti fondamentali, stimolando un mercato di investimenti in tecnologie digitali stimato in crescita entro il 2030.
(Estratto dal sito dell’Istituto Bruno Leoni)
