Chat control: nonostante i dubbi, si va avanti. Il 26 novembre i rappresentanti permanenti dei 27 stati membri dell’Unione europea hanno approvato la posizione negoziale del Consiglio sul regolamento per prevenire e contrastare gli abusi sessuali sui minori online, giornalisticamente noto come Chat control. Il voto, svoltosi a Bruxelles, ha registrato l’astensione di Italia e Germania, che hanno espresso preoccupazioni sulla tutela della privacy e sulla sicurezza delle comunicazioni cifrate, ma la proposta è passata lo stesso. A sbloccare lo stallo (la proposta era stata presentata dalla Commissione europea nel maggio 202) è stata la decisione della presidenza danese il mese scorso di ammorbidire la norma rimuovendo dal testo uno dei punti più controversi dell’intera proposta: l’obbligo di scansione generalizzata dei messaggi. Questa revisione ha fatto sì che non si ricreasse la minoranza di paesi contrari (di cui facevano parte Italia e Germania) che aveva già portato al rinvio del voto di ottobre. Il via libera apre ora la strada al negoziato a tre tra Consiglio, Parlamento e Commissione europei per definire il testo definitivo della norma.
Le critiche alla originaria
Il testo originario della proposta – fortemente voluto dall’allora commissaria agli Affari interni Ylva Johansson – prevedeva che le autorità nazionali potessero obbligare le piattaforme tecnologiche a sottoporre a scansione obbligatoria tutti i servizi di messaggistica, inclusi quelli protetti dalla cosiddetta crittografia end-to-end (come WhatsApp), un sistema che rende i messaggi leggibili soltanto a mittente e destinatario. L’obiettivo dichiarato era individuare materiale pedopornografico e tentativi di adescamento di minori, un fenomeno che secondo i dati di Europol ha raggiunto nel 2023 oltre 36,2 milioni di segnalazioni a livello globale.
Le critiche non si sono fatte attendere. Esperti di sicurezza informatica, organizzazioni per i diritti digitali e lo stesso servizio giuridico del Consiglio hanno sollevato obiezioni di fondo, sostenendo che la “scansione massiva” avrebbe potuto compromettere l’integrità della crittografia e aprire varchi sfruttabili da criminali informatici o regimi autoritari. Il Parlamento europeo, già nel novembre 2023, aveva adottato una posizione che escludeva del tutto i servizi cifrati dalle misure di rilevamento obbligatorio.
Com’è cambiato il testo ora
Il nuovo testo approvato dal Consiglio elimina perciò l’obbligo di scansione generalizzata, sostituendolo con un sistema di valutazione e mitigazione dei rischi. Le piattaforme dovranno analizzare i pericoli legati ai propri servizi e adottare misure preventive, dalla progettazione di strumenti di segnalazione all’introduzione di impostazioni di privacy predefinite per i minori.
La scansione rimane possibile su base volontaria, senza imposizione legislativa. Il Consiglio ha inoltre inserito un richiamo esplicito alla necessità di salvaguardare la crittografia end-to-end, sottolineando che le misure previste non devono comprometterne la funzione.
Il regolamento istituisce infine un nuovo organismo, il Centro europeo per gli abusi sessuali sui minori (Eu centre on child sexual abuse), che avrà il compito di supportare gli stati membri e le piattaforme nell’applicazione delle norme, gestire una banca dati delle segnalazioni e collaborare con Europol, l’agenzia europea di polizia.
Roma e Berlino frenano, però, sulla privacy
L’astensione italiana riflette una posizione già emersa nei mesi precedenti. Roma, secondo fonti diplomatiche riportate dal quotidiano Repubblica, ha ribadito l’impegno a contrastare la pedopornografia online, ma ha espresso riserve su qualsiasi forma di controllo delle comunicazioni personali suscettibile di violare i diritti costituzionali. La delegazione italiana al Consiglio dell’Ue ha chiesto alla presidenza danese di concedere spazio adeguato alla discussione, sottolineando che la lotta agli abusi non può tradursi in strumenti di sorveglianza indiscriminata, né da parte dello stato né da parte di soggetti privati.
