«Chat Control» è una proposta di regolamento dell’UE (presentata dalla Commissione l’11 maggio 2022) che fisserebbe un quadro giuridico per individuare, segnalare e rimuovere online i contenuti di abusi sessuali su minori (CSAM). Nella sua forma più controversa, imporrebbe alle app di messaggistica e ai servizi online di analizzare automaticamente ciò che gli utenti inviano — testi, immagini, video — anche nelle conversazioni destinate a restare private e protette da cifratura end-to-end. Tecnicamente sposta la sorveglianza alla fonte: sul tuo dispositivo, prima che la cifratura protegga i messaggi («client-side scanning», o CSS). Le autorità per la protezione dei dati e il Servizio giuridico del Consiglio hanno segnalato che questo approccio è problematico perché equivale a perquisizioni generalizzate senza un sospetto individuale previo.

In pratica, l’app di messaggistica integra un modulo che calcola un «impronta» (hash percettivo) per ogni immagine o analizza ogni messaggio prima dell’invio, quindi confronta il risultato con banche dati di riferimento (cataloghi di hash CSAM, liste di pattern, modelli di ML). Se l’algoritmo «ritiene» che ci sia corrispondenza con contenuti vietati, genera un rapporto e avvia una catena di allerta verso un centro designato o le autorità. Il problema è sia di principio sia pratico: in linea di principio, vieni scansionato costantemente senza legame con un’indagine; in pratica, questi sistemi non sono né perfetti né neutrali. La ricerca mostra vulnerabilità strutturali: un attaccante può produrre falsi positivi in massa, avvelenare gli insiemi di hash o nascondere un «obiettivo secondario» (ad es. riconoscimento facciale mirato) dentro uno schema di hashing apparentemente limitato al CSAM. Gli errori accadono e hanno conseguenze umane (chiusura di account, indagini immotivate). Lo si è visto già nel 2022: Google ha segnalato padri che avevano scattato foto mediche dei propri figli su richiesta del medico; gli account sono stati chiusi e il sospetto è rimasto nonostante l’archiviazione dei casi.

Il problema centrale riguarda il segreto della corrispondenza e la protezione dei dati. La Carta dei diritti fondamentali dell’UE (artt. 7 e 8) e la CEDU (art. 8) tutelano la privacy e l’integrità delle comunicazioni. La CGUE ha ripetutamente bocciato meccanismi di sorveglianza generalizzata e indiscriminata — anche per fini legittimi — perché non sono mirati né proporzionati (Digital Rights Ireland, Tele2 Sverige). In breve: non si può controllare un’intera popolazione «per ogni evenienza». EDPB ed EDPS hanno avvertito esplicitamente che la proposta, così com’è, finirebbe per catturare quasi tutte le comunicazioni, con un effetto di raffreddamento sulla libertà di espressione (giornalisti, ONG, professioni protette).

Diversi segnali forti suggeriscono di no, se impone una rilevazione indiscriminata. Il Servizio giuridico del Consiglio ha sottolineato l’impatto sui diritti fondamentali della scansione di contenuti interpersonali senza miramento. Il Parlamento (tramite la commissione LIBE) ha votato nel novembre 2023 per respingere le scansioni di massa e proteggere esplicitamente la cifratura end-to-end. Ciò non significa che la scansione sia impossibile, ma dev’essere strettamente mirata, proporzionata e soggetta a un solido controllo giudiziario. Qualsiasi soluzione che aggiri la cifratura tramite CSS sistematico collide con questi principi.

Il regolamento è un atto legislativo dell’UE (art. 288 TFUE) di portata generale, vincolante in tutti i suoi elementi e direttamente applicabile in ogni Stato membro. A differenza della direttiva, non necessita di recepimento nazionale: si applica così com’è, allo stesso tempo e nello stesso modo ovunque. L’UE lo usa quando vuole una regola uniforme per tutto il mercato e per tutti i cittadini.

La Commissione propone il testo. Poi viene co-deciso dal Parlamento europeo (eurodeputati) e dal Consiglio dell’UE (ministri degli Stati membri) nell’ambito della procedura legislativa ordinaria. In pratica significa letture successive, emendamenti e spesso «triloghi» tra Commissione-Consiglio-Parlamento. Se Parlamento e Consiglio non adottano lo stesso testo, non passa. L’esito finale è quindi un compromesso politico tra governi e rappresentanti eletti.

Dopo la proposta del 2022, il dossier ha incontrato vari ostacoli politici nel 2024. Da luglio 2025, con la presidenza danese del Consiglio, ha ripreso velocità: media specializzati riportano l’obiettivo politico di chiudere un accordo in autunno, con una data indicativa di voto intorno al 14 ottobre 2025 e posizioni che si irrigidiscono a settembre. Nulla è deciso: la posizione del Parlamento tutela l’E2EE e in Consiglio gli equilibri oscillano tra coalizioni nazionali; in passato alcune capitali hanno già formato «minoranze di blocco». Il calendario accelera e i compromessi tecnici (scansione su base opt-in? limitata alle immagini note? esclusione del grooming?) restano controversi.

I rapporti di forza in Consiglio sono cambiati da luglio 2025. Con la presidenza danese, un nuovo testo — ampiamente ispirato ai compromessi belga e ungherese del 2024 — rimette sul tavolo la scansione obbligatoria (anche prima della cifratura) e una categorizzazione del rischio per servizio. Un resoconto interno della riunione del gruppo «law enforcement» dell’11 luglio 2025, trapelato via netzpolitik.org, riassume così: una maggioranza di Paesi «può convivere» con la proposta danese, resta una minoranza di blocco e alcuni indecisi chiave (Germania, Francia, Belgio, Finlandia, Lussemburgo, Estonia, Cechia, ecc.) pesano molto.

Visivamente, la mappa di luglio 2025 pubblicata dall’eurodeputato Patrick Breyer mostra a colpo d’occhio quali governi sono «favorevoli», «opposti/neutrali» o «indecisi». È una fotografia attivista ma utile per localizzare il proprio Paese.

Paesi esplicitamente «favorevoli» l’11/07 (o positivi sul testo danese) … Italia, Spagna, Ungheria, Lettonia, Lituania, Cipro, Croazia, Svezia (sostegno del governo, serve via libera parlamentare), Danimarca (autrice del testo). La Francia ha detto di essere pronta a «sostenere in linea di principio» il testo, in particolare il rinnovo del regime transitorio, il che la colloca tra i piuttosto favorevoli. Il Portogallo è «molto positivo» ma mantiene riserve sulla parte cifratura.
Paesi «opposti» (o formalmente critici su punti chiave) … Polonia (respinge la scansione obbligatoria e l’inclusione dell’E2EE, segnala rischi per la cybersicurezza e l’invalidità di un «consenso» forzato), Austria (vincolata da una ferma posizione parlamentare contro CSS e indebolimento della cifratura), Paesi Bassi (forti riserve su «ordini di rilevazione» e CSS). Slovenia e Lussemburgo esprimono seri dubbi sulla proporzionalità e sul client-side scanning.
«Indecisi / in revisione» (o divisi internamente) … Germania (nuova coalizione ancora in arbitrato, storicamente contraria alla scansione dell’E2EE), Belgio («difficoltà» politiche interne sulla cifratura dopo il compromesso 2024), Estonia (spaccata tra sicurezza e protezione dati sul CSS), Finlandia (testo «piuttosto problematico», in revisione), Cechia (stagione elettorale, posizione in sospeso), Irlanda (accoglie le garanzie di cybersicurezza ma resta cauta), Slovacchia (positiva sull’ambizione ma aperta a contro-argomentazioni), Romania (non citata in quel resoconto specifico). Queste sfumature contano: il Servizio giuridico del Consiglio considera ancora il CSS contrario ai diritti fondamentali, il che pesa sugli indecisi.

In sintesi: l’adozione dipende da poche capitali (Parigi, Berlino, Bruxelles, Helsinki, Lussemburgo, Praga, Dublino). E anche tra i «favorevoli», diversi parlamenti nazionali potrebbero imporre salvaguardie. Per una visione d’insieme, vedi la mappa di luglio 2025 (indicativa).

Apple. Ha abbandonato nel 2022 il piano di rilevazione CSAM per iCloud Photos (scansione on-device), scelta accolta positivamente dai sostenitori della cifratura. Da allora Apple ha puntato sul rafforzamento dell’E2EE (Advanced Data Protection). Questo resta incompatibile con un CSS generalizzato; l’azienda privilegia la sicurezza sistemica rispetto a scansioni AI sui dispositivi.

Meta / WhatsApp. Linea pubblica costante: niente backdoor e niente scansioni imposte che indeboliscano l’E2EE. Will Cathcart ha ribadito che l’app non «romperà» la cifratura — messaggi simili durante i dibattiti UK/UE. I media tech notano che il CSS mina le promesse di riservatezza di WhatsApp.

Google. Difende l’E2EE (in particolare su Messaggi/RCS) e, più in generale, l’hashing lato server dove lecito e proporzionato, senza danneggiare l’E2EE universale. Analisi europee ricordano i limiti di tecnologie come PhotoDNA (utile per contenuti noti, non per «sconosciuti» né grooming), base degli argomenti contro un CSS generalizzato.

Microsoft. Promotrice di lunga data di PhotoDNA (rilevazione tramite hash di contenuti già noti, non CSS). Nell’UE sostiene regole proporzionate e strumenti di provenienza/tracciabilità, non la scansione in tempo reale di tutte le chat cifrate. Lo scopo di PhotoDNA non equivale al CSS per gli «sconosciuti».

Signal. Linea dura: meglio uscire da un mercato che indebolire l’E2EE. Meredith Whittaker ha dichiarato che Signal non integrerà CSS obbligatorio né «eccezioni» all’E2EE.

Threema. Contraria con fermezza alla proposta «Chat Control», avverte dell’insicurezza sistemica introdotta da qualsiasi CSS.

Element / Matrix. Avverte del ritorno a scansioni di massa e dei danni all’ecosistema open-source (server self-hosted, federazione), dove imporre scanner client/server sarebbe irrealistico e pericoloso.

Proton (Mail/Drive/Pass/VPN). Accoglie con favore la posizione del Parlamento 2023 che esclude l’E2EE dalla rilevazione e considera il CSS tecnicamente e giuridicamente insostenibile.

Telegram. Nessuna posizione UE chiara sul CSS; la cifratura non è attiva di default in tutte le chat, rendendolo un caso ibrido nel dibattito.

Tendenza generale: i servizi veramente E2EE respingono il CSS obbligatorio. Tra i «Big Tech», la linea pubblica è proteggere l’E2EE ed evitare un meccanismo generalizzato di client-side scanning.

Se si introducesse un CSS generalizzato, ogni dispositivo diventerebbe un posto d’ispezione permanente. I tuoi messaggi e le tue foto verrebbero filtrati prima della cifratura, e gli errori potrebbero attivare segnalazioni — chiusura di account, blocco di servizi essenziali (mail, cloud), persino indagini di polizia. Casi documentati mostrano come tali errori possano distruggere una vita digitale in poche ore. Inoltre, l’indebolimento dell’ecosistema E2EE apre superfici d’attacco: più codice, più punti di accesso, più rischio. Per le professioni protette (avvocati, medici, giornalisti) mina direttamente il segreto professionale; per vittime di violenza o attivisti elimina spazi sicuri. Su scala industriale, la fiducia nei servizi digitali europei ne risentirebbe se l’UE diventasse la prima regione democratica a imporre una scansione di massa.

No, non unilateralmente. Se adottato, un regolamento prevale su qualsiasi norma nazionale confliggente (primato del diritto dell’UE) e si applica direttamente. Uno Stato non può introdurre un’eccezione nazionale senza incorrere in una procedura d’infrazione della Commissione e, in ultima istanza, in una sentenza della CGUE. Prima dell’adozione, però, la Francia può pesare in Consiglio, costruire coalizioni per emendare o bloccare; dopo l’adozione, può impugnare dinanzi alla CGUE (ricorso di annullamento) o, se il testo lo consente, implementare il massimo delle garanzie entro i margini permessi (forte controllo giudiziario, audit pubblici, esclusione del CSS, ecc.). Ma un divieto nazionale frontale contro un obbligo previsto da un regolamento sarebbe contrario al diritto UE.

Sì. Nel diritto europeo il segreto delle comunicazioni e la riservatezza tra avvocato e cliente sono al centro del diritto alla privacy (Carta, CEDU art. 8). La CEDU accorda una tutela «rinforzata» al legal professional privilege: senza riservatezza, il diritto di difesa e il giornalismo d’inchiesta diventano illusori. Allo stesso modo, l’ePrivacy richiede la confidenzialità delle comunicazioni elettroniche. Il client-side scanning introduce un meccanismo che ispeziona i messaggi prima della cifratura, indebolendo meccanicamente tale confidenzialità — anche per le professioni protette. EDPB/EDPS hanno avvertito che imporre tecnologie di rilevazione alle messaggistiche può portare a una quasi-generalizzata scansione delle comunicazioni con tassi d’errore preoccupanti. In altre parole, anche con «esenzioni» sulla carta, uno scanner on-device generalizzato è difficilmente conciliabile con il segreto professionale tutelato in Europa.

Perché un diritto fondamentale non dipende da ciò che hai da nascondere, ma dal potere che Stato o aziende possono esercitare sulla tua vita. La sorveglianza preventiva di tutti diluisce la presunzione d’innocenza, raffredda la libertà di parola e moltiplica gli errori. Le tecnologie di rilevazione «trovano» anche innocenti: i falsi positivi attivano segnalazioni, chiusure di account, indagini — con danni reali. Anche in termini di efficacia investigativa, inondare i servizi di allerte dubbie distoglie risorse dai casi autentici. Le autorità europee di protezione dati notano che i tassi d’errore per la rilevazione di contenuti «nuovi» restano preoccupanti. E la riservatezza protegge anche gli altri: vittime di abusi, attivisti, professionisti sanitari e legali, whistleblower, giornalisti. Indebolire uno, significa indebolire tutti.

L’obiettivo di proteggere i minori è condiviso da tutti. La domanda è l’efficacia reale e il costo sociale. Analisi tecniche indicano che il CSS allarga enormemente la rete, genera molti falsi positivi e può essere aggirato da criminali determinati (reti chiuse, strumenti fuori dall’UE, ML avversaria). Ogni falso positivo consuma tempo investigativo e ritarda i casi veri. Esistono approcci più mirati ed efficaci: più risorse umane e giudiziarie, infiltrazioni e sorveglianza mirate, cooperazione internazionale focalizzata, azione più incisiva alla fonte, educazione e prevenzione, e priorità a segnalazioni davvero azionabili. In breve, privilegiare strumenti efficaci e proporzionati rispetto a scansioni indiscriminate dell’intera popolazione.

Nel giugno 2025 la Commissione ha pubblicato una «roadmap» per garantire «accessi leciti ed efficaci ai dati» per le forze dell’ordine. Include una tabella di marcia tecnologica sulla cifratura dal 2026 e finanziamenti per capacità di decrittazione entro il 2030 (es. Europol). Questo sfondo strategico mantiene la pressione politica sulla cifratura end-to-end e aiuta a spiegare la spinta a far passare nel breve termine un testo come il CSAR. È fondamentale ricordare che una cifratura forte protegge anche ospedali, imprese, amministrazioni e cittadini da crimine e spionaggio. Indebolirla in nome del «lawful access» crea buchi utilizzabili anche da attori malevoli.

Allo stato attuale, sviluppo e gestione dipenderebbero in gran parte da attori privati: grandi aziende (Apple, Meta, Microsoft, Google) e società specializzate (es. PhotoDNA/MS). Tre preoccupazioni principali seguono. Primo, la trasparenza: modelli, soglie e dati di addestramento sono segreti industriali, quindi difficili da auditare. Secondo, la dipendenza: l’UE esternalizzerebbe una funzione sovrana (la rilevazione) a fornitori per lo più extra-UE, con aggiornamenti unilaterali e bias importati. Terzo, la «deriva funzionale»: una volta esistente l’infrastruttura, ampliare lo scopo (terrorismo, «disinformazione», frodi…) è tentante a meno di salvaguardie rigide e applicabili. L’episodio Apple del 2021 lo illustra: annunciò una scansione CSAM on-device, poi fece marcia indietro dopo le critiche di criptografi e regolatori, proprio per i rischi di deriva e la difficoltà di garantire un uso strettamente delimitato.

Governi e autorità di protezione dati — in particolare in Germania, Paesi Bassi e altrove — hanno sollevato obiezioni di fondo: incompatibilità con i diritti fondamentali, insicurezza tecnica, inefficacia operativa (troppe allerte e falsi positivi). Il ministro della Giustizia tedesco, ad esempio, ha affermato che il «chat control» non ha posto in uno Stato di diritto, e la Camera olandese ha pubblicamente rallentato le versioni precedenti. Il quadro è fluido, però: alcuni Paesi che nel 2024 frenavano ora sostengono compromessi che re-introducono il CSS. Da qui l’importanza di monitorare in tempo reale la posizione del proprio governo.

La posizione di riferimento del Parlamento resta quella adottata nel novembre 2023 (LIBE + mandato negoziale): no alla sorveglianza di massa, esclusione dell’E2EE dalla rilevazione, misure mirate basate su un ragionevole sospetto. Questa linea è stata sostenuta da un’ampia maggioranza trasversale ai gruppi (Verdi/ALE, The Left, S&D e gran parte di Renew). Contrasta con un CSS generalizzato.

Dopo le elezioni 2024, la legislatura 2024–2029 ha rinnovato le delegazioni francesi (RN/Patriots for Europe, LR/PPE, Renaissance–MoDem–Horizons/Renew, PS–Place Publique/S&D, LFI/The Left, Ecologisti/Verdi). Ad oggi, molte posizioni pubbliche seguono le linee dei gruppi:
• Verdi/ALE e The Left (LFI): opposizione netta al CSS e a ogni indebolimento dell’E2EE; hanno sostenuto la linea LIBE 2023.
• S&D (PS/Place Publique) e Renew (Renaissance/Modem/Horizons): in generale allineati a LIBE 2023 (tutela dell’E2EE, approccio mirato), sebbene alcuni eurodeputati possano essere «aperti» a misure molto ristrette su contenuti noti sotto controllo giudiziario.
• PPE (Les Républicains): divisi tra fautori della «sicurezza» (a favore di obblighi di rilevazione) e chi mette al centro Stato di diritto e aspetti tecnici (proporzionalità e sicurezza della cifratura).
• Patriots for Europe / area ID (RN, alleati): eterogenei a seconda dei dossier sicurezza/privacy; nessuna linea francese univoca a favore di CSS obbligatorio al momento.
• ECR: in genere favorevoli a strumenti investigativi più forti, ma non al prezzo di una backdoor E2EE generalizzata (con sfumature interne).

Inizia spiegando il meccanismo senza gergo: «Vogliono installare software sui nostri telefoni che legge i messaggi prima che siano cifrati, per confrontare ciò che inviamo con banche dati di immagini e modelli automatici. Se la macchina sbaglia, può segnalarci per errore». Poi il punto: «Non è un dibattito pro o contro la tutela dei minori; è il metodo: scansionare tutti, sempre, è sproporzionato e inefficace. I criminali si adattano; nel frattempo si indeboliscono sicurezza e privacy di tutti». Infine la soluzione: «Finanziare persone e tribunali, indagini mirate, cooperazione transfrontaliera, rimozione dei contenuti alla fonte, educazione e prevenzione — senza rompere la cifratura». Per un pitch da 30 secondi:
«‘Chat Control’ è uno scanner sui nostri telefoni che legge i messaggi prima dell’invio. Può sbagliare e segnalare innocenti. Rompe la segretezza degli scambi (medici, avvocati, giornalisti) e crea falle per gli aggressori. Proteggiamo i minori con mezzi efficaci e mirati — non sorvegliando 450 milioni di europei».
Nelle conversazioni più lunghe, usa analogie concrete: «Accetteresti un agente che apre tutta la tua posta ‘per sicurezza’?». Ricorda che, in Europa, confidenzialità delle comunicazioni e segreto professionale sono diritti tutelati — e che le autorità privacy hanno avvertito di errori e derive. Offri un’azione chiara: firma la petizione, scrivi ai tuoi eurodeputati, parlane al lavoro e a scuola, e privilegia le messaggistiche che si oppongono pubblicamente al CSS obbligatorio.