Roma, 8 ott – Lunedì 14 ottobre il Consiglio dell’Unione Europea voterà il Child Sexual Abuse Regulation (CSAR), ribattezzato dai suoi critici Chat Control. Il regolamento nasce con l’intento dichiarato di rafforzare la lotta contro la diffusione online di materiale pedopornografico, ma le modalità con cui vorrebbe raggiungere questo obiettivo potrebbero inaugurare in Europa un’era inedita di sorveglianza digitale. Il punto centrale del dibattito è l’introduzione di sistemi di scansione preventiva dei contenuti direttamente sui dispositivi personali, compresi quelli che oggi utilizzano la crittografia end-to-end per garantire la riservatezza delle conversazioni.

Chat Control: prevenzione o sorveglianza?

La tecnologia prevista – indicata come client-side scanning – consentirebbe di analizzare messaggi, immagini e video prima che vengano cifrati. In questo modo si aggira la protezione offerta da applicazioni come Signal, WhatsApp o iMessage, che basano la loro sicurezza sul fatto che solo mittente e destinatario possano leggere i contenuti. Il documento in discussione al Consiglio, contraddistinto dal numero 11596/25, specifica che il materiale di abuso deve restare “rilevabile” anche all’interno delle chat cifrate, il che implica che i dati vengano controllati in forma non criptata almeno in una fase del processo di comunicazione. È questa la clausola che fa temere a molti la nascita di una infrastruttura di sorveglianza permanente, integrata nei dispositivi stessi degli utenti. Le istituzioni europee insistono sul fatto che non si tratterebbe di una sorveglianza generalizzata, ma di controlli mirati attivati attraverso ordini di rilevazione emessi da autorità giudiziarie o indipendenti solo quando vi sia un “rischio significativo” e per periodi limitati. Tuttavia, per esperti e associazioni civili questa garanzia appare fragile. Il problema non è tanto il modo in cui gli ordini verranno applicati oggi, ma il fatto stesso di predisporre un sistema universale di scansione già installato sui telefoni e pronto per essere acceso al bisogno. Per la Electronic Frontier Foundation (EFF), storica ong statunitense per i diritti digitali, “se il governo può leggere i messaggi prima che vengano cifrati, la crittografia non è più tale”.

Trasformare i dispositivi in cimici di stato

La critica è condivisa anche da Meredith Whittaker, presidente della Signal Foundation, che ha definito la proposta «una minaccia esistenziale» per le app di messaggistica sicura: “Se dovessimo integrare un sistema di sorveglianza in Signal, sceglieremmo di lasciare il mercato europeo”. Un simile meccanismo, avvertono gli oppositori, avrebbe conseguenze gravi non solo per i cittadini comuni ma anche per categorie che più di altre dipendono dalla riservatezza delle comunicazioni: giornalisti investigativi, whistleblower, avvocati, attivisti e difensori dei diritti umani. Il rischio è di trasformare smartphone e computer in vere e proprie “cimici di Stato”, in grado di raccogliere dati sensibili e potenzialmente accessibili a governi e attori ostili. Non mancano inoltre i dubbi sull’efficacia tecnica della misura. L’attuale sistema si baserebbe soprattutto su tecniche di hashing che permettono di identificare immagini già note come illecite. Tuttavia basta modificare anche in modo minimo un file – ritagliandolo, cambiando colore o ruotandolo – per alterarne l’impronta digitale e sfuggire al controllo. L’impiego di modelli di intelligenza artificiale potrebbe allargare il raggio d’azione ma introduce un altro problema: quello dei falsi positivi, cioè il rischio che materiali innocui vengano segnalati come sospetti, con conseguenze potenzialmente devastanti per gli utenti coinvolti e con il pericolo di sovraccaricare i sistemi giudiziari con segnalazioni errate.

Londra e Washington ci hanno ripensato

Se approvato nella sua forma attuale, il regolamento CSAR farebbe dell’Unione Europea la prima democrazia occidentale ad adottare un obbligo di scansione lato client a livello legislativo. Nessun altro Paese democratico ha finora osato tanto. Nel Regno Unito, ad esempio, l’Online Safety Act approvato nel 2023 contiene una clausola simile che consentirebbe all’Ofcom di ordinare alle piattaforme l’uso di tecnologie di rilevazione anche sulle chat cifrate. Ma il governo britannico ha promesso che la norma non sarà applicata finché non esisteranno metodi ritenuti “sicuri per la privacy”, di fatto congelandone l’entrata in vigore. Negli Stati Uniti, l’EARN IT Act mirava a far perdere ai provider la protezione legale della Sezione 230 se non avessero collaborato al contrasto del CSAM, ma il disegno di legge non è mai riuscito a superare l’iter parlamentare. Anche in altri Paesi si è discusso di strumenti analoghi senza arrivare a renderli obbligatori. Australia e Canada hanno optato per leggi che impongono la rimozione rapida dei contenuti pedopornografici, ma senza alcuna scansione preventiva dei messaggi privati. Persino aziende private hanno abbandonato idee simili: nel 2021 Apple aveva annunciato un sistema di CSAM detection on-device per iCloud Photos, poi ritirato di fronte alla rivolta di utenti e specialisti di sicurezza che lo consideravano una minaccia alla privacy. Il confronto internazionale mostra dunque come, mentre Londra e Washington hanno scelto di fermarsi davanti al rischio di indebolire la crittografia, Bruxelles sembri determinata a procedere lungo questa strada.

Gli sponsor politici del Chat Control

La battaglia sul Chat Control non è soltanto tecnica ma anche politica e ideologica. A sostenerlo è un asse inedito che unisce il centro-sinistra socialdemocratico – incarnato dalla commissaria svedese Ylva Johansson, autrice della proposta – e il centro-destra europeista guidato da Ursula von der Leyen e rafforzato dalla presidenza danese del Consiglio, favorevole a subordinare la privacy alle esigenze di sicurezza e di tutela dei minori. È quella cultura “securitaria-umanitaria” che considera legittimo ampliare i poteri di controllo dello Stato pur di prevenire crimini odiosi. Dall’altro lato si è formato un fronte trasversale di garantisti e libertari digitali: i Verdi/ALE, parte di Renew Europe, numerosi giuristi e organizzazioni come l’EFF, insieme a governi nazionali come Germania e Paesi Bassi, preoccupati che il regolamento apra la strada a una sorveglianza di massa incompatibile con i diritti fondamentali e con la tradizione europea della crittografia come spazio privato inviolabile. Lo scontro riflette dunque la frattura tra chi privilegia la protezione statale e chi difende la libertà individuale nel nuovo ambiente digitale. Ed è proprio questo che alimenta il timore di molti analisti: un’Unione Europea che si è sempre presentata come baluardo globale dei diritti digitali, pioniera con il GDPR e con il Digital Services Act, rischia ora di trasformarsi nel primo laboratorio di un modello di sorveglianza preventiva, finendo per somigliare più alle grandi potenze autoritarie che alle democrazie liberali.

L’Europa verso un “modello cinese”?

L’architettura prevista dal CSAR, osservano i critici, una volta creata non si potrà più limitare tecnicamente al solo contrasto della pedopornografia: basterà modificare il database o gli algoritmi di ricerca per estendere il controllo ad altri contenuti ritenuti “pericolosi” dal potere politico. È lo spettro di un “modello cinese” applicato all’Europa, non tanto per le intenzioni dichiarate oggi, quanto per le possibilità che la struttura apre per il futuro. Il prossimo 14 ottobre, perciò, non sarà soltanto un voto tecnico su un regolamento di sicurezza: rappresenterà un vero e proprio bivio politico e culturale. Il Consiglio dell’Unione Europea dovrà decidere se proseguire lungo la via che l’ha resa negli ultimi anni il continente con le leggi sulla privacy più severe al mondo, oppure se inaugurare un regime di sorveglianza digitale preventiva, aprendo una frattura profonda con il modello di tutela dei diritti su cui aveva costruito la propria legittimità internazionale.

Sergio Filacchioni