La discussione europea su Chat Control è tornata in una fase delicata, e il punto critico resta sempre lo stesso: una misura nata per intercettare reati gravi rischia, se scritta male, di trasformarsi in un obbligo tecnico di controllo preventivo su messaggi, email, allegati e servizi di hosting usati ogni giorno da centinaia di milioni di persone. La scansione delle chat private è proprio il cuore del problema, perché tocca la riservatezza di quasi mezzo miliardo di cittadini.
Per capire come ci siamo arrivati bisogna tornare indietro di qualche anno. Nel 2021 l’Unione Europea approvò una deroga temporanea alla direttiva ePrivacy, ribattezzata dai critici Chat Control 1.0, che permetteva ai fornitori di servizi di comunicazione di usare strumenti volontari per rilevare il materiale di abuso sui minori, con scansioni di massa sulle informazioni scambiate dagli utenti. A maggio del 2022 la Commissione ha alzato la posta, presentando una proposta permanente con obblighi più strutturati per prevenire, segnalare e rimuovere contenuti illegali. Da allora quel dossier è diventato uno dei più contestati della legislazione digitale europea.
Il doppio binario tra deroga temporanea e regolamento permanente
L’allarme rilanciato da Patrick Breyer, attivista per i diritti civili ed ex eurodeputato, si muove su due piani paralleli. Il primo riguarda il tentativo di rimettere in piedi il regime temporaneo di Chat Control 1.0, cioè quella deroga che consentiva ai provider di analizzare volontariamente certe comunicazioni. Secondo Breyer, la presidente del Parlamento europeo Roberta Metsola avrebbe agevolato un percorso politico per riaprire la questione nonostante il voto contrario dell’aula. La sua osservazione è semplice: una norma respinta non dovrebbe rientrare dalla porta laterale tramite accordi riservati tra governi e vertici politici. Va detto, però, che la nuova pressione nasce anche dal vuoto normativo lasciato dalla scadenza della deroga temporanea, avvenuta il 3 aprile 2026.
Il secondo fronte è il regolamento permanente, chiamato dai critici Chat Control 2.0. Qui si parla di CSAR, il Child Sexual Abuse Regulation, una proposta pensata per sostituire il meccanismo provvisorio con obblighi stabili per provider di hosting, servizi di comunicazione, app di messaggistica, webmail e piattaforme online.
Ordini di rilevamento e cifratura, dove si gioca tutto
Nel linguaggio della proposta, un ordine di rilevamento può imporre a un servizio di cercare materiale noto, materiale nuovo o tentativi di adescamento. Sulla carta l’obiettivo è chiaro. Sul piano tecnico, però, cambia tutto a seconda di come viene applicato. Un conto è un’indagine mirata su soggetti identificati e con autorizzazione giudiziaria, un altro è un controllo preventivo su tutti gli utenti di un servizio ritenuto a rischio.
Il rilevamento del materiale già noto può sfruttare tecniche di hashing percettivo, come PhotoDNA: il contenuto viene trasformato in un’impronta digitale che tollera anche piccole modifiche dell’immagine. Sembra semplice, ma non lo è. I database devono essere accurati, aggiornati, controllati e protetti, perché un errore nella catena può generare segnalazioni sbagliate, blocchi ingiustificati o esposizione di dati sensibili. L’individuazione del materiale nuovo è ancora più complicata, perché entrano in gioco modelli di machine learning e sistemi probabilistici. In un servizio con milioni di utenti anche un tasso di errore minimo produce migliaia di segnalazioni errate, e quando in mezzo finiscono foto familiari o immagini mediche il danno può essere enorme.
Il nodo più spinoso resta la cifratura end to end. In app come Signal o WhatsApp il contenuto è leggibile solo sui dispositivi degli interlocutori, mentre il server gestisce solo pacchetti cifrati e metadati. Imporre al provider di leggere dentro quei messaggi lascia poche strade: rompere la cifratura, oppure introdurre il cosiddetto client side scanning, cioè analizzare i contenuti sul dispositivo prima dell’invio, quando sono ancora in chiaro. Una soluzione che sposta il controllo dal server allo smartphone e trasforma l’app in un punto di ispezione obbligatoria. E una volta costruita quell’infrastruttura, la lista dei contenuti cercati può allargarsi: oggi materiale di abuso, domani terrorismo, copyright, disinformazione.