Chat control: perché l’Europa frena sulla scansione dei messaggi privati a tutela dei minori

La protezione dei minori è uno dei pochi temi capaci di generare un consenso immediato e trasversale. È una questione che parla “alla pancia” dell’opinione pubblica e nessuno mette in discussione la necessità di contrastare l’abuso sessuale su minori e la diffusione di materiale pedopornografico online (CSAM). Proprio per questo, però, il dibattito tende a semplificarsi, con il rischio che, nel tentativo di intervenire rapidamente, si adottino misure tecniche e normative capaci di produrre effetti collaterali gravi e duraturi. È quanto accaduto con la proposta europea nota come Chat Control, che ha acceso uno dei dibattiti più complessi degli ultimi anni sul rapporto tra sicurezza, privacy e diritti fondamentali.

A che punto siamo con la normativa

L’iniziativa legislativa è stata presentata dalla Commissione europea nel 2022 con l’obiettivo di rafforzare la prevenzione, il rilevamento e la rimozione dei materiali pedopornografici. Il testo originario prevedeva, tra le altre cose, la possibilità di imporre alle piattaforme l’obbligo di scansionare anche i messaggi privati, inclusi quelli protetti da cifratura end-to-end (E2EE), un sistema che consente l’accesso ai contenuti esclusivamente a mittente e destinatario.

Negli anni successivi, la proposta ha subito numerose revisioni. Dopo un lungo e travagliato negoziato, nel novembre 2025 gli Stati membri dell’UE hanno deciso di non procedere con l’obbligo generalizzato per le grandi piattaforme di identificare e rimuovere automaticamente i contenuti CSAM. Come riportato da Reuters, la decisione riflette preoccupazioni condivise su privacy, sicurezza informatica, proporzionalità e fattibilità tecnica. Il dossier, tuttavia, non è chiuso: sono previsti ulteriori negoziati tra Consiglio, Parlamento e Commissione per individuare misure più mirate e compatibili con il quadro dei diritti fondamentali.

Le ragioni del dietrofront dell’UE

La retromarcia di novembre 2025 non è stata una concessione alle grandi piattaforme, ma il risultato di una valutazione di costo-opportunità e rischio sistemico. Ad oggi, non esistono soluzioni tecniche affidabili in grado di analizzare comunicazioni cifrate senza indebolire la sicurezza complessiva dei sistemi. Un intervento su larga scala – soggetto anche al rischio di falsi positivi – finirebbe per tradursi in una forma di sorveglianza preventiva di massa, che coinvolgerebbe l’insieme degli utenti e non soltanto i soggetti sospettati di reati.

In un contesto globale segnato da crescenti pressioni autoritarie – anche all’interno di sistemi democratici – l’introduzione di infrastrutture di infrastrutture di controllo obbligatorio rappresenta un rischio strutturale. Strumenti concepiti per un fine legittimo potrebbero infatti essere riutilizzati per il controllo politico, la repressione del dissenso o il monitoraggio di giornalisti, attivisti e minoranze. Una volta installata l’infrastruttura tecnica, nulla garantisce che resti confinata allo scopo originario, né che non diventino bersaglio o strumento di interferenze informative e abusi da parte di attori malevoli. Inoltre, i criminali più determinati tenderebbero comunque a spostarsi verso strumenti alternativi o non regolamentati.

Alternative possibili ma non risolutive

Va inoltre considerato che, sebbene la cifratura end-to-end impedisca ai provider di accedere ai contenuti delle comunicazioni, le autorità non sono prive di strumenti investigativi. In presenza di un mandato, possono infatti accedere ai dispositivi fisici degli indagati, richiedere metadati e ricorrere a tecniche investigative tradizionali. Il passaggio nasce nel passaggio da indagini mirate e proporzionate a un modello di controllo generalizzato e preventivo, che finirebbe per alterare l’equilibrio tra Stato e cittadini.

Tecnologie come l’hashing e PhotoDNA vengono spesso presentate come alternative meno invasive alla scansione dei messaggi privati. Si tratta di sistemi che trasformano un’immagine in una sorta di “impronta digitale” matematica, consentendo di confrontarla con database di materiale pedopornografico già noto senza direttamente il contenuto visivo. Questi strumenti, tuttavia, non “rompono” la cifratura end-to-end: funzionano infatti soprattutto su contenuti pubblici o non cifrati, e quindi non risolvono il nodo centrale posto dalla Chat Control.

Inoltre, l’hashing è efficace solo nel rilevare materiale già identificato e presente nei database di riferimento: non intercettare nuovi contenuti, versioni modificate o immagini generate artificialmente, né di individuare dinamiche di adescamento che si sviluppano nel tempo attraverso interazioni testuali e comportamentali.

Una questione politica e di diritto

Secondo un’analisi di SciencesPo, la cifratura sicura non è solo una scelta tecnica, ma una condizione necessaria per l’esercizio di diritti fondamentali quali privacy, libertà di espressione e sicurezza personale. Queste preoccupazioni si riflettono anche sul piano politico. Paesi come Germania, Austria e Finlandia hanno espresso apertamente forti riserve sulle proposte più invasive contenute della Chat Control. L’Italia ha adottato una posizione più prudente e meno esplicita; pur senza opporsi frontalmente, ha mostrato attenzione alle implicazioni in materia di protezione dei dati e diritti fondamentali nel quadro dei lavori del Consiglio UE.

Un altro elemento spesso sottovalutato è che l’Unione dispone già di un quadro normativo rilevante per la tutela dei minori online. Il Digital Services Act impone obblighi chiari alle piattaforme in termini di protezione dei minori. Prima di introdurre nuove infrastrutture tecnologiche invasive sarebbe probabilmente più efficace applicare in modo rigoroso le norme esistenti.

Oltre una falsa dicotomia

In conclusione, una soluzione tecnica frettolosa rischia di fare più male che bene. Ma soprattutto, il dibattito non può essere ridotto alla falsa dicotomia tra “rompere la cifratura” e “proteggere i minori”. La tutela dei bambini online non richiede automaticamente la sorveglianza di massa delle comunicazioni private. Richiede politiche proporzionate, basate su evidenze, capaci di combinare efficacemente sicurezza, diritti fondamentali e fiducia digitale.