Svolta decisiva a Bruxelles sul fronte della privacy digitale. La presidenza di turno danese del Consiglio dell’Unione Europea ha annunciato giovedì un passo indietro sulla controversa proposta di legge “Chat Control”, ritirando di fatto l’ipotesi di una sorveglianza di massa obbligatoria delle comunicazioni private online.
La decisione, maturata dopo mesi di accesi dibattiti e un’insanabile frattura tra gli stati membri, segna una vittoria significativa per le associazioni a difesa dei diritti digitali e per i sostenitori della crittografia, che da tre anni si battono contro una misura ritenuta liberticida.
Chat Control: la controverse legge europea sulla sorveglianza di massa è stata accantonata
Il regolamento, noto ufficialmente come CSAM (Regulation to Prevent and Combat Child Sexual Abuse), era stato proposto nella primavera del 2022 dalla Commissione Europea con l’obiettivo dichiarato di prevenire e combattere la diffusione di materiale pedopornografico e l’adescamento di minori online.
Il cuore della proposta obbligava le piattaforme tecnologiche – incluse app di messaggistica come WhatsApp e Telegram, e servizi email come Gmail – a scansionare preventivamente ogni messaggio, foto, video o audio scambiato dai cittadini europei, prima ancora che raggiungesse il destinatario.
Sebbene l’intento di proteggere i minori fosse ampiamente condiviso, il metodo proposto ha scatenato un’immediata levata di scudi da parte di esperti di cybersicurezza, giuristi e attivisti. Il punto più critico era l’inevitabile indebolimento della crittografia end-to-end (E2E), il sistema che garantisce che solo il mittente e il destinatario possano leggere i contenuti di una conversazione.
Per conformarsi al regolamento, le aziende avrebbero dovuto implementare sistemi di “scansione lato client” (client-side scanning), di fatto una backdoor nei sistemi crittografati.
I critici hanno sottolineato come tale meccanismo non solo avrebbe rappresentato una violazione sproporzionata del diritto fondamentale alla privacy, ma avrebbe anche creato una pericolosa vulnerabilità di sicurezza, sfruttabile da hacker e governi autoritari.
Lo stallo politico e il “no” tedesco
La presidenza danese, insediatasi a giugno, aveva inizialmente manifestato l’intenzione di portare a termine l’approvazione del regolamento in Consiglio. Tuttavia, si è scontrata con un blocco invalicabile. Per l’approvazione era necessaria una maggioranza qualificata che, nei mesi, è diventata chiaro non sarebbe mai stata raggiunta.
A pesare in modo decisivo è stata la posizione della Germania. Il governo di coalizione guidato da Friedrich Merz, pur mostrando apertura sul tema della protezione dei minori, ha espresso da subito forti riserve.
La svolta definitiva è arrivata a inizio ottobre, quando la ministra della Giustizia tedesca, Stefanie Hubig, ha definito pubblicamente la proposta un “controllo delle chat ingiustificato“. Di fronte al “no” di Berlino e all’incertezza di altri Paesi (l’Italia, dopo un’iniziale ambiguità, si era spostata su una cauta approvazione), la Danimarca ha dovuto prendere atto dell’impossibilità di procedere.
L’alternativa volontaria
Costretta a cambiare rotta in vista della fine del suo semestre di presidenza, Copenaghen ha ora messo sul tavolo una proposta alternativa molto meno drastica: rinnovare la legislazione attuale, che scade ad aprile 2026, la quale permette alle aziende tecnologiche di effettuare controlli su base volontaria, senza alcun obbligo.
Tuttavia, un documento di discussione diffuso il 30 ottobre rivela che la battaglia per la privacy non è finita. Sebbene il nuovo testo abbandoni la scansione obbligatoria, introduce altri elementi altamente problematici.
Innanzitutto, l’articolo 4 della nuova bozza vieterebbe la creazione di account anonimi per posta elettronica e messaggistica, obbligando gli utenti a identificarsi tramite documento d’identità o riconoscimento facciale. Una misura che, secondo giuristi ed esperti, minerebbe la sicurezza di giornalisti, fonti riservate (whistleblower), attivisti politici e chiunque necessiti di riservatezza.
Come sottolineato dall’associazione italiana Clusit, si creerebbero inoltre archivi centralizzati di dati sensibili, bersagli perfetti per attacchi informatici.
In secondo luogo, si propone (articolo 6) di limitare l’accesso alle app social e di messaggistica ai minori di 16 anni per combattere il grooming. Una misura che molti esperti ritengono facilmente aggirabile e socialmente penalizzante per i giovani.
Infine, anche la scansione “volontaria” desta preoccupazioni: secondo l’Internet Watch Foundation (IWF), nel 2023 circa il 60% delle segnalazioni di presunto materiale pedopornografico si sono rivelate falsi positivi, esponendo conversazioni private innocenti a controlli ingiustificati.
Se il Consiglio raggiungerà un accordo su questa nuova impostazione, la parola passerà ai negoziati con il Parlamento Europeo, che spinge per un approccio più mirato, basato su ordini di un giudice limitati a soggetti specifici e sospetti, piuttosto che su una sorveglianza di massa.
Recentemente, l’Unione Europea ha anche affondato un nuovo colpo a Meta e TikTok, accusate di violare i termini del DMA.
