Chat Control nel mirino: un importante Paese europeo boccia senza appello la sorveglianza dei messaggi

Il dibattito attorno al nuovo Regolamento europeo sul contrasto al Child Sexual Abuse (CSA), noto anche come Chat Control, si intensifica, soprattutto dopo la pubblicazione, a inizio settembre 2025, di una lettera aperta firmata da oltre 660 scienziati e ricercatori di 36 Paesi. La comunità scientifica, pur riconoscendo la necessità di azioni incisive contro i crimini più odiosi che colpiscono i minori, denuncia la persistente inadeguatezza tecnica delle misure previste e i rischi per la sicurezza digitale e le libertà fondamentali dei cittadini europei.

Sullo sfondo c’è l’iniziativa legislativa, lanciata dalla Commissione Europea nel 2022, che mira a obbligare i fornitori di servizi digitali a rilevare e segnalare contenuti riconducibili a reati online, anche all’interno delle comunicazioni private cifrate.

In soldoni, le app delle varie piattaforme digitali dovrebbero scansionare direttamente sui dispositivi degli utenti (client-side scanning) i contenuti delle comunicazioni e segnalare automaticamente eventuale materiale sospetto alle Autorità e ai funzionari designati.

Chat Control: perché la rilevazione tecnica non funziona

Gli scienziati, nella loro lettera aperta, sottolineano che nessun sistema di rilevazione automatizzato – basato su hash, intelligenza artificiale o analisi comportamentale – è in grado di operare su larga scala con un livello di accuratezza accettabile. Le ragioni sono molteplici:

• Evasione semplice dei sistemi di detection: basta modificare pochi pixel di un’immagine per bypassare i sistemi di riconoscimento basati su hash.
• Elevato tasso di falsi positivi e falsi negativi: ciò genera da un lato rischi di criminalizzare contenuti legittimi, dall’altro di non individuare materiali che invece costituiscono reato.
• Debolezza dell’approccio AI-based: i sistemi di machine learning sono facilmente manipolabili, hanno ampie superfici d’attacco e falliscono in contesti ambigui, dove persino l’interpretazione umana non è univoca.
• URL detection inefficace: i meccanismi di reindirizzamento rendono banale eludere il tracciamento, problema già noto in campi come la lotta al malware e alla pubblicità malevola.

Gli studiosi ribadiscono che non esiste evidenza scientifica di un possibile miglioramento sostanziale di queste tecnologie, nemmeno nel medio-lungo termine.

La gaffe puerile della Commissione Europea

Eppure, nonostante la presa di posizione chiara, tecnicamente argomentata, di oltre 660 esperti, la Commissione Europea se ne esce con un post rassicurante, del tutto fuori luogo:

Vogliamo essere chiari: in base alla proposta, non è previsto alcun monitoraggio generale delle comunicazioni online. Non esisterà alcun tipo di “Chat Control”. Saranno ricercati e potranno essere individuati solo i materiali che costituiscono chiaramente abusi sessuali su minori. Gli ordini di individuazione potranno essere emessi solo da autorità giudiziarie o amministrative indipendenti al termine di un processo approfondito volto a valutare la necessità e la proporzionalità, bilanciando tutti i diritti fondamentali in gioco.

La Commissione Europea insiste nel sostenere che saranno individuati solo i materiali che costituiscono reato. Ma, evidentemente, ancora non ci si rende conto di un punto essenziale: per poter identificare tali contenuti, è inevitabile introdurre un sistema di sorveglianza preventiva su tutte le comunicazioni private. Non si tratta di un equivoco semantico, ma di un vincolo tecnico: se un algoritmo deve “scoprire” contenuti sospetti, significa che ogni messaggio, ogni foto e ogni file inviato o ricevuto dovrà essere analizzato in tempo reale sul dispositivo di ciascun utente, al di fuori delle garanzie di cifratura end-to-end fornite dalle principali applicazioni di messaggistica.

La soluzione proposta introduce una scansione generalizzata dei messaggi privati di 500 milioni di cittadini

Questa dinamica non è diversa dal Chat Control che la stessa Commissione dichiara di voler smentire. Definire il processo come “individuazione mirata” non elimina il fatto che si tratti di una forma di scansione generalizzata, sistematica e obbligatoria di milioni di comunicazioni quotidiane, con tutte le implicazioni di sicurezza, privacy e libertà fondamentali che la comunità scientifica ha ripetutamente evidenziato.

Inoltre, l’argomento secondo cui gli ordini di individuazione verrebbero emessi solo da autorità indipendenti non risolve il problema. L’atto tecnico di predisporre un’infrastruttura di sorveglianza universale resta comunque irreversibile: una volta costruito un sistema capace di monitorare e segnalare contenuti privati, non vi sarà alcuna garanzia che non venga esteso ad altri scopi. È il fenomeno già noto come function creep, ovvero la progressiva estensione di strumenti nati per scopi circoscritti a usi sempre più ampi e invasivi.

Di fronte a questa realtà, le rassicurazioni istituzionali rischiano di trasformarsi in un paradosso comunicativo: nel tentativo di attenuare le critiche, finiscono per confermare implicitamente le tesi degli esperti, dimostrando una distanza profonda tra la narrazione politica e la fattibilità tecnico-scientifica della misura.

Il nodo della cifratura end-to-end

La proposta europea afferma di voler preservare la crittografia, ma gli obblighi di rilevazione on-device renderebbero vane queste dichiarazioni. Inserire un meccanismo di scansione prima della cifratura comporta:

• Violazione del principio di esclusività dei due endpoint.
• Creazione di un “single point of failure” esposto a potenziali attacchi.
• Introduzione di uno strumento facilmente estendibile ad altri scopi, come sorveglianza politica o censura.

Non è escluso che servizi come WhatsApp o Signal sarebbero costretti a interrompere la loro attività nell’Unione Europea, poiché non potrebbero più garantire la riservatezza promessa agli utenti.

Soluzioni concrete per la protezione dei minori

Se davvero si vuole affrontare il problema, come si evince anche dalla posizione dei firmatari della lettera aperta, occorre abbandonare l’idea che una scansione generalizzata delle comunicazioni possa rappresentare una risposta efficace.

Affidarsi a meccanismi di filtraggio automatizzato, magari potenziati dall’intelligenza artificiale, significa inseguire una promessa che non può essere mantenuta: nessun algoritmo è in grado di distinguere in modo infallibile tra contenuti innocui e materiali illeciti, soprattutto quando i confini semantici e contestuali sono così sfumati da risultare ambigui persino per un osservatore umano.

Pensare che basti un modello di machine learning per separare il lecito dall’illecito in miliardi di messaggi quotidiani è una pia illusione, aggravata dal fatto che questi sistemi sono intrinsecamente vulnerabili a manipolazioni ed errori. L’effetto pratico sarebbe duplice: da un lato la creazione di enormi quantità di falsi positivi, che finirebbero per sovraccaricare le strutture di controllo e minare la fiducia degli utenti; dall’altro la certezza che i soggetti realmente intenzionati a diffondere materiale illecito adotterebbero rapidamente contromisure, rendendo inefficace lo strumento.

La vera protezione non nasce dall’illusione di un controllo totale delle comunicazioni, ma da interventi mirati, capaci di agire sulle cause profonde del fenomeno e di rafforzare gli strumenti già collaudati per la prevenzione, la segnalazione e la rimozione dei contenuti illeciti. Solo in questo modo si evita di sacrificare la sicurezza delle comunicazioni di tutti in nome di una tecnologia che, per sua stessa natura, non potrà mai mantenere le promesse di precisione ed efficacia che le vengono attribuite.

La Germania punta i piedi e dichiara di NON appoggiare Chat Control

Come segnalato da Patrick Breyer, ex membro del Parlamento europeo, la Germania è arrivata a una conclusione importante. Il 7 ottobre 2025, il Governo tedesco ha annunciato di non sostenere il controverso regolamento Chat Control dell’Unione Europea, in seguito a una massiccia pressione pubblica. La posizione neutrale così manifestata impedisce al Consiglio UE di raggiungere la maggioranza necessaria per l’approvazione della legge, inizialmente prevista per metà ottobre 2025.

Jens Spahn, presidente del gruppo parlamentare CDU/CSU al Bundestag, ha dichiarato: “noi siamo contrari al monitoraggio indiscriminato delle chat. Sarebbe come aprire tutte le lettere per precauzione per vedere se contengono qualcosa di illegale. Questo non è accettabile e non lo permetteremo“.

Breyer ha accolto la notizia come una vittoria significativa: “è un trionfo per la libertà e dimostra che la protesta funziona! Senza la resistenza instancabile di cittadini, scienziati e organizzazioni, i Governi europei avrebbero approvato una legge di sorveglianza di massa totalitaria, compromettendo la privacy digitale“. Ha però sottolineato che, sebbene la legge sia temporaneamente bloccata, la minaccia non è scomparsa: “i sostenitori del Chat Control useranno ogni strategia possibile e non si arrenderanno facilmente. La nostra battaglia continua fino alla definitiva sconfitta di questa proposta“.

Perché la posizione della Germania è fondamentale

Nel Consiglio UE, le decisioni sono prese con la cosiddetta maggioranza qualificata, che richiede due condizioni:

• Il sostegno di almeno il 55% degli Stati membri (attualmente 15 su 27),
• Gli Stati devono essere appresentanti di almeno il 65% della popolazione dell’Unione.

Allo stesso modo, per bloccare una proposta serve una minoranza di blocco, che richiede almeno quattro Stati membri che rappresentino più del 35% della popolazione europea.

Ecco perché la posizione tedesca ha un peso determinante: da sola, la Germania conta per circa il 18% della popolazione UE. Mettendosi di traverso, la Germania crea automaticamente un effetto leva che rende molto più semplice costruire una minoranza di blocco capace di fermare l’iter.

Se Berlino avesse abbandonato la linea di resistenza, la diga che finora ha contenuto il progetto Chat Control avrebbe rischiato di cedere. Per questi motivi sarebbe ancora più importante che l’Italia si dichiarasse a sua volta contraria a Chat Control. In un altro articolo abbiamo visto cosa si può fare subito per bloccare la sorveglianza di massa in Europa.

Effetti extraterritoriali di Chat Control: rischi per utenti e aziende fuori dall’Unione Europea

I grandi servizi di messaggistica (WhatsApp, Telegram, Signal, ecc.) operano globalmente. Se l’Europa obbligasse questi provider a implementare sistemi di scansione per gli utenti europei, le stesse tecnologie porteranno all’analisi di messaggi e contenuti multimediali di soggetti non residenti nell’Unione. Ciò significa che cittadini extra UE potrebbero subire lo stesso livello di sorveglianza senza che il loro Paese lo richieda. E ciò anche se il client-side scanning fosse abilitato dai provider soltanto sui dispositivi degli europei.

Le piattaforme potrebbero raccogliere o analizzare i dati degli utenti extra UE su server localizzati in Europa per rispettare la normativa UE.

L’applicazione di sistemi di scansione obbligatori può entrare in conflitto con leggi locali in Paesi extra UE, dove la privacy è regolata diversamente o dove la sorveglianza preventiva è vietata. Ciò può creare tensioni legali per le piattaforme, costrette a scegliere tra rispettare la normativa europea o quella locale.

Il problema è che una regolamentazione stringente come Chat Control ha inevitabilmente effetti globali: anche utenti e aziende fuori dall’Unione rischiano di subire forme di sorveglianza e filtraggio dei contenuti senza che vi sia una decisione locale a sostegno di tali misure.