La proposta di regolamento europeo “chatcontrol” – cioè il regolamento per prevenire e combattere gli abusi sessuali sui minori online – dopo anni di stallo ha trovato in Consiglio, a fine novembre 2025, un accordo politico che si basa su obblighi di valutazione del rischio per i servizi online e sulla possibilità di mantenere la scansione dei contenuti, compresi i servizi di messaggistica cifrata end‑to‑end, seppur su base volontaria, a differenza dell’impianto originario della Commissione, che prevedeva invece degli obblighi.
Il compromesso abbandona quindi l’imposizione generalizzata di scansione dei messaggi privati, ma lascia in piedi un regime di sorveglianza volontaria e di “mitigazione del rischio”, che però molti critici considerano una forma surrettizia di chat control 1.0 resa permanente, con potenziali ricadute su privacy, crittografia e diritti fondamentali.
- Il contesto: da “chatcontrol 1.0” al nuovo regolamento
L’origine del dibattito sta nella deroga temporanea del 2021 (reg. 2021/1232), spesso chiamata “chatcontrol 1.0”, che consente ai provider di scansionare volontariamente messaggi e contenuti per individuare CSAM, in deroga alle regole ePrivacy sulla riservatezza delle comunicazioni. La attuano al momento solo gli operatori i cui messaggi non sono cifrati end-to-end (ad esempio: Meta).
Questa deroga, pensata come ponte, è stata più volte prorogata e oggi è valida fino ad aprile 2026, proprio perché la normativa permanente proposta dalla Commissione nel 2022 – che passava da rilevazione volontaria a obblighi generalizzati di detection, reporting e rimozione, anche con possibili ordini verso servizi cifrati – non è mai riuscita a trovare una posizione comune in Consiglio fino all’autunno 2025.
Durante le negoziazioni in Consiglio si è tentato di superare il problema dell’integrità della cifratura attraverso il c.d. “client scanning”, cioè il modello della “scansione nel telefonino e prima dell’invio”, ma senza sopire le critiche da parte di esperti ed attivisti del digitale. Anche con questo nuovo modello, tutte le comunicazioni diventano di fatto accessibili, non solo dalla piattaforma stessa, ma anche dai terzi (hackers, spie).
Peraltro, una volta che le comunicazioni sono di fatto controllabili, è possibile che gli eventuali pedocriminali si spostino su applicazioni diverse, scaricabili da Internet. Si tratta di una operazione banale, alla portata di tutti. Quindi la modello di ChatControl avrebbe utilità pratica molto limitata rispetto al fenomeno criminale che si intende combattere.
Molti critici osservano, inoltre, che la scansione generalizzata provocherebbe un elevato numero di “falsi positivi” (cioè immagini di bambini che sembrano pedopornografiche, ma non lo sono), rischiando in verità di ingolfare il lavoro degli investigatori.
- Il compromesso del Consiglio nel novembre 2025
L’accordo raggiunto dagli Stati Membri a fine novembre 2025 è stato il prodotto di una vera e propria “maratona” di presidenze: da quelle che puntavano a un obbligo di scanning (anche tramite client‑side scanning) alle più recenti pressioni a favore di un modello volontario meno frontalmente in rotta con la crittografia.
La presidenza danese, dopo aver tentato in estate un testo più aggressivo, ha ripiegato ad ottobre su una soluzione che abbandona l’idea di detection orders obbligatori “per tutti” e punta a codificare nel regolamento il mantenimento della scansione volontaria, riuscendo così – a fine novembre – a superare lo stallo in COREPER e a far adottare un mandato negoziale del Consiglio.
Il cuore dell’impianto del Consiglio ruota attorno a tre pilastri: valutazione del rischio, misure di mitigazione e scansione volontaria come opzione “legittimata” e integrata nel quadro.
I fornitori di servizi – hosting, piattaforme di condivisione, ma anche servizi di comunicazione – sarebbero così tenuti a effettuare periodicamente una valutazione dei rischi che il loro servizio possa essere usato per diffondere CSAM o per grooming, e a mettere in atto misure di mitigazione “mirate, proporzionate ed efficaci”, con la possibilità per le autorità di richiedere ulteriori misure in caso di servizi classificati ad alto rischio.
In questo quadro, la scansione di contenuti e comunicazioni rimane formalmente volontaria, ma viene riconosciuta come misura legittima e viene collegata alla nuova categoria dei servizi ad “alto rischio”, che possono essere spinti a “contribuire allo sviluppo di tecnologie” per mitigare tali rischi.
Di fatto, si crea un continuum tra il regime transitorio di chatcontrol 1.0 e il nuovo regolamento: ciò che era una deroga volontaria di emergenza viene trasformato in una componente strutturale della strategia di mitigazione nel quadro permanente, con margini per pressioni normative e reputazionali sui provider affinché adottino lo scanning come misura standardizzata.
- Crittografia, client‑side scanning e l’ombra della sorveglianza
Una delle questioni più sensibili è il trattamento dei servizi di messaggistica end‑to‑end encrypted (E2EE), dove il contenuto non è leggibile dal fornitore e, in teoria, neppure dalle autorità senza “rompere” la crittografia.
Il compromesso del Consiglio evita di scrivere esplicitamente un obbligo di client‑side scanning, ma mantiene aperta la possibilità che le tecnologie di rilevazione vengano implementate “sul dispositivo”, prima della cifratura, soprattutto in relazione a servizi considerati ad alto rischio e in combinazione con requisiti di age verification.
È proprio questo punto a sollevare le critiche più dure da parte di crittografi, accademici e garanti, che parlano di “più sorveglianza, ma non più protezione”: secondo loro l’idea di normalizzare la scansione volontaria, specie lato client, crea un’infrastruttura tecnica di sorveglianza generalizzata che può essere riutilizzata per altri scopi e che indebolisce strutturalmente la sicurezza delle comunicazioni.
Patrick Breyer e altri esponenti della linea più garantista in Parlamento sostengono che qualsiasi forma di analisi generalizzata di messaggi privati – obbligatoria o “volontaria” – è in contrasto con la Carta e con la giurisprudenza della Corte di giustizia sulla sorveglianza indiscriminata, e che la posizione del Consiglio rischia di portare a Lussemburgo un nuovo “caso pilota” sul confine tra lotta al crimine e diritti fondamentali.
- Critiche, reazioni e prossimi passi
L’accordo in Consiglio è stato salutato da parte dell’industria e di alcune ONG child‑protection come un passo avanti perché offre “certezza giuridica” e introduce obblighi generali di risk assessment, ma organizzazioni per i diritti digitali e una parte del mondo scientifico lo definiscono una “decezione politica” che non risolve i problemi di fondo.
Le valutazioni critiche evidenziano almeno tre nodi: mancanza di prove robuste sull’efficacia della scansione di massa nella riduzione effettiva degli abusi; errori elevati delle tecnologie di detection, con conseguenze gravi per utenti innocenti; e rischio di consolidare come permanente una deroga nata come eccezione, senza un bilancio rigoroso di proporzionalità.
Sul piano procedurale, il testo del Consiglio costituisce ora il mandato per il trilogo con il Parlamento, che ha una posizione molto più protettiva di crittografia e privacy, orientata a strumenti mirati e basati su sospetti individuali, non su scanning generalizzato.
Infatti il Parlamento europeo, nel novembre 2023, ha adottato una posizione che respinge il controllo indiscriminato delle chat, opponendosi alla sorveglianza di massa (ma quindi ammettendo indagini mirate su individui o gruppi sospetti e solo con mandato giudiziario). È stata inoltre rigettata l’idea della scansione obbligatoria lato client (ovvero sui telefonini o nei dispositivi personali).
Il vero terreno di scontro dei prossimi mesi, nell’ambito del Trilogo, sarà quindi se il negoziato riuscirà a chiudersi su un modello centrato su indagini mirate e misure di sicurezza “by design”, come sembra proporre il Parlamento, oppure se prevarrà la logica – oggi dominante in Consiglio e Commissione – di una infrastruttura permanente dove la “scansione” diventa, se non un obbligo di legge, almeno una prassi tecnica favorita e istituzionalmente legittimata.
— Di Innocenzo Genna, Giurista specializzato in politiche e regolamentazioni europee per il digitale, la concorrenza e le liberalizzazioni
