Il prossimo 14 ottobre 2025, il Consiglio dell’Unione Europea deciderà se approvare il regolamento Chat Control, tecnicamente denominato CSAR (Child Sexual Abuse Regulation). La misura nasce con l’intento di contrastare la pedopornografia online ma, nelle sue modalità di attuazione, introduce un sistema di sorveglianza preventiva sulle comunicazioni digitali di milioni di cittadini europei.
Il dilemma è evidente: da un lato si intravede una svolta necessaria nella tutela dei minori, dall’altro emerge il rischio concreto di una forma di controllo di massa capace di compromettere la libertà individuale e la riservatezza delle comunicazioni.
Che cos’è Chat Control
Il regolamento CSAR nasce come iniziativa europea per combattere la diffusione di materiale pedopornografico e i comportamenti di adescamento online. Impone ai fornitori di servizi digitali – dalle app di messaggistica alle email, fino ai videogiochi e ai social network – di installare sistemi in grado di individuare, segnalare e bloccare automaticamente contenuti sospetti. Queste tecnologie si basano su algoritmi di intelligenza artificiale e su impronte digitali di immagini già note, raccolte in una banca dati europea gestita da EUCSA, il nuovo Centro europeo contro gli abusi sui minori.
Ogni messaggio, immagine o link inviato attraverso un servizio di comunicazione potrebbe essere analizzato in tempo reale da un sistema automatico che ne valuta la potenziale pericolosità. Anche nei casi in cui la comunicazione è protetta da crittografia end-to-end, la scansione potrebbe avvenire direttamente sul dispositivo dell’utente, prima che il messaggio venga cifrato. È ciò che viene definito client-side scanning, un processo che apre la strada a un monitoraggio capillare delle comunicazioni private, persino quando non esiste alcun sospetto di reato.
Quando si vota e cosa accadrà dopo
Il voto sul regolamento è previsto per il 14 ottobre 2025. L’Unione Europea arriva a questa data in un clima di forte divisione politica: otto Stati membri hanno espresso contrarietà, dodici sostengono la proposta e sette non hanno ancora assunto una posizione definitiva. La Germania ha annunciato la propria opposizione alla versione attuale del testo, ritenendola incompatibile con i principi costituzionali sulla riservatezza delle comunicazioni, mentre Belgio, Svezia e Italia oscillano tra il sostegno e l’astensione.
Se il regolamento sarà approvato, si aprirà la fase del trilogo, un negoziato tra Parlamento europeo, Consiglio e Commissione per definire la versione finale del testo. Da quel momento, la misura diventerà vincolante per tutti gli Stati membri. Ogni Paese dovrà istituire un’Autorità nazionale incaricata di coordinare i controlli e autorizzare, su richiesta giudiziaria, l’attivazione dei sistemi di rilevazione. Le piattaforme digitali dovranno adattarsi installando tecnologie di scansione automatica e collegandosi alla banca dati centrale dell’EUCSA, mentre le segnalazioni generate dagli algoritmi verranno trasmesse a Europol e alle autorità nazionali competenti.
Una volta entrato in vigore, il regolamento non potrà essere facilmente revocato o modificato: la sua struttura lo rende una normativa diretta, applicabile senza passaggi parlamentari nei singoli Stati. È quindi probabile che, nel giro di pochi mesi, i principali servizi di messaggistica adottino strumenti di monitoraggio preventivo, anche nei contesti cifrati.
Come funziona il sistema di controllo
Il meccanismo si basa su “ordini di rilevazione” emessi dalle autorità competenti verso servizi specifici. Le piattaforme individuate saranno obbligate a eseguire controlli automatizzati sui contenuti generati dagli utenti, utilizzando due modalità principali: il riconoscimento di hash crittografici per identificare materiale già noto e l’impiego di modelli di intelligenza artificiale per individuare nuovi contenuti o comportamenti di adescamento.
Nei casi in cui la comunicazione è protetta da cifratura end-to-end, l’unica soluzione tecnicamente possibile è quella di analizzare i messaggi direttamente sul dispositivo dell’utente, prima che vengano cifrati. Questa opzione rappresenta il punto più controverso della proposta: di fatto, trasforma smartphone, tablet e computer in strumenti di sorveglianza personale. Il regolamento non impone esplicitamente la scansione locale, ma lascia spazio a una sua introduzione futura, attraverso clausole di revisione e valutazioni tecniche.
In parallelo, gli store di applicazioni come Apple App Store e Google Play dovranno verificare se le app presenti nei loro cataloghi rispettano i requisiti di rilevazione, con la facoltà di rifiutare quelle ritenute non conformi. In prospettiva, questo potrebbe portare a un ecosistema digitale più chiuso e centralizzato, dove il diritto alla privacy dipenderà dalle politiche di poche grandi aziende.
Una minaccia strutturale alla privacy
Scansionare sistematicamente messaggi, immagini e file significa introdurre un livello di controllo mai visto prima nelle comunicazioni civili. La misura, pur motivata da finalità nobili, sposta il baricentro dell’azione pubblica: dalla prevenzione mirata dei reati alla sorveglianza preventiva dell’intera popolazione digitale.
Occorre sottolineare che gli algoritmi, per loro natura, non distinguono contesto, ironia o linguaggio figurato. Il rischio di falsi positivi è reale: messaggi innocui potrebbero essere segnalati, utenti del tutto estranei a pratiche criminali potrebbero finire sotto indagine, e una mole crescente di dati sensibili verrebbe esposta a vulnerabilità tecniche e abusi.
Il rischio di estensione del perimetro di controllo è altrettanto concreto. Nella logica della sicurezza, le tecnologie introdotte per scopi specifici tendono nel tempo a essere impiegate per altri obiettivi. In gergo si parla di function creep: una deriva funzionale che, una volta attivata, può espandere il controllo anche a contenuti politici, espressioni di dissenso o temi ritenuti “sensibili”.
Tutto questo non riguarda solo l’Europa: l’approvazione di Chat Control creerebbe un precedente internazionale e così regimi autoritari potrebbero citare l’Unione come modello per giustificare controlli ancora più invasivi.
