Chat Control: la lotta alla pedopornografia inciampa sulla privacy

Il Chat Control 2.0 è un regolamento proposto dall’Unione Europea per contrastare gli abusi online sui minori. Il suo obiettivo principale è stabilire norme uniformi per prevenire e combattere l’uso improprio dei servizi digitali per abusi sessuali su minori nel mercato interno europeo. La proposta di regolamento, formalmente denominata Child Sexual Abuse Regulation (Csar), si basa sulla Convenzione delle Nazioni Unite sui diritti del fanciullo e la Carta dei diritti fondamentali dell’UE, che riconoscono il diritto alla protezione e al benessere del minore come interessi superiori da salvaguardare sia offline che nell’ambiente digitale. Questo regolamento si inserisce nel quadro delle iniziative realizzate con la Strategia dell’UE per una lotta più efficace contro gli abusi sessuali su minori adottata dalla Commissione europea nel 2020, in combinato con la correlata Strategia dell’UE sui diritti dei minori del 2021.

Il regolamento Chat Control prevede diverse misure chiave per contrastare gli abusi sui minori online. Nella versione approvata dal Consiglio UE, include: la scansione volontaria (non più obbligatoria) dei messaggi da parte dei provider per rilevare materiale pedopornografico; una deroga permanente alla direttiva ePrivacy che consente questa scansione; l’obbligo di verifica dell’età per tutti gli utenti; la creazione di un nuovo Centro europeo che coordinerà segnalazioni e rimozioni di contenuti illeciti; e limitazioni alle chat per gli under 17. Il regolamento impone ai prestatori di servizi di hosting e di comunicazione interpersonale di valutare il rischio di uso improprio dei propri servizi per la diffusione di materiale pedopornografico o per l’adescamento di minori, e di adottare misure di attenuazione ragionevoli. In caso di rilevazione di materiale illecito, i provider devono segnalarlo tempestivamente al Centro dell’UE e, se viene emesso un ordine di rimozione, eliminare o disabilitare l’accesso al contenuto entro 24 ore.

Le critiche al Chat Control sono numerose e provengono da diverse parti. Le principali riguardano l’incompatibilità con i diritti fondamentali alla privacy e alla protezione dei dati personali, poiché il regolamento consentirebbe una forma di sorveglianza di massa privatizzata. Le autorità europee di protezione dei dati (EDPB e EDPS) hanno espresso forti riserve, definendo la scansione generalizzata incompatibile con i diritti fondamentali. La tecnologia più discussa è il client-side scanning, che analizzerebbe messaggi e immagini direttamente sul dispositivo dell’utente prima della cifratura, introducendo potenzialmente nuove vulnerabilità sfruttabili da hacker o regimi autoritari. Esperti di crittografia e organizzazioni per i diritti digitali hanno lanciato appelli contro la proposta, evidenziando che i sistemi di riconoscimento automatico di materiale illegale sono tecnicamente fragili, producono molti falsi positivi e sono facilmente eludibili da chi vuole diffondere contenuti illeciti. Il rischio è quindi duplice: sorveglianza di massa sugli utenti comuni e, al tempo stesso, inefficacia contro i criminali.

La scansione dei messaggi prevista dal Chat Control funzionerebbe attraverso tecnologie specifiche come l’hashing, che permettono di rilevare contenuti pedopornografici o relativi ad abusi sui minori. Con questa tecnologia, il materiale viene segnalato quando c’è una corrispondenza tra un’immagine o un video e un ‘hash’ presente in un database contenente materiale verificato sugli abusi sessuali nei confronti dei minori online. La parte più controversa riguarda il client-side scanning: i messaggi e le immagini verrebbero analizzati direttamente sul dispositivo dell’utente prima della cifratura. Se un contenuto corrispondesse a un “segnale” di materiale illecito, scatterebbe una segnalazione automatica alle piattaforme e, in alcuni casi, alle autorità. Secondo la proposta, in caso di riscontro positivo da parte dell’algoritmo, il risultato sarebbe esaminato dal provider tramite l’ausilio di personale umano, che verificherebbe ed eventualmente segnalerebbe il contenuto alle forze dell’ordine. Il regolamento specifica che il trattamento dei dati personali dovrebbe essere limitato a quanto strettamente necessario e i dati dovrebbero essere cancellati immediatamente se non viene identificato alcun sospetto di abusi sui minori o comunque dopo dodici mesi.

La differenza principale tra la versione originale del Chat Control e la versione 2.0 riguarda l’obbligatorietà della scansione dei messaggi. Nella proposta iniziale, i provider di servizi di messaggistica erano obbligati a monitorare tutte le comunicazioni alla ricerca di contenuti pedopornografici. Nella versione 2.0 approvata dal Consiglio UE, la scansione dei messaggi resta volontaria, ma la deroga alla direttiva e-Privacy diventa permanente. Inoltre, la nuova versione introduce l’obbligo di verifica dell’età per tutti gli utenti e prevede la creazione di un nuovo Centro europeo che coordinerà segnalazioni e rimozioni. Un’altra novità significativa è l’introduzione di limiti alle chat per gli under 17. Il regolamento originale, votato favorevolmente nel 2021, consentiva ai provider di effettuare un controllo intensificato sul contenuto delle chat per individuare potenziali contenuti pedopornografici, costituendo una deroga espressa alla Direttiva ePrivacy, ma aveva una durata temporanea di tre anni.

Il Chat Control ha un impatto significativo sulla crittografia end-to-end, poiché per funzionare richiederebbe di aggirare questa protezione. La tecnologia più discussa è il client-side scanning, che analizzerebbe i messaggi e le immagini direttamente sul dispositivo dell’utente prima della cifratura. Questo sistema, secondo gli esperti di crittografia, introdurrebbe inevitabilmente nuove vulnerabilità che potrebbero essere sfruttate da hacker o regimi autoritari, minando la sicurezza della comunicazione digitale per tutti. Il Parlamento europeo, nella posizione approvata nel novembre 2023, ha introdotto emendamenti che escludono esplicitamente l’indebolimento della crittografia e vietano la sorveglianza indiscriminata. Tuttavia, il regolamento di follow-up potrebbe rendere obbligatorio il controllo delle chat per tutti i provider di posta elettronica e messaggistica, costringendo anche i servizi di messaggistica crittografati end-to-end come WhatsApp o Signal a installare delle backdoor. La Corte Europea dei Diritti dell’Uomo, nel caso Podchasov v. Russia (2024), ha sottolineato che obblighi che neutralizzano la cifratura violano il diritto alla vita privata.

Il Chat Control prevede l’istituzione di un’Agenzia dell’Unione europea per la prevenzione e la lotta contro l’abuso sessuale su minori, denominata Centro dell’UE sull’abuso sessuale su minori. Questo Centro avrà un ruolo fondamentale nell’attuazione efficace del regolamento, agevolando le attività di rilevazione, segnalazione, rimozione o disabilitazione dell’accesso e al blocco di materiale pedopornografico. Il Centro sarà dotato di personalità giuridica e contribuirà alla condivisione di informazioni raccolte in sede di cooperazione tra gli attori pubblici e privati interessati alla prevenzione e alla lotta contro l’abuso sessuale su minori, in particolare online. Tra i suoi compiti ci sarà la gestione di una banca dati degli indicatori per identificare il materiale pedopornografico noto e nuovo. Quando un prestatore di servizi di hosting o di comunicazione interpersonale viene a conoscenza di informazioni che rivelano casi di potenziale abuso sessuale su minori online nei suoi servizi, dovrà segnalarli tempestivamente al Centro dell’UE, che coordinerà le azioni successive.

Le posizioni sul Chat Control variano significativamente tra le diverse istituzioni europee. Il Consiglio dell’UE ha recentemente dato un primo ok alla sua posizione negoziale sul regolamento, con la scansione dei messaggi che resta volontaria ma con una deroga permanente alla direttiva e-Privacy. La Commissione europea, che ha proposto originariamente il regolamento nel 2022, lo sostiene come parte della Strategia dell’UE per una lotta più efficace contro gli abusi sessuali su minori. Il Parlamento europeo, invece, nella posizione approvata nel novembre 2023, ha introdotto emendamenti che escludono esplicitamente l’indebolimento della crittografia e vietano la sorveglianza indiscriminata, mostrando una posizione più cauta. Le autorità europee di protezione dei dati (EDPB e EDPS) hanno espresso forti riserve, definendo la scansione generalizzata incompatibile con i diritti fondamentali alla privacy. A giugno 2024, il Consiglio dell’UE ha rinviato il voto per mancanza di consenso, e i governi si dividono tuttora sul testo: alcuni Stati membri spingono per mantenere la possibilità di “ordini di rilevazione”, altri si oppongono fermamente.

Il Chat Control 2.0 introduce l’obbligo di verifica dell’età per tutti gli utenti dei servizi di comunicazione online, rappresentando un cambiamento significativo rispetto alle pratiche attuali. Questa misura mira a proteggere i minori limitando la loro esposizione a contenuti inappropriati e a potenziali predatori online. La proposta approvata dal Consiglio UE prevede anche specifici limiti alle chat per gli under 17, che non potrebbero utilizzare chat e giochi con funzionalità di chat, il che significa praticamente tutti i giochi online. Critici sostengono che questa misura è eccessivamente restrittiva e potrebbe avere un forte impatto sull’anonimato digitale e sulle libertà digitali in tutta l’Unione europea. L’implementazione di sistemi di verifica dell’età solleva anche questioni sulla privacy, poiché richiede la raccolta di dati personali aggiuntivi, e sull’accessibilità, poiché potrebbe creare barriere all’accesso per utenti legittimi che non possono o non vogliono fornire documenti di identità.

Il Chat Control si presenta come una deroga espressa alla Direttiva ePrivacy, che vieta ai provider di porre in essere attività di sorveglianza, intercettazione o conservazione delle comunicazioni elettroniche, salvo il caso in cui l’utente non abbia prestato il proprio consenso o il provider sia stato espressamente autorizzato per legge. Tuttavia, il regolamento specifica che, nonostante costituisca una deroga alla Direttiva ePrivacy, non fa venir meno i principi, i diritti e gli obblighi di cui al Reg. UE 679/2016, altresì noto come GDPR. Ne deriva che il trattamento di dati personali da parte dei provider al fine di perseguire gli scopi indicati nel Regolamento Chatcontrol rientra pienamente nell’ambito di applicazione del GDPR, ed è soggetto alle garanzie ed alle condizioni previste nello stesso. Questo crea una tensione normativa, poiché alcuni critici vedono una contraddizione tra un’Europa che “da un lato, guida il mondo nella tutela delle libertà digitali con il GDPR e l’intero Digital Compact, e dall’altro cerca ripetutamente di passare una legge idiota e liberticida” come il Chat Control.

Le alternative al Chat Control per proteggere i minori online includono approcci più mirati e meno invasivi. Alcuni esperti suggeriscono di intensificare le indagini sotto copertura sui circuiti pedopornografici e ridurre gli arretrati di elaborazione nelle ricerche e nelle valutazioni dei dati sequestrati, piuttosto che implementare una sorveglianza di massa. Un approccio alternativo potrebbe essere quello di investire maggiormente nell’educazione digitale e nella sensibilizzazione di minori, genitori e insegnanti sui rischi online. Altre proposte includono lo sviluppo di strumenti di parental control più sofisticati che rispettino la privacy degli utenti, come sistemi graduali che offrano risorse di auto-aiuto, suggeriscano numeri di supporto e invitino a parlare con un adulto di fiducia prima di attivare notifiche automatiche. Inoltre, si suggerisce di creare spazi sicuri dove le vittime di abusi possano cercare aiuto in modo confidenziale, senza temere che le loro comunicazioni vengano monitorate. Un approccio educativo ridurrebbe la dipendenza dai controlli tecnici e trasformerebbe l’IA in strumento di crescita, anziché in vincolo imposto.