Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

legge europea

Chat Control: la lotta alla pedopornografia inciampa sulla privacy

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Csar (Child Sexual Abuse Regulation) recante disposizioni per la prevenzione e la lotta contro l’abuso sessuale sui minori – convenzionalmente nota anche come “Chat Control” riprende il suo iter procedurale di approvazione. Vediamo tutte le novità e le controversie, per le accuse di volere istituire un sistema di spionaggio delle nostre chat

Pubblicato il 29 set 2025
Angelo Alù

studioso di processi di innovazione tecnologica e digitale

Chat Control

Il dibattito su Chat Control è ora ai massimi.

Presentata dalla Commissione europea nel 2022, la proposta normativa di regolamento 2022/0155/COD – Csar (Child Sexual Abuse Regulation) recante disposizioni per la prevenzione e la lotta contro l’abuso sessuale sui minori – convenzionalmente nota anche come “Chat Control” – riprende il suo iter procedurale di approvazione dopo un periodo di stasi.

Chat Control, l'Europa vuole LEGGERE le nostre conversazioni? | The Essential

Chat Control: a che punto siamo

Svariate fasi istruttorie hanno rallentato il relativo processo legislativo, a seguito dell’acquisizione dei richiesti pareri formulati durante le fasi intermedie di esame del testo, più volte discusso ed emendato, sino alla decisione di avviare gli opportuni negoziati interistituzionali per la ricerca di una soluzione condivisa da adottare ufficialmente a conclusione di tali interlocuzioni in vista di una possibile votazione finale.

Che c’è alla base di Chat Control

Alla base della proposta, secondo quanto indicato nel preambolo esplicativo dei motivi e degli obiettivi del menzionato progetto legislativo che identifica il contesto normativo di riferimento, vengono richiamate la Convenzione delle Nazioni Unite sui diritti del fanciullo e la Carta dei diritti fondamentali dell’Unione europea (art. 24 CDFUE), da cui si evince l’esplicito riconoscimento, meritevole di tutela rafforzata, del diritto alla protezione e al benessere del minore come interessi superiori da salvaguardare sia “offline” che nell’ambiente digitale, alla luce dei dati riportati dalla proposta di regolamento Casr sui crescenti episodi di violenza sessuale e di abuso sessuale che si verificano anche online a pregiudizio dei minori durante l’infanzia.

In tale prospettiva, la proposta di regolamento Csar rientra nel quadro delle iniziative realizzate con la Strategia dell’UE per una lotta più efficace contro gli abusi sessuali su minori adottata dalla Commissione europea nel 2020, in combinato disposto con la correlata Strategia dell’UE sui diritti dei minori del 2021, “per rispondere in modo globale alla crescente minaccia di abusi sessuali su minori, sia online che offline”.

Chat control, davvero l’Europa vuole leggere i nostri messaggi?

La parte controversa di Chat Control riguarda strumenti previsti: in alcune versioni del testo è inclusa la possibilità di obbligare i servizi di messaggistica a scansionare anche le comunicazioni private, comprese quelle protette da crittografia end-to-end.

Di qui il timore, di molti, che l’Europa voglia autorizzare la lettura delle nostre conversazioni e chat.

Come funzionerebbe la scansione delle chat

La tecnologia più discussa è il client-side scanning: i messaggi e le immagini verrebbero analizzati direttamente sul dispositivo dell’utente prima della cifratura. Se un contenuto corrispondesse a un “segnale” di materiale illecito, scatterebbe una segnalazione automatica alle piattaforme e, in alcuni casi, alle autorità. Questo sistema, avvertono i crittografi, introduce inevitabilmente nuove vulnerabilità che potrebbero essere sfruttate da hacker o regimi autoritari, minando la sicurezza della comunicazione digitale per tutti.

Le posizioni in campo

Le autorità europee di protezione dei dati (EDPB e EDPS) hanno espresso forti riserve, definendo la scansione generalizzata incompatibile con i diritti fondamentali alla privacy.
Il Parlamento europeo, nella posizione approvata nel novembre 2023, ha introdotto emendamenti che escludono esplicitamente l’indebolimento della crittografia e vietano la sorveglianza indiscriminata.
Anche la giurisprudenza ha un peso: la Corte Europea dei Diritti dell’Uomo, nel caso Podchasov v. Russia (2024), ha sottolineato che obblighi che neutralizzano la cifratura violano il diritto alla vita privata.

Limiti tecnici ed efficacia

Gli studi commissionati dal Parlamento e da centri di ricerca hanno evidenziato che riconoscere automaticamente materiale illegale su larga scala è oggi tecnicamente fragile: i sistemi producono molti falsi positivi e sono facilmente eludibili da chi vuole diffondere contenuti illeciti. Il rischio concreto è dunque duplice: sorveglianza di massa sugli utenti comuni e, al tempo stesso, inefficacia contro i criminali.

La situazione politica

A giugno 2024 il Consiglio dell’UE ha rinviato il voto per mancanza di consenso, e i governi si dividono tuttora sul testo. Alcuni Stati membri spingono per mantenere la possibilità di “ordini di rilevazione”, altri si oppongono fermamente. Nel frattempo oltre 500 esperti di crittografia e organizzazioni per i diritti digitali hanno lanciato appelli pubblici contro la proposta nella sua forma attuale.

Leggerà le nostre conversazioni o no?

Dire che “l’Europa vuole leggere le nostre conversazioni” è una semplificazione, ma non del tutto infondata: esistono versioni della proposta che obbligherebbero i servizi digitali a introdurre forme di scansione dei messaggi privati, aggirando la protezione della crittografia.

Al momento, però, il Parlamento europeo ha preso una posizione contraria alla sorveglianza generalizzata e il testo definitivo è ancora in discussione. Ciò significa che la partita è apertissima: se l’obiettivo dichiarato è la lotta agli abusi sui minori, la sfida politica e tecnica resta quella di conciliare tutela dei minori e difesa della privacy, senza trasformare i dispositivi personali in strumenti di sorveglianza preventiva.

Redazione

Gli obiettivi della norma

Secondo le intenzioni del legislatore euro-unitario, la proposta di regolamento Csar mira a colmare le lacune normative riscontrate, superando l’attuale approccio applicativo frammentato dall’esistenza di discipline nazionali divergenti mediante l’introduzione di disposizioni cogenti con effetti uniformi, in grado di garantire un “quadro giuridico chiaro e armonizzato sulla prevenzione e sulla lotta contro l’abuso sessuale su minori online”.

Le novità di Chat Control

In particolare, rispetto all’attuale legislazione Ue vigente in materia di abuso sessuale su minori (Direttiva 2011/93/UE relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e il Regolamento (UE) 2021/1232 sulla lotta contro gli abusi sessuali online sui minori, applicabile come disciplina provvisoria fino al 3 agosto 2024), la nuova proposta di regolamento introduce a carico dei prestatori telematici stringenti obblighi al fine di garantire un ambiente digitale sicuro in attuazione di quanto previsto dalla Strategia europea per un’internet migliore per i ragazzi, nel rispetto della cornice generale stabilita dalla Convenzione del Consiglio d’Europa per la protezione dei bambini contro lo sfruttamento e gli abusi sessuali, e della Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica.

Gli obblighi

Sul piano strutturale, la proposta di regolamento Csar consta di 89 articoli, distinti in 6 Capi e, impone, dunque, ai prestatori specifici “obblighi di rilevazione, segnalazione, rimozione e blocco di materiale pedopornografico noto e nuovo e per l’adescamento di minori, indipendentemente dalla tecnologia applicata negli scambi online”, istituendo, altresì, il Centro dell’UE sull’abuso sessuale su minori come agenzia dotata di personalità giuridica e preposta a garantire l’effettiva attuazione del nuovo regolamento (cfr. Illustrazione dettagliata delle singole disposizioni della proposta, proposta di regolamento Csar).

Entrando nel merito delle principali novità introdotte, l’art. 1 delinea l’oggetto e l’ambito di applicazione della nuova disciplina, precisando espressamente come “ratio legis” del previsto intervento l’intento di stabilire “norme uniformi per contrastare l’uso improprio dei servizi della società dell’informazione interessati a fini di abuso sessuale su minori online nel mercato interno”.

Più nel dettaglio, la natura prescrittiva delle nuove disposizioni trova conferma nella previsione cogente di un catalogo di stringenti obblighi posti a carico di dei prestatori telematici che offrono servizi nell’Unione europea, indipendentemente dal luogo di stabilimento principale.

In particolare, rispetto ai destinatari delle prescrizioni normative che connotano l’ambito soggettivo di applicazione della nuova disciplina, risultano positivizzati dal richiamato art. 1 i seguenti obblighi:

  • “obblighi a carico dei prestatori dei servizi della società dell’informazione interessati di ridurre al minimo il rischio che i loro servizi siano usati impropriamente a fini di abuso sessuale su minori online;
  • obblighi a carico dei prestatori di servizi di hosting e dei prestatori di servizi di comunicazione interpersonale di rilevare e segnalare i casi di abuso sessuale su minori online;
  • obblighi a carico dei prestatori di servizi di hosting di rimuovere il materiale pedopornografico dai loro servizi o di disabilitarne l’accesso;
  • obblighi a carico dei prestatori di servizi di accesso a internet di disabilitare l’accesso al materiale pedopornografico”.

Le definizioni

Il successivo art. 2 precisa la portata applicativa della proposta di regolamento Csar mediante l’inquadramento concettuale di una serie di definizioni che concorrono a ricostruire le fattispecie normative incluse nell’ambito di operatività della nuova disciplina. Al riguardo, oltre a chiarire le caratteristiche dei servizi telematici assoggettati al regime prescrittivo imposto dal legislatore euro-unitario, la menzionata disposizione chiarisce, rispetto alla categoria generale di “materiale pedopornografico” – che “configura pornografia minorile o spettacolo pornografico ai sensi dell’art. 2, lettere c), e) della Direttiva 2011/93/UE” -, il “materiale pedopornografico noto”, inteso come quello “rilevato utilizzando gli indicatori contenuti nella banca dati degli indicatori di cui all’art. 44, par. 1, lettera a) e il “materiale pedopornografico nuovo”, ossia il materiale “potenzialmente pedopornografico rilevato utilizzando gli indicatori contenuti nella banca dati degli indicatori di cui all’art. 44, par. 1, lettera b).

Integra, inoltre, la condotta di “adescamento di minori” quella posta in essere per scopi sessuali di cui all’art. 6 della Direttiva 2011/93/UE. Nel novero delle definizioni enucleate dal legislatore euro-unitario, il concetto di “abuso sessuale su minori online” si realizza con “la diffusione online di materiale pedopornografico e l’adescamento di minori”; i “reati di abuso sessuale su minori”, invece, sono definiti dagli artt. 3-7 Direttiva 2011/93/UE.

Gli obblighi per servizi hosting e chat

Nell’ambito del Capo II (rubricato “obblighi dei prestatori dei servizi della società dell’informazione interessati di prevenire e contrastare l’abuso sessuale su minori online”), il legislatore euro-unitario positivizza obblighi uniformi applicabili a tutti i prestatori di servizi di hosting o di comunicazione interpersonale offerti nel mercato unico digitale europeo. Tali prestatori sono tenuti a svolgere una valutazione del rischio di uso improprio dei propri servizi per la diffusione di materiale pedopornografico noto o nuovo o per adescamento di minori.

Al riguardo, l’art. 3 dispone, come regola generale, che “i prestatori di servizi di hosting e di servizi di comunicazione interpersonale individuano, esaminano e valutano, per ciascun servizio che offrono, il rischio di un suo uso a fini di abuso sessuale su minori online” mediante un’attività di valutazione del rischio, periodicamente aggiornata, funzionale all’adozione di “misure di attenuazione ragionevoli e adeguate al rischio individuato a norma dell’art. 3, per ridurlo al minimo” (cfr. art. 4); tali misure sono soggette a controllo in ordine agli esiti realizzati in sede di rendicontazione dei rischi (cf. art. 5).

In esecuzione di un ordine di rilevazione emesso dall’autorità competente ex art. 7, il prestatore di servizi di hosting o di servizi di comunicazione interpersonale è tenuto ad adottare le misure di cui all’art. 10 per rilevare casi di abuso sessuale su minori online in un servizio specifico, mediante l’installazione e l’utilizzo di efficaci tecnologie in grado di “estrarre le informazioni strettamente necessarie […], in linea con lo stato dell’arte del settore”, mediante l’impiego di modalità meno intrusive possibili per ridurre al minimo “l’ingerenza nei diritti degli utenti al rispetto della vita privata e familiare, compresa la riservatezza delle comunicazioni, e alla protezione dei dati personali” (cfr. art. 10).

L’art. 12 prescrive l’imposizione di un obbligo di segnalazione quando non sia già stato emesso un ordine di rimozione, stabilendo che “il prestatore di servizi di hosting o di servizi di comunicazione interpersonale che venga a conoscenza […] di informazioni che rivelino casi di potenziale abuso sessuale su minori online nei suoi servizi li segnala tempestivamente al Centro dell’UE conformemente all’art.13”, informando, altresì, l’utente interessato rispetto al contenuto principale della segnalazione, il modo in cui è venuto a conoscenza del caso di potenziale abuso sessuale su minori, il seguito dato alla segnalazione, nonché il diritto di proporre reclamo all’autorità competente ex art. 34.

Quando viene emesso dall’autorità competente un ordine di rimozione ex art. 14, il prestatore di servizi di hosting tempestivamente (quanto prima e in ogni caso entro 24 ore dal suo ricevimento) ha l’obbligo di “rimuovere o disabilitare l’accesso in tutti gli Stati membri a uno o più elementi specifici del materiale, previa valutazione diligente, identificato come pedopornografico”.

Se, invece, viene emesso un obbligo di blocco ex art. 16, il prestatore di servizi di accesso a internet adotta “misure ragionevoli per impedire agli utenti di accedere al materiale pedopornografico noto indicato da tutti gli identificatori uniformi di risorse presenti […] nella banca dati degli indicatori, conformemente all’art. 44, par. 2, lettera b), e predisposto dal Centro dell’UE”.

Rispetto alle descritte prescrizioni normative, l’art. 19 stabilisce una clausola di esonero di responsabilità, precisando che “i prestatori dei servizi della società dell’informazione interessati non possono essere ritenuti responsabili dei reati di abuso sessuale su minori per il mero motivo che svolgono in buona fede le attività necessarie per conformarsi agli obblighi imposti dal presente regolamento, in particolare attività dirette a rilevare, identificare, rimuovere, disabilitare l’accesso, bloccare o segnalare l’abuso sessuale su minori online in conformità di detti obblighi”.

Autorità competenti

Al fine di garantire la corretta esecuzione delle nuove disposizioni, Gli Stati membri UE “designano una o più autorità competenti per l’applicazione e l’esecuzione del regolamento”, di cui una di esse assume le funzioni di autorità coordinatrice, per assicurare il coordinamento a livello nazionale della materia, contribuendo alla corretta ed effettiva attuazione del regolamento (cfr. art. 25).

Le autorità coordinatrici sono dotate di poteri di indagine, di ispezione e di informazione ex art. 27, nonché, ove necessario per l’assolvimento dei relativi compiti, altresì poteri di esecuzione, allo scopo, tra l’altro, di ordinare la cessazione delle violazioni, di imporre misure correttive proporzionate e necessarie per la loro cessazione effettiva, di irrogare sanzioni pecuniarie, penalità di mora e di disporre misure provvisorie volte a evitare il rischio di danno grave ex art. 28.

Ai sensi dell’art. 34, “gli utenti hanno il diritto di proporre reclamo contro i prestatori dei servizi della società dell’informazione interessati per presunta violazione del regolamento presso l’autorità coordinatrice designata dallo Stato membro in cui risiedono o sono stabiliti”.

Sanzioni in Chat Control

Il trattamento sanzionatorio da applicare, in caso di violazioni riscontrate, è rimesso alla competenza degli Stati membri UE, purché nella concreta regolamentazione di tali aspetti le sanzioni previste risultino sempre “effettive, proporzionate e dissuasive”, rispettandosi, altresì, come limite quantitativo edittale, l’importo massimo non superiore al 6 % del reddito o fatturato globale annuo del prestatore telematico nell’esercizio contabile precedente (cfr. art. 35).

Nell’ambito del Capo IV, l’art. 40 istituisce un’Agenzia dell’Unione europea per la prevenzione e la lotta contro l’abuso sessuale su minori, denominata Centro dell’UE sull’abuso sessuale su minori, per contribuire all’efficace attuazione del regolamento, agevolando le attività di rilevazione, segnalazione, rimozione o disabilitazione dell’accesso e al blocco di materiale pedopornografico, anche grazie alla condivisione di informazioni raccolte in sede di cooperazione tra gli attori pubblici e privati interessati alla prevenzione e alla lotta contro l’abuso sessuale su minori, in particolare online.

Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente collegate, in alcun modo, alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Angelo Alù
studioso di processi di innovazione tecnologica e digitale
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • intelligenza artificiale pc sistemi di raccomandazione AI generativa nei Global Business Services intelligenza artificiale e lavoro

  • la lettura

    Rischi sociali e etici dell'AI generativa: i pericoli nascosti

    18 Giu 2025

    di Valter Mellano

    Condividi
  • sicurezza digitale (1) regolamentazione finanziaria - pmi NIS2 PMI Sicurezza delle identità: registrar TLD; NIS2 compliance interna

  • la guida

    Registrar TLD e NIS 2, le novità per i gestori di registri di nomi di dominio

    07 Ago 2025

    di Federica Maria Rita Livelli

    Condividi
  • data-protection-privacy

  • LA GUIDA COMPLETA

    Privacy vs protezione dati personali: attenti alla differenza, ne va della nostra identità

    30 Lug 2025

    di Redazione Affiliation Network360

    Condividi