Garante privacy

Ghiglia: “Chat Control è strumento sproporzionato, ecco perché”



Indirizzo copiato

Chat Control torna al centro del confronto europeo sulla protezione dei minori online. La posizione del Parlamento europeo esclude la crittografia end-to-end dalla scansione, ma lascia aperta una questione più ampia: fino a che punto una democrazia può rendere controllabili le comunicazioni private?

Pubblicato il 10 lug 2026

Agostino Ghiglia

Componente del Garante per la protezione dei dati personali



Tutela della privacy online con Incogni
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti


La protezione dei minori online è un dovere assoluto. Proprio per questo non può essere affidata a strumenti sproporzionati, fragili sul piano giuridico e pericolosi sul piano democratico. Quando, per cercare alcuni contenuti illeciti, si rende controllabile lo spazio comunicativo di milioni di persone, il mezzo non serve più davvero il fine. Rischia di tradirlo e, paradossalmente, di tradire anche i principi più generali che quel fine dovrebbe presidiare.

Il punto non è scegliere tra sicurezza dei bambini e diritti fondamentali. Questa alternativa è falsa. Una democrazia deve proteggere i minori con strumenti efficaci, mirati e compatibili con lo Stato di diritto. Se invece normalizza la sorveglianza preventiva delle comunicazioni, produce molto controllo e rischia di ottenere poca tutela reale.

Differenza tra Chat Control 1.0 e 2.0

Il Parlamento europeo ha adottato la propria posizione sulla proroga della deroga temporanea alla direttiva ePrivacy, introdotta dal Regolamento UE 2021/1232 e spesso indicata nel dibattito pubblico come “Chat Control 1.0” (da distinguere dal cosiddetto “Chat Control 2.0”, cioè la proposta di regolamento permanente del 2022 contro gli abusi sessuali sui minori online, ancora in negoziato e molto più ampia per obblighi, destinatari e poteri di intervento).

Dal 2021 questa disciplina consente ai fornitori di servizi di comunicazione di rilevare, su base volontaria, materiale pedopornografico online, in deroga ad alcune garanzie della direttiva ePrivacy. Il punto decisivo della posizione parlamentare è l’emendamento che esclude le comunicazioni protette da crittografia end-to-end, leggibili soltanto da mittente e destinatario. Il testo passa ora al Consiglio.

La crittografia come presidio di privacy

E meno male che almeno la crittografia end-to-end, nella posizione del Parlamento, resta fuori dal perimetro della scansione. È l’ultimo, e temiamo sempre più fragile, presidio contro la mass surveillance: protegge giornalisti e fonti, avvocati e assistiti, vittime di abusi, cittadini comuni e anche gli stessi minori che si vogliono tutelare.

Ma proprio questa esclusione rende più evidente la gravità del resto. Se le comunicazioni cifrate vengono sottratte alla scansione perché troppo sensibili per essere aperte, perché mai dovrebbe considerarsi accettabile una scansione preventiva e generalizzata delle comunicazioni non cifrate o della posta elettronica? Il problema non scompare: si sposta.

La crittografia va difesa come garanzia democratica, non come privilegio tecnico. Ma non basta salvare l’ultima porta blindata se, intanto, si normalizza l’apertura preventiva di tutte le altre. È qui che emerge la sproporzione.

Chat Control, cosa dice la giurisprudenza

Qui la discussione esce dalle opinioni ed entra nel diritto positivo. La deroga incide sugli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea: vita privata, comunicazioni e protezione dei dati personali. L’articolo 52, paragrafo 1, impone che ogni limitazione rispetti il contenuto essenziale dei diritti e sia necessaria e proporzionata.

L’orientamento della Corte di giustizia è consolidato: la sorveglianza generalizzata e indiscriminata fatica a superare il test di proporzionalità. Sul dossier si sono espressi criticamente anche EDPB ed EDPS, segnalando l’insufficiente dimostrazione della necessità e della proporzionalità della misura.

Non è un formalismo. È la grammatica dello Stato di diritto. In una democrazia liberale il controllo nasce dal sospetto ragionevole, non dalla sorveglianza preventiva di tutti alla ricerca di un sospetto eventuale.

Chat Control e GDPR

Va chiarito un equivoco ricorrente: Chat Control non deroga al GDPR, che continua ad applicarsi per intero. La deroga riguarda la direttiva ePrivacy, ma ogni trattamento resta soggetto ai principi del Regolamento UE 2016/679: minimizzazione, base giuridica valida, garanzie rafforzate per i dati particolari e valutazione d’impatto.

Qui si apre il cortocircuito. Una scansione preventiva e sistematica delle comunicazioni della generalità degli utenti appare difficilmente conciliabile con la minimizzazione. Non basta invocare la nobiltà del fine. Occorre dimostrare, caso per caso, che lo strumento sia idoneo, necessario e strettamente proporzionato. Se la misura rende controllabile in via preventiva l’ordinario spazio comunicativo di milioni di persone, il problema non è più solo tecnico: è costituzionale.

Chat Control, perché c’è una sproporzione

Per colpire una zanzara non si spara un colpo di cannone dentro casa. Eppure la scansione indiscriminata rischia di assomigliare proprio a questo: si aprono preventivamente le “buste” digitali di centinaia di milioni di cittadini per intercettarne una minima parte. Il bersaglio è reale e va colpito con fermezza. Ma lo strumento deve essere mirato: mandato, controllo giudiziario, cooperazione investigativa, ordini specifici. Non sorveglianza di massa.

La sproporzione non è soltanto giuridica. È anche empirica. Secondo i dati richiamati dalla Commissione, oltre il 60% delle segnalazioni di abuso proverrebbe dalla scansione di post pubblici e archivi cloud, aree già coperte e non assimilabili alla messaggistica privata. Estendere la scansione ai messaggi privati significherebbe aggiungere un’intrusione enorme a fronte di un beneficio da dimostrare, non da presumere.

Resta poi il nodo dell’affidabilità. Quando un sistema sbaglia in un ambito così delicato, non produce soltanto un falso positivo tecnico: produce conseguenze personali, reputazionali, investigative e istituzionali. Anche per questo sacrificare la riservatezza di tutti per un vantaggio di sicurezza non dimostrato non regge.

Proteggere i minori, ma con precisione

Proteggere i minori è un dovere non negoziabile. Lo afferma l’articolo 24, paragrafo 2, della Carta, ma lo impone prima ancora la coscienza civile. Proprio per questo servono strumenti più solidi, non soltanto più invasivi.

La sorveglianza generalizzata può sembrare una risposta forte, ma rischia di essere debole proprio dove dovrebbe reggere di più: davanti al giudice, nella prova dell’efficacia, nella riduzione degli errori, nella tutela concreta delle vittime. La sicurezza autentica non nasce dal controllo indistinto. Nasce dalla precisione: ordini mirati sui sospetti, cooperazione investigativa rafforzata, autorità competenti più forti, sicurezza fin dalla progettazione, rimozione tempestiva dei contenuti illeciti e strumenti efficaci contro la recidiva digitale.

La posta in gioco non è un tecnicismo per addetti ai lavori. È il perimetro entro cui una società democratica accetta di essere sorvegliata. I diritti fondamentali non si sospendono “in via provvisoria” con leggerezza, perché in materia di controllo digitale il provvisorio rischia spesso di consolidarsi in regola.

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x