Il Consiglio UE ha dato nei giorni scorsi un primo ok alla sua posizione negoziale sul regolamento cosiddetto Chat Control 2.0, per contrastare gli abusi online sui minori. La scansione dei messaggi resta volontaria, ma la deroga alla direttiva e-Privacy diventa permanente, la verifica dell’età diventa obbligatoria e nasce un nuovo Centro europeo che coordinerà segnalazioni e rimozioni. Le ONG parlano di sorveglianza di massa privatizzata.
Il nuovo testo, frutto di tre anni di discussioni, ripristina la scansione facoltativa dei messaggi ma introduce una struttura permanente per la gestione dei rischi: valutazioni obbligatorie per i provider, classificazione dei servizi in base al livello di rischio, potenziali ordini di scansione per quelli più critici e obbligo di verificare l’età di tutti gli utenti europei. Il Parlamento aveva respinto l’impianto nel 2023, contrario a qualsiasi forma di sorveglianza generalizzata. Ora si apre una complessa fase negoziale, con l’obiettivo di approvare il regolamento entro il 2026.
Indice degli argomenti
Chat Control 2.0 e il nuovo compromesso del Consiglio UE
L’approvazione preliminare, che il Consiglio dell’Ue dovrà approvare definitivamente a dicembre, è avvenuta con astensione dell’Italia e della Germania. Un testo che si presenta come una soluzione di compromesso, ma che ridefinisce la struttura stessa della comunicazione digitale nel continente. La novità più visibile è l’eliminazione dell’obbligo generalizzato di scansionare i messaggi, presente nella proposta originaria della Commissione del 2022.
La scansione resta possibile ma non obbligatoria, come già previsto dal regime temporaneo introdotto nel 2021. Questo passaggio, accolto da alcuni come una “retromarcia”, non modifica però l’impianto sostanziale: il Consiglio vuole rendere permanente la deroga alla direttiva ePrivacy, che scade nel 2026, trasformando una misura nata come temporanea in un nuovo standard europeo. Secondo Patrick Breyer, ex eurodeputato e attivista per i diritti digitali, questo significa autorizzare in modo stabile una forma di sorveglianza su larga scala affidata ai provider, spesso non europei, senza un controllo giudiziario caso per caso.
La lunga trattativa su Chat Control 2.0 dal 2021 al 2025
La storia del regolamento mostra un susseguirsi di tensioni tra Commissione, Consiglio e Parlamento. Nel 2021 la UE aveva autorizzato, in deroga a ePrivacy, la scansione volontaria delle comunicazioni per individuare contenuti pedopornografici: un meccanismo temporaneo con scadenza fissata al 3 aprile 2026. Nel 2022 la Commissione ha cercato di trasformare quella eccezione in un obbligo, proponendo il Child Sexual Abuse Regulation (CSAR), presto ribattezzato Chat Control 2.0.
Il Parlamento europeo aveva però bocciato l’impianto nel 2023, sostenendo che nessuna forma di scansione delle comunicazioni cifrate potesse essere compatibile con i diritti fondamentali. Dopo tre anni di negoziati, la Commissione ha dovuto rivedere la proposta. Il testo approvato ora dal Consiglio non reintroduce l’obbligo, ma stabilisce una cornice che consente alle autorità di imporre strumenti di rilevazione ai servizi considerati più rischiosi.
Valutazione dei rischi di Chat Control 2.0 e misure di mitigazione
La versione approvata dal Consiglio introduce un meccanismo strutturato di valutazione e intervento. Tutti i fornitori di servizi digitali dovranno condurre un’analisi dei rischi legati allo sfruttamento dei minori e implementare misure di mitigazione adeguate. Il regolamento prevede inoltre la classificazione dei servizi in tre categorie: basso, medio e alto rischio.
I servizi inseriti nella categoria più alta potranno essere destinatari di ordini specifici da parte delle autorità competenti, che potrebbero includere l’adozione di tecnologie di rilevazione dei contenuti illegali. Questo è un punto cruciale: rispetto alla proposta originaria della Commissione, che prevedeva veri e propri “detection orders” obbligatori, il Consiglio ha scelto di eliminare gli ordini di scansione generalizzata.
Il nuovo modello non introduce più l’obbligo di analizzare sistematicamente tutte le comunicazioni, ma combina la scansione volontaria con obblighi stringenti di valutazione del rischio e di mitigazione. Le piattaforme devono quindi dimostrare di avere preso misure adeguate a ridurre l’esposizione ai contenuti di abuso e al grooming. I servizi classificati ad alto rischio possono essere obbligati a contribuire allo sviluppo e all’adozione di tecnologie di mitigazione, e l’intero impianto sarà oggetto di una revisione futura.
È un sistema ibrido: la scansione resta formalmente volontaria, ma il quadro regolatorio spinge i grandi fornitori verso forme sempre più pervasive di controllo e filtraggio, pur senza ripristinare per ora gli ordini di rilevamento obbligatori della proposta del 2022.
Il nuovo Centro UE e la filiera di rimozione dei contenuti
Una delle novità più rilevanti riguarda la creazione dell’EU Centre on Child Sexual Abuse, un organismo europeo dedicato con funzioni operative. Il Centro avrà il compito di ricevere le segnalazioni dai provider, gestire la validazione dei contenuti sospetti, coordinare le richieste di rimozione e supportare le autorità nazionali.
Per la prima volta la UE istituisce un’infrastruttura centralizzata per la governance della lotta agli abusi online. Questo riduce la frammentazione tra Stati membri, ma rafforza anche il ruolo di un’autorità centrale nella gestione delle segnalazioni, con implicazioni non banali in termini di responsabilità, poteri e trasparenza.
Rimozione, blocco e delisting dei contenuti illegali
Il nuovo testo non riguarda solo la prevenzione, ma anche la gestione dei contenuti illegali già presenti in rete. Le autorità nazionali potranno ordinare ai provider di rimuovere o bloccare materiali pedopornografici e imporre ai motori di ricerca di delistare URL che rimandano a contenuti illeciti.
Questa catena di intervento si integra con il ruolo del nuovo Centro europeo e con le misure di mitigazione obbligatorie, un sistema che ambisce a rendere più efficace la rimozione rapida dei contenuti, ma che amplia anche i poteri di intervento delle autorità pubbliche e delle piattaforme.
Algoritmi fallibili, crittografia e rischi del regolamento
Gli algoritmi utilizzati per individuare contenuti di abuso sui minori restano vulnerabili a errori e falsi positivi. Studi e segnalazioni degli stessi provider indicano che la rilevazione automatica, soprattutto quando applicata a conversazioni testuali o immagini ambiguamente classificate, può generare un volume significativo di segnalazioni infondate.
In un sistema che consente la scansione senza mandato, questi errori possono moltiplicare il carico sulle autorità giudiziarie e avere conseguenze gravi per utenti innocenti. A ciò si aggiunge il tema della crittografia end-to-end: il Consiglio sostiene che non verrà toccata, ma gli esperti evidenziano che per attivare qualsiasi forma di rilevazione all’interno di comunicazioni cifrate sarebbe necessario intervenire lato client, con sistemi di client-side scanning o tecniche equivalenti.
Un approccio che, secondo organizzazioni come Signal e la sua presidente Meredith Whittaker, comprometterebbe la riservatezza stessa delle comunicazioni. Il testo del Consiglio non risolve queste vulnerabilità tecniche, né scioglie il nodo della compatibilità tra crittografia forte e rilevazione algoritmica, ma integra comunque queste possibilità in un processo permanente.
Chat Control 2.0 tra verifica dell’età e diritti dei minori
Il regolamento introduce un obbligo stringente di verifica dell’età, che ricade soprattutto sulle piattaforme digitali e sugli app store. Questi soggetti dovranno avere la certezza che un utente sia maggiorenne o, se minorenne, dovranno applicare automaticamente le protezioni previste.
Di fatto, questo costringerà gran parte degli utenti, inclusi gli adulti, a fornire prove della propria identità, perché non esiste un modo per escludere di essere minorenni senza una forma di verifica. Gli strumenti oggi disponibili richiedono sempre la raccolta di dati sensibili: documenti d’identità, scansioni biometriche del volto o sistemi predittivi basati sull’analisi delle immagini.
Non esiste un metodo pienamente compatibile con il principio di minimizzazione dei dati, e l’effetto cumulativo è la progressiva erosione dell’anonimato online. Un cambiamento strutturale che avrà conseguenze sulla libertà di espressione, sulla partecipazione politica e sulla sicurezza delle categorie vulnerabili.
Limitazioni severe per gli under 17 e chat “blindate”
Nel dibattito attorno al nuovo regolamento, uno dei temi più sensibili riguarda le tutele per gli under 17. Non si parla, nelle ultime versioni, di un divieto assoluto di utilizzare app, giochi o servizi con funzionalità di chat, ma di un obbligo di sicurezza fin dalla progettazione.
I compromessi discussi finora vanno nella direzione di chiedere agli app store di limitare l’accesso dei minori alle app considerate ad alto rischio di grooming e di imporre, sulle piattaforme accessibili ai minori, impostazioni di default molto più restrittive. In pratica, molte chat potrebbero trasformarsi in spazi fortemente limitati, accessibili solo ai contatti approvati o già presenti nella rubrica, con forte riduzione della possibilità di essere contattati da sconosciuti o di partecipare a chat pubbliche.
Un modello che punta a ridurre l’esposizione ai pericoli, ma che rischia anche di confinare gli adolescenti in “bolle comunicative” ristrette e di spingerne una parte verso servizi alternativi non conformi alle regole europee, potenzialmente più pericolosi di quelli ufficiali.
Un’Europa divisa e i prossimi passi del regolamento
Il testo è stato approvato dal Consiglio Giustizia del 26 novembre 2025 con il voto contrario di Repubblica Ceca, Paesi Bassi, Polonia e Slovacchia e l’astensione dell’Italia.
Decisivo è stato il cambio di linea della Germania, che si è astenuta. Dopo aver guidato per mesi il fronte critico contro la scansione delle chat cifrate ha scelto così con l’astensione di sostenere il compromesso danese, consentendo di superare lo stallo e di approvare il mandato negoziale verso il Parlamento europeo.
Il pprossimo passo sarà il via libera definitivo da parte del Consiglio UE, previsto intorno all’8 dicembre e poi partiranno le concertazioni tra Parlamento, consiglio e commissione per approvazione finale.
La sfida sarà trovare un equilibrio tra sicurezza dei minori e tutela dei diritti fondamentali, in un contesto dove gli Stati membri e il Parlamento partono da posizioni molto distanti.
