In democrazia, il fine può giustificare i mezzi? Su questo punto si concentrano le critiche al contestato provvedimento noto come Chat Control, deroga alla direttiva ePrivacy, di cui il 9 luglio 2026 il Parlamento UE non ha bloccato la proroga fino al 2028. La deroga consente ai fornitori di servizi di comunicazione, su base volontaria, di scansionare contenuti per individuare materiale CSAM, cioè di abuso sessuale su minori. Sono escluse dalla deroga le comunicazioni protette da crittografia end-to-end, in quanto il Parlamento ha approvato l’emendamento che prevedeva questo aspetto. E intanto continuano i negoziati per un regolamento permanente, un secondo dossier distinto dalla proroga, decisamente più invasivo perché introdurrebbe obblighi di rilevamento e includerebbe anche le comunicazioni crittografate.
Il nodo della questione è il confine tra sicurezza e sorveglianza. Nessuno mette in discussione la necessità di prevenire e contrastare le attività di adescamento e sfruttamento dei minori online, ma associazioni ed esperti di diritto mettono in guardia dalle possibili derive del provvedimento, che minerebbe privacy e libertà dei cittadini degli Stati membri. Il rischio non nasce dal provvedimento approvato dal Parlamento, che esclude esplicitamente le chat cifrate, ma “dalla direzione presa dal regolamento permanente, dove il metodo tecnico più discusso resta la scansione lato client: un motore installato sul dispositivo dell’utente analizza i contenuti prima che vengano cifrati e inviati”, commenta l’avvocato Fulvio Sarzana di S.Ippolito.
Questo aspetto rappresenta “un punto di accesso al contenuto in chiaro di ogni comunicazione, non solo di quelle sospette. Chi controlla il database di riferimento, chi decide cosa cercare, ha in mano uno strumento che può essere ri-orientato senza toccare l’architettura del sistema: basta cambiare i criteri di ricerca”, aggiunge. L’obiettivo è individuare il materiale pedo-pornografico, ma l’algoritmo potrebbe sbagliare e, inoltre, in caso di cyber attacco i rischi aumenterebbero. E si può anche pensare che, in un futuro distopico, la possibilità di controllo preventivo aperta dalla norma potrebbe portare anche a individuare e reprimere le opposizioni politiche.
Indice degli argomenti
Chat Control, tutta la roadmap e le date
Come ricorda Sarzana, “il Regolamento UE 2021/1232 ha introdotto la deroga temporanea alla direttiva ePrivacy che permette ai fornitori di servizi di comunicazione, in modo volontario, di scansionare contenuti per individuare materiale di abuso sessuale su minori e adescamento online”. Nel maggio 2022 la Commissione ha proposto “un regolamento permanente, un secondo dossier distinto dalla deroga, che introdurrebbe possibili obblighi di rilevamento: è quello, non la deroga temporanea, il testo davvero più invasivo, ed è ancora in negoziato”, spiega l’esperto.
Il 26 marzo 2026 il Parlamento “ha respinto la proroga della deroga temporanea: 311 contrari, 228 favorevoli, 92 astenuti. Il 3 aprile la deroga scade. Da quel momento le piattaforme che continuano a scansionare, tra cui Google, Meta e Microsoft, lo fanno fuori da qualsiasi cornice normativa europea”, precisa.
Intanto prima, il 19 dicembre 2025, “la Commissione aveva già proposto un’estensione di due anni, fino al 3 aprile 2028. Il 18 giugno 2026 la presidente del Parlamento Roberta Metsola sollecita il Consiglio europeo a rimettere il fascicolo sul tavolo. Il 2 luglio il Consiglio adotta una nuova posizione in prima lettura, sostanzialmente lo stesso testo già bocciato a marzo”. Questo passaggio “apre la seconda lettura, dove per respingere o modificare il testo del Consiglio serve la maggioranza assoluta dei componenti, 360 voti su 720, non la maggioranza semplice dei presenti”, aggiunge.
Il 7 luglio l’Aula ha approvato la procedura d’urgenza per votare subito: 331 contro 304, 11 astenuti. Il 9 luglio, “arrivano i voti nel merito. Un primo voto tenta di respingere in blocco la posizione del Consiglio: 314 favorevoli al respingimento, 276 contrari, 17 astenuti. Non basta, resta sotto i 360. Un secondo voto riguarda un emendamento alternativo, che avrebbe limitato le scansioni ai casi con sospetto individuato dall’autorità giudiziaria: 322 favorevoli, 255 contrari. Maggioranza semplice ampia, ma di nuovo sotto la soglia dei 360. Passa invece, con un voto separato, l’emendamento che esclude dall’ambito di applicazione le comunicazioni protette da crittografia end-to-end“, sottolinea Sarzana.
Dunque la seconda lettura si chiude con la posizione emendata del Parlamento, “quella che esclude le chat cifrate, non quella originaria del Consiglio. Non è ancora legge definitiva. Il testo torna al Consiglio, che ha 3 mesi per accettare le modifiche del Parlamento o respingerle. Se le capitali non accettano tutto, si apre una fase di conciliazione tra le due istituzioni. Solo alla fine di quel percorso la deroga sarebbe davvero estesa fino al 3 aprile 2028″, evidenzia l’avvocato.
E intanto prosegue il negoziato relativo al regolamento permanente.
L’UE vuole leggere i nostri messaggi?
Il testo su cui si è votato il 9 luglio 2026, cioè la proroga alla deroga della direttiva ePrivacy, non obbliga nessun fornitore a scansionare le comunicazioni: “Resta una facoltà, non un obbligo. Nessuna autorità pubblica riceve accesso diretto ai messaggi. Le comunicazioni cifrate end-to-end, con l’emendamento approvato, restano fuori dall’ambito di applicazione“. Attenzione, ma nessun allarmismo: “L’emendamento che avrebbe legato le scansioni al sospetto individuale accertato da un giudice ha preso 322 voti, una maggioranza reale in Aula, anche se sotto la soglia procedurale per passare. Significa che il modello del controllo di massa senza sospetto non ha il consenso politico che i toni più allarmati gli attribuiscono”, precisa Sarzana.
Quindi, “dire che l’Ue legge le nostre chat cifrate è tecnicamente sbagliato, oggi. Ma la semplificazione nasconde un problema reale. Il fascicolo non è chiuso: torna al Consiglio, e in parallelo si negozia il regolamento permanente, dove il tema della cifratura resta aperto e dove si discute di obblighi, non di facoltà”.
Il voto sull’emendamento del sospetto giudiziario, 322 voti a favore, mostra che “in Parlamento esiste una maggioranza per un modello alternativo, quello dell’articolo 15 della Costituzione italiana: intercettazione mirata, autorizzata da un giudice, non scansione preventiva di tutti. Quella maggioranza non è bastata per la soglia procedurale, ma esiste. Il voto di oggi rinvia il rischio strutturale, non lo elimina: il negoziato che deciderà se materializzarsi è ancora in corso, e non parte da zero”, commenta Sarzana.
Chat control e vulnerabilità
Il client-side scanning, cioè l’analisi dei contenuti prima che siano cifrati, crea un punto di accesso alle comunicazioni che può essere sfruttato da attori malevoli. E poi, come in una lettera hanno spiegato il Max Planck Institute, che comprende 85 enti di ricerca europei, e l’università cattolica KU Leuven del Belgio, i sistemi di scansione oggi disponibili generano un numero elevato di errori.
Dunque è semplice concludere che un sistema che genera falsi positivi su comunicazioni private, applicato a centinaia di milioni di persone, è un punto debole nell’architettura di sicurezza ed è “sfruttabile da chiunque riesca a raggiungerlo, comprese organizzazioni criminali e servizi di intelligence stranieri“.
Inoltre, “la Commissione europea cita dati secondo cui fino all’80% delle indagini sugli abusi sessuali online in alcuni Stati membri parte da segnalazioni dei fornitori: è un argomento reale a favore del sistema volontario attuale. Ma l’efficacia di uno strumento si misura sulla qualità delle segnalazioni che produce, non sul loro numero”, sottolinea Sarzana. E poi, come indicano studi indipendenti, “una parte consistente delle segnalazioni automatiche, dopo verifica umana, risulta infondata – aggiunge Sarzana – e chi commette questi reati si sposta rapidamente verso piattaforme più piccole o strumenti fuori perimetro”.
Un esempio è il caso di Kidflix, una piattaforma del dark web usata per lo streaming di materiale pedopornografico, chiusa dalle forze dell’ordine nel 2025. Attiva dal 2021, contava oltre 1,8 milioni di iscritti e circa 80 mila video caricati. L’accesso base permetteva di vedere solo anteprime o contenuti di bassa qualità, mentre quello completo si otteneva partecipando alla piattaforma — caricando video, commentando o valutando i contenuti — oppure pagando in criptovalute. L’indagine, guidata dalla Germania con il supporto di Europol e la collaborazione di oltre 35 Paesi, ha portato al sequestro del server nei Paesi Bassi, all’identificazione di circa 1.400 sospetti, a 79 arresti e alla protezione di 39 minori vittime di abusi.
CSAM, la mappa dello sfruttamento dei minori online
Come indica il rapporto IOCTA 2026 di Europol, basato su dati e attività del 2025, i casi di CSAM, cioè legati al materiale pedopornografico, in particolare foto e video e relative attività di sextorsion, sono aumentate. Il report cita i dati dello statunitense National Center for Missing and Exploited Children, il cui sistema centrale di segnalazioni ha ricevuto 13 842 nei primi sei mesi del 2024 a 23 593 nel 2025, un incremento del 70% rispetto all’anno precedente.
La sextorsion rimane centrale nelle attività CSAM: i minori vengono manipolati o ricattati affinché producano materiale pornografico, che poi viene diffuso online dagli sfruttatori allo scopo di monetizzare. Le indagini hanno portato a galla sia piattaforme dove realmente si diffonde questo materiale pedopornografico sia siti truffa dove si millanta di venderlo.
Un ruolo importante hanno le piattaforme di messaggistica e i social, non solo per lo scambio di materiale e il networking tra sfruttatori e clienti, ma anche per le attività di adescamento. In particolare, le piattaforme di gaming sono spesso una base di partenza per individuare un target e iniziare a intrattenere conversazioni, per poi dirottarlo su piattaforme di messaggistica e iniziare il processo vero e proprio di grooming, portando il minore a fidarsi del proprio interlocutore e, alla fine, a subire la richiesta di produrre materiale pornografico e consegnarlo.
Chat Control è davvero efficace contro la diffusione di materiale illecito?
In questo contesto, valutare la reale efficacia di Chat Control richiede “grande prudenza, perché rischia di intervenire su un fenomeno criminale che nel frattempo sta cambiando significativamente natura. CSAM e CSEM, infatti, non sono più soltanto contenuti illeciti che circolano online, ma sono divenuti espressione di un ecosistema criminale cyber-sociale, ibrido e adattivo, nel quale dimensione tecnologica, relazionale, economica e organizzativa si intrecciano”, spiega Arije Antinori, professore di Criminologia alla Sapienza di Roma ed esperto dell’EU Knowledge Hub on Prevention of Radicalisation. L’evoluzione più rilevante “attiene al fatto che non riguarda più solo la produzione e lo scambio di materiale, ma la costruzione di ambienti digitali in cui grooming, sextortion, manipolazione psicologica, subculture tossiche, sottocomunità oscure di online gaming, sistemi di pagamento e riciclaggio in criptovalute, piattaforme cifrate, forum chiusi, mercati opachi e illegali concorrono a potenziare la medesima filiera vittimogena”, commenta.
A ciò si aggiunge la crescita del MUAI, “cioè la diffusione ampia di materiale di abuso minorile generato, alterato o amplificato tramite AI, che rende sempre più difficile distinguere tra contenuto reale, manipolato e interamente sintetico, rendendo altresì più complessa l’identificazione delle vittime e la qualificazione investigativa del materiale acquisito. In tale scenario, Chat Control può avere un’utilità limitata, se resta uno strumento ad hoc come nel caso dell’hash matching di CSAM già noto, nella rimozione rapida dei contenuti, nella standardizzazione delle segnalazioni e nel coordinamento tra piattaforme, hotline e forze dell’ordine”.
In questo caso, infatti, Chat Control potrebbe contribuire a ridurre la rivittimizzazione e velocizzare gli interventi, tuttavia “diviene invece meno efficace sul piano criminologico, se viene pensato come scansione generalizzata delle comunicazioni private. Le organizzazioni criminali, i soggetti e le micro-communities più strutturate tendono infatti ad adattarsi, migrando verso spazi cifrati, ecosistemi decentralizzati, extraeuropei e/o comunque meno accessibili, sfruttando logiche proprie di quella che dovremmo ormai iniziare a definire senza mezzi termini COD, criminalità organizzata digitale”.
Rischi e alternative
Il rischio, pertanto, è “colpire soprattutto condotte meno sofisticate, mentre le reti più pericolose migrano verso infrastrutture più opache e/o grazie al MUAI costruiscono infrastrutture proprie. Appare evidente, quindi, come una prevenzione efficace non possa ridursi al controllo delle chat, ma deve essere concretamente di ecosistema”.
Le alternative alla sorveglianza delle comunicazioni private, per l’esperto possono essere:
- rafforzamento dell’intelligence,
- contrasto alla monetizzazione,
- tracciamento dei flussi crypto e utilizzo di altri asset digitali,
- cooperazione internazionale,
- capacità forense avanzata sul MUAI,
- protezione delle vittime,
- infiltrazione undercover degli ambienti criminali online
- profonda comprensione delle dinamiche cyber-sociali che favoriscono adesione, complicità e reiterazione dell’abuso.
Insomma, l’efficacia e l’utilità di Chat Control al contrasto della diffusione di materiale legato all’abuso di minori si concretizzano solo se lo strumento “è selettivo, proporzionato e integrato in una strategia di prevenzione, contrasto e anticipazione più articolata ed ecosistemica. Laddove, al contrario, diventi un dispositivo generalizzato di sorveglianza cyber-sociale, rischia di essere assolutamente inefficace contro le reti criminali in continua evoluzione, e al tempo stesso, fortemente limitante di libertà, privacy e non ultimo del trust nell’ecosistema cyber-sociale, in un mondo che diviene sempre più integrato, in termini esperenziali, tra dimensione offline e online dell’esistenza umana”, conclude Antinori.
Infatti, il sistema attuale legato alla deroga entro i suoi limiti può anche funzionare, ma “non è chiaro che estenderlo alla scansione generalizzata delle comunicazioni cifrate aumenti i risultati investigativi in proporzione al costo sui diritti di centinaia di milioni di persone che non hanno commesso alcun reato“, aggiunge Sarzana.
Chat Control, cosa cambia: lo scenario
Al momento non cambia praticamente nulla: “Il testo della deroga deve ancora passare dal Consiglio. Se confermato così com’è, riporta la situazione a prima del 3 aprile per i contenuti non cifrati: Google, Meta e Microsoft potrebbero tornare a scansionare volontariamente foto, video e testo in chiaro, per individuare materiale già catalogato tramite hash noti e comportamenti di adescamento”.
Per chi usa WhatsApp o Signal con cifratura attiva non cambia niente. Gli impatti però potrebbero essere molto più importanti se il regolamento permanente venisse approvato, perché “l’introduzione di obblighi di scansione estesi anche al traffico cifrato – conclude Sarzana – rappresenterebbe un cambio di scala”.
Diverse associazioni hanno già preso posizione contro questa eventualità e non è escluso, nell’ipotesi che il regolamento veda la luce, che si diail via a una serie di ricorsi in sede giudiziaria.











Partecipa alla community