“Stiamo esaurendo il tempo per salvare l’internet libero”. L’avvertimento di Pavel Durov, fondatore di Telegram e icona controversa dell’innovazione digitale, risuona con toni drammatici nel panorama tecnologico contemporaneo.
Nel giorno del suo quarantunesimo compleanno, attraverso un post su X, Durov ha evocato scenari distopici: la “fine dell’internet libera”, un mondo in cui “la nostra generazione rischia di passare alla storia come l’ultima ad aver goduto di libertà”. Con enfasi quasi messianica, Durov ha dichiarato che preferirebbe “morire piuttosto che permettere a terzi di accedere ai messaggi privati su Telegram”, rinunciando persino ai festeggiamenti per sottolineare la gravità del momento.
Eppure, questo grido d’allarme suona come un monito tardivo, un campanello che squilla quando l’incendio ha già consumato gran parte dell’edificio. Da quanto tempo, infatti, si discute di Chat Control? Almeno quattro anni. Da quanto tempo assistiamo all’introduzione di chatbot in grado di segnalare conversazioni considerate “pericolose”? Da mesi. E che dire delle funzionalità di Overview sui principali motori di ricerca, che filtrano e limitano i risultati mostrati agli utenti? O della polizia predittiva iper-invasiva implementata – ad esempio e per rimanere nel Vecchio Continente – nel Regno Unito, capace di identificare potenziali criminali prima ancora che commettano reati? Nulla di nuovo, caro Pavel.
Il fondatore di Telegram, figura che personalmente ho sempre apprezzato per il coraggio e la coerenza di voler rimanere fuori dal coro della cacofonia tecnocratica, avrebbe dovuto smettere di spegnere candeline già da diversi anni. La sua uscita provoca comunque, per l’ennesima volta, una riflessione, ancorché ormai un po’ “stantia” a forza di ripetizioni: se il web, nato come spazio aperto, orizzontale e democratico, sta diventando una rete di controllo capillare — con identità digitali obbligatorie, sorveglianza di massa, regolamenti che penetrano fin nelle pieghe più intime della vita privata — dove ci collochiamo noi utenti consapevoli o inconsapevoli?
Indice degli argomenti
Libertà digitale, il quadro normativo europeo
Per comprendere appieno la portata della trasformazione digitale in corso e il groviglio di norme che , pur mosse da nobili e condivisibili finalità, finiscono per picconare il muro della riservatezza , è necessario analizzare il complesso intreccio normativo che l’Unione Europea ha costruito negli ultimi anni; garbuglio nato per tutelare i cittadini ma che, per una sorta di “effetto paradosso”, rischia di conculcarne sempre di più la libertà. Il Regolamento Generale sulla Protezione dei Dati (GDPR), pietra angolare della privacy europea, nel Considerando 4 afferma che “il trattamento dei dati personali dovrebbe essere al servizio dell’uomo”, riconoscendo peraltro che “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale”. Tale formulazione, apparentemente innocua, apre già la porta a bilanciamenti che, per quanto doverosi, si possono, oggettivamente, prestare a limitare la privacy individuale sull’altare dell’interesse collettivo.
Le tutele del Gdpr alla libertà digitale
L’articolo 1 del GDPR “stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”. Questo principio, costituisce il fondamento dell’intero sistema di tutela delle “persone-dato”. L’art. 6 del medesimo regolamento , definisce le basi giuridiche del trattamento ma è l’articolo 9, relativo al trattamento di categorie particolari di dati personali (origine razziale, opinioni politiche, convinzioni religiose, dati biometrici, dati relativi alla salute o alla vita sessuale), che rivela appieno il delicato bilanciamento (o sbilanciamento) e l’importanza della materia in esame. Il comma 2 prevede, infatti, numerose eccezioni al divieto generale di trattamento, tra cui quelle per motivi di interesse pubblico rilevante, per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o statistica.
Il Codice italiano in materia di protezione dei dati personali (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) introduce all’articolo 2-octies disposizioni specifiche per il trattamento di dati personali finalizzati alla prevenzione e repressione dei reati. Il Garante per la Protezione dei Dati Personali (GPDP) , fra gli altri, ha più volte sottolineato, nelle sue deliberazioni, la necessità di un equilibrio tra sicurezza e libertà, evidenziando come la raccolta massiva di dati senza garanzie adeguate costituisca una violazione dei principi di liceità, limitazione, minimizzazione, sanciti dall’articolo 5 del GDPR.
L’impatto dell’AI Act
Con l’avvento dell’Artificial Intelligence Act (AI Act) il quadro si complica ulteriormente. Il Regolamento UE 2024/1689, entrato in vigore nell’agosto 2024, introduce una classificazione dei sistemi di intelligenza artificiale basata sul rischio. L’articolo 5 vieta espressamente determinate pratiche di IA considerate inaccettabili, tra cui i sistemi di identificazione , categorizzazione biometrica e riconoscimento emotivo e i sistemi per valutare o prevedere , basandosi esclusivamente sulla profilazione, il rischio che una persona fisica commetta un reato. Altre disposizioni, tuttavia, prevedono eccezioni per finalità di contrasto, sicurezza nazionale e gestione della migrazione, creando anche in questo caso potenziali varchi per applicazioni invasive.
Il ruolo del DSA
Il Digital Services Act (DSA, Regolamento UE 2022/2065), lato suo, impone alle piattaforme online di dimensioni molto grandi obblighi di moderazione dei contenuti, trasparenza algoritmica e gestione dei rischi sistemici. L’articolo 34 richiede valutazioni annuali dei rischi, inclusi quelli relativi alla diffusione di contenuti illegali e alla manipolazione del servizio con effetti negativi sui processi democratici. Il Digital Markets Act (DMA, Regolamento UE 2022/1925) mira invece a limitare il potere dei gatekeeper, imponendo, all’articolo 5, paragrafo 2, il divieto di combinare dati personali provenienti da diversi servizi di piattaforma senza consenso esplicito dell’utente.
Tale complesso mosaico normativo, sulla carta, dovrebbe tutelare i cittadini europei. Nella pratica, però, rischia di creare un sistema di controllo pervasivo, in cui ogni attività online è tracciata, analizzata e potenzialmente segnalata. Il confine tra protezione e sorveglianza diventa sempre più labile.
I rischi di Chat Control alla libertà: perché è una normativa sfrontata
La proposta di regolamento sulla prevenzione e la lotta contro gli abusi sessuali su minori, comunemente nota come “Chat Control”, rappresenta uno dei tentativi più audaci e sfrontati di penetrare nell’intimità delle comunicazioni digitali. In discussione dal 2022, questa normativa imporrebbe ai fornitori di servizi di comunicazione online di implementare tecnologie per rilevare, segnalare e rimuovere materiale pedopornografico (CSAM) oltre a puntare a individuare tentativi di adescamento online dei minori (grooming).
Il meccanismo proposto si basa su tre pilastri: Detection Order (ordini di rilevamento emessi dalle autorità nazionali), obblighi di segnalazione al Centro EU per la prevenzione degli abusi sui minori e blocco dell’accesso a materiale già identificato. La controversia esplode quando si comprende che, per funzionare, questi sistemi richiederebbero la scansione automatica di tutti i messaggi privati, inclusi quelli protetti da crittografia end-to-end che equivale ad usare una frana per schiacciare un moscerino.
Il principio di riservatezza delle comunicazioni trova fondamento nell’articolo 7 della Carta dei diritti fondamentali dell’Unione Europea che tutela “il rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni”e, più in generale, nell’articolo 8 della stessa Carta, che sancisce il “diritto alla protezione dei dati di carattere personale”. A livello nazionale, l’articolo 15 della Costituzione italiana stabilisce inoltre che “la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili”. La crittografia end-to-end che si vorrebbe cancellare è proprio lo strumento che garantisce questo livello di protezione. Come rilevato dal Garante italiano in diverse pronunce, la protezione delle comunicazioni elettroniche costituisce un nucleo essenziale del diritto alla riservatezza.
Esperti di sicurezza informatica, organizzazioni per i diritti civili e persino il Garante Europeo della Protezione dei Dati, hanno evidenziato i rischi enormi di Chat Control: creazione di backdoor sfruttabili da malintenzionati, falsi positivi che coinvolgerebbero milioni di cittadini innocenti, effetto raggelante sulla libertà d’espressione e precedente pericoloso per futuri ampliamenti della sorveglianza. Eppure, nonostante le proteste, la proposta continua, per fortuna in maniera tortuosa, il suo iter legislativo, con alcuni Stati membri fortemente favorevoli.
Polizia predittiva e profilazione algoritmica
Il Regno Unito, nonostante adotti ancora il GDPR ha implementato, nel corso degli anni, sistemi di polizia predittiva basati su algoritmi di machine learning capaci di analizzare dati storici sui crimini, informazioni socio-economiche e persino dati sui social media per identificare individui o aree geografiche ad “alto rischio” di criminalità. Tali sistemi, spesso opachi nei loro meccanismi decisionali, sollevano questioni fondamentali di giustizia e bilanciamento fra diritti fondamentali.
L’articolo 22 del GDPR, spalleggiato robustamente dal Considerando 71, riconosce il “diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
La polizia predittiva rischia di violare tali principi in modi sottili e invasivi, molto “border line”. Sebbene le decisioni finali rimangano teoricamente umane, gli algoritmi indirizzano l’attenzione delle forze dell’ordine verso specifici individui o comunità, creando de facto una forma di discriminazione algoritmica che cozza manifestamente con l’art. 5 dell’ AI ACT. Tuttavia, come già sopra accennato, le eccezioni per finalità di contrasto previste dalla stessa disposizione, rischiano di vanificare lo stesso divieto, che si applica solo quando la valutazione è basata “esclusivamente” sulla profilazione.
Il problema, quindi, non è solo tecnico o giuridico: è profondamente etico. Come ha sottolineato il GPDP in vari provvedimenti, la profilazione basata su dati personali deve rispettare i principi di finalità, minimizzazione, accuratezza e limitazione della conservazione (articolo 5 GDPR). Quando questi principi vengono ignorati in nome della sicurezza, vera o presunta che sia, si crea un sistema in cui la presunzione di innocenza viene sostituita da una presunzione algoritmica di colpevolezza.
Il business model della monetizzazione della persona
Ma oltre alle preoccupazioni legate alla sicurezza nazionale e al contrasto del crimine, esiste una dimensione ancora più pervasiva del rischio di perdita della libertà (anche) digitale: la trasformazione dei dati personali degli individui in prodotti commerciabili. Ogni clic, ogni like, ogni ricerca, ogni movimento registrato dallo smartphone contribuiscono alla costruzione di profili dettagliatissimi che vengono venduti, scambiati e utilizzati per influenzare comportamenti d’acquisto, opinioni politiche, scelte di vita.
IL GDPR , la Costituzione della libertà digitale, stabilisce che il trattamento per finalità diverse da quelle per cui sono stati raccolti i dati è lecito solo se compatibile con le finalità originarie, tenendo conto del rapporto tra gli interessati e il titolare, del contesto in cui sono stati raccolti, della natura dei dati, delle possibili conseguenze per gli interessati e delle garanzie adeguate. Nella realtà, però, il consenso che prestiamo è spesso frutto di dark patterns, interfacce progettate per manipolare le nostre scelte, le quali rendendo difficile o impossibile rifiutare la raccolta di dati, ma anche conseguenza della nostra indifferenza nell’accettare superficialmente cookies, sostituendo la consapevolezza con un dito.
Il consenso
L’articolo 4, punto 11 del GDPR definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Le Linee guida 05/2020 del Comitato Europeo per la Protezione dei Dati (EDPB) sul consenso hanno ulteriormente chiarito che questi requisiti devono essere rispettati rigorosamente, ma la prassi quotidiana di banner cookie progettati per favorire l’accettazione acritica, dimostra quanto queste garanzie siano spesso illusorie.
I nostri dati personali — e soprattutto quelli particolari definiti dall’articolo 9 GDPR — rappresentano la materia prima di un’economia digitale il cui valore è stimato in centinaia di miliardi di euro. Piattaforme come Meta, Google, Amazon non vendono servizi agli utenti: vendono gli utenti agli inserzionisti. Come affermato provocatoriamente ed efficacemente,ancorché con scarsi effetti su una maggior prudenza: “se non paghi per il prodotto, il prodotto sei tu”.
Bolle informative e manipolazione dei motori di ricerca
Le funzionalità di sintesi e filtraggio dei risultati, implementate dai principali motori di ricerca, come Google Overview, rappresentano un’ulteriore forma di controllo informativo. Tali strumenti, basati su algoritmi di intelligenza artificiale generativa, non si limitano a indicizzare contenuti esistenti, ma li sintetizzano, selezionano e presentano secondo logiche opache per gli utenti .
Il DSA, all’articolo 27, impone obblighi di trasparenza nei sistemi di raccomandazione, richiedendo che le piattaforme online forniscano informazioni chiare sui “principali parametri utilizzati nei loro sistemi di raccomandazione e su qualsiasi opzione messa a disposizione degli utenti del servizio per modificare o influenzare tali principali parametri”. Tuttavia, la complessità degli algoritmi di ranking e sintesi rende questa trasparenza spesso nominale.
Il rischio è duplice: da un lato, la creazione di bolle informative che rafforzano pregiudizi esistenti (filter bubble), limitando l’esposizione a prospettive diverse; dall’altro il controllo centralizzato sull’accesso alla conoscenza, con pochi attori privati che determinano cosa è rilevante, credibile e degno di attenzione. Il Considerando 61 del DSA riconosce che “i sistemi algoritmici possono contribuire alla rapida diffusione virale di contenuti illegali e informazioni manipolative”, ma le soluzioni proposte da un Regolamento nato prima dell’alluvione di contenuti creati dall’IA generativa, si concentrano su una dubbia e poco trasparente moderazione dei contenuti piuttosto che sulla democratizzazione dell’accesso all’informazione.
Priorità: la creazione di consapevolezza
E torniamo sempre al tema centrale : la consapevolezza. Ogni consenso che prestiamo, ogni frammento di noi che consegniamo alle piattaforme digitali, ci allontana dall’ideale originario di un internet libero, aperto e orizzontale. I nostri dati personali e particolari — ciò che siamo, ciò che pensiamo, ciò che desideriamo — sono da tempo materia prima per un mercato che conosce i nostri comportamenti meglio di noi stessi.
L’articolo 12 del GDPR impone ai titolari del trattamento di fornire informazioni in “forma concisa, trasparente, intelligibile e facilmente accessibile”, ma quante persone leggono effettivamente le informative sulla privacy? Quanti comprendono davvero le implicazioni del trattamento dei propri dati? Il Garante italiano ha più volte sanzionato aziende per informative illeggibili o ingannevoli, ma il problema rimane strutturale: in un ecosistema digitale complesso, la vera consapevolezza richiederebbe non tanto competenze tecniche e giuridiche che la maggior parte degli utenti non possiede ma voglia, attenzione, cura dei propri dati come trasposizione delle propria umanità in rete.
Ci muoviamo in questo mondo digitale con un misto di naturale indifferenza e superficiale rassegnazione, donandoci a forme di profilazione e controllo sempre più personalizzate e invasive. Più concediamo di noi alla rete, più aumentano le possibilità di intrusione nella nostra vita, sia da parte di attori privati che pubblici. Il cerchio si chiude quando le informazioni raccolte per finalità commerciali vengono poi richieste dalle autorità per scopi di indagine, creando un’infrastruttura di sorveglianza totale.
Libertà digitale, cosa ci aspetta
L’idea di un internet libero, nonostante il patron di Telegram se ne avveda solo ora, probabilmente è già scomparsa da tempo e non per un singolo atto autoritario ma per una lenta erosione di diritti e libertà, giustificata di volta in volta dalla lotta al terrorismo, dalla protezione dei minori, dalla sicurezza nazionale, dalla personalizzazione dei servizi. Ogni normativa, presa singolarmente, può apparire ragionevole; pur tuttavia l’effetto cumulativo è un sistema di controllo capillare che i regimi totalitari del secolo scorso avrebbero invidiato.
Privacy, libertà d’espressione, difesa della dimensione più intima della persona restano parole fondamentali, principi sanciti da tante ( e forse troppe) bellissime leggi ma rischiano di svuotarsi di significato se smettiamo di vivificarle con scelte consapevoli, se rinunciamo alla fatica della comprensione critica, se deleghiamo completamente alle macchine e agli algoritmi le decisioni che riguardano le nostre vite.
Il monito di Durov, per quanto tardivo, ha almeno il merito di riportare l’attenzione su questi temi. Ma non basta denunciare: occorre agire. Forse la vera domanda, a questo punto, non è più se l’internet libero esista ancora, ma se abbiamo ancora la volontà, la voglia e il coraggio di difendere quel poco che ne rimane e, sopratutto, se siamo disposti a fare le scelte necessarie, anche scomode, per riappropriarci della nostra libertà digitale, prima che diventi definitivamente un racconto nostalgico e difficilmente comprensibile da raccontare alle generazioni future.
