Nel cuore di un’Unione Europea sempre più esposta a tensioni geopolitiche, minacce ibride e vulnerabilità tecnologiche, la strategia ProtectEU, presentata dalla Commissione il primo aprile 2025[1], si propone come nuova architettura della sicurezza interna europea. Ma dietro il lessico della resilienza e della cooperazione multilivello, si cela una trasformazione profonda dell’equilibrio tra libertà fondamentali e poteri pubblici nello spazio digitale.
Sotto l’apparente neutralità tecnica del progetto, si delinea un cambio di paradigma: non solo maggiore coordinamento tra Stati membri nella risposta a terrorismo, criminalità organizzata e cyberattacchi, ma anche una ristrutturazione della governance della sicurezza, con Europol spinta verso un’identità sempre più operativa e “quasi federale”. Si parla di un approccio integrato che coinvolge istituzioni, imprese, ricerca e cittadini; ma quale sarà il costo, in termini di trasparenza democratica e protezione dei diritti, di una tale estensione funzionale della sicurezza?
La sfida che attende l’Unione è quella di costruire un’infrastruttura di sicurezza che non si traduca in un arretramento dei diritti, ma che sappia coniugare efficienza investigativa e fedeltà costituzionale alla protezione dei dati personali e delle libertà civili.
Indice degli argomenti
La strategia di ProtectUE
ProtectEU propone strumenti ambiziosi: una capacità comune di intelligence (SIAC), comunicazioni cifrate transfrontaliere sicure, e soprattutto un “nuovo approccio” all’accesso legittimo ai dati cifrati. Quest’ultimo è uno snodo giuridico e politico cruciale, dove la tensione tra esigenze investigative e tutela della privacy digitale rischia di cristallizzarsi in forme normative potenzialmente invasive.
La strategia abbraccia infine ambiti sempre più estesi: dalla sicurezza delle infrastrutture critiche (CER e NIS2) alla lotta contro il traffico di droga e la tratta di esseri umani, fino alla protezione dei minori e alla difesa da minacce CBRN (chimiche, biologiche, radiologiche e nucleari). Si inserisce in un mosaico più ampio di iniziative europee – come il Preparedness Union, il White Paper sulla Difesa e lo Scudo europeo per la democrazia – che segnalano un crescente protagonismo dell’UE nella costruzione di una sovranità securitaria condivisa.
Ma se “la sicurezza è compito di tutta la società”, come affermato da Ursula von der Leyen, allora è urgente interrogarsi su chi definisca le priorità, chi eserciti i controlli e quali spazi restino per il dissenso e la tutela effettiva dei diritti fondamentali in un ecosistema digitale sempre più sorvegliato e centralizzato.
Al centro dell’iniziativa vi è una questione tanto tecnica quanto giuridica: l’accesso legale da parte delle forze dell’ordine ai dati cifrati, in particolare in presenza di minacce alla sicurezza interna dello Spazio Economico Europeo (SEE). La roadmap, recentemente pubblicata, prefigura lo sviluppo di strumenti avanzati per l’intercettazione, la decrittazione e l’analisi dei dati digitali, in un contesto normativo che punta a rafforzare la cooperazione tra Stati membri attraverso l’armonizzazione di prassi investigative, la condivisione di informazioni e l’adozione di sistemi comuni di data retention.
ProtectUE, gli obiettivi
L’obiettivo dichiarato di ProtectEU è duplice: da un lato, prevenire e reprimere gravi reati digitali quali terrorismo, ransomware, frodi online ed estorsioni; dall’altro, evitare che le tecnologie di cifratura e anonimizzazione – oggi sempre più diffuse – si traducano in zone d’ombra inaccessibili alle autorità giudiziarie, vanificando l’efficacia delle indagini anche in presenza di dispositivi sequestrati o prove digitali latenti.
Tuttavia, il piano d’azione solleva interrogativi complessi. La previsione di una roadmap specifica per l’elaborazione di tecnologie di accesso ai dati cifrati – attesa per la seconda metà del 2026 – ha attirato l’attenzione di numerosi attori della società civile. In particolare, la Electronic Frontier Foundation (EFF) ha espresso preoccupazione per l’assenza di criteri chiari e trasparenti circa i limiti giuridici dell’accesso da parte delle autorità e le tecnologie crittografiche che potrebbero essere impiegate anche da soggetti come Europol. Il timore, non infondato, è che una sorveglianza preventiva e tecnicamente illimitata possa compromettere l’integrità del principio di riservatezza delle comunicazioni, tutelato dal diritto primario dell’Unione e dalla Convenzione europea dei diritti dell’uomo.
Going Dark e insicurezza by design: l’analisi critica delle organizzazioni civili
L’iniziativa ProtectEU, concepita nell’alveo del programma Going Dark, mira a ridefinire l’approccio dell’Unione europea all’accesso legittimo ai dati cifrati da parte delle autorità investigative. Al centro vi è l’esigenza di colmare il crescente divario tecnologico che ostacola l’acquisizione di prove digitali in ambito penale, in particolare nei casi che coinvolgono dispositivi protetti da crittografia end-to-end, piattaforme di messaggistica cifrata e strumenti di anonimizzazione come VPN e reti Tor.
Come evidenziato nel rapporto conclusivo della task force istituita nel 2023, composta da rappresentanti delle forze dell’ordine nazionali e nota come High Level Group on Access to Data for Effective Law Enforcement (HLG Going Dark) , la crittografia viene indicata come “la più grande sfida tecnica” per le attività investigative e antiterrorismo nell’attuale ecosistema digitale. In modo particolare, la strategia ProtectEU vorrebbe struttura attorno a sei direttrici operative: il rafforzamento degli obblighi di conservazione dei dati (data retention); lo sviluppo di strumenti avanzati per l’analisi forense digitale; l’armonizzazione degli standard investigativi tra gli Stati membri; il potenziamento della capacità di intercettazione legale delle comunicazioni; l’impiego dell’intelligenza artificiale a supporto delle indagini; e, infine, l’esplorazione di tecnologie di decrittazione avanzata, in collaborazione con Europol e i centri nazionali di cybersecurity.
Cosa dice Going Dark
Uno dei punti più controversi dello studio HLG Going Dark riguarda la proposta di introdurre un accesso legale ai dati cifrati attraverso soluzioni incorporate direttamente nella progettazione dei sistemi, il cosiddetto lawful access by design. In pratica, si tratta di riproporre l’idea di backdoor tecniche all’interno delle tecnologie crittografiche, una misura che, se incautamente implementata, potrebbe però mettere a rischio la sicurezza complessiva di tutti gli utenti, compromettendo la stessa integrità delle comunicazioni digitali.
Parallelamente, il documento auspica un’armonizzazione a livello europeo delle politiche di conservazione dei dati, rilanciando obblighi di data retention che si estenderebbero non solo ai servizi Internet tradizionali, ma anche ai dispositivi connessi, come quelli dell’Internet of Things. Impostazione questa che tuttavia entra in palese conflitto con la giurisprudenza consolidata della Corte di giustizia dell’Unione europea, che ha già censurato in più occasioni misure analoghe, giudicandole sproporzionate e incompatibili con il rispetto della vita privata e della protezione dei dati personali.
Infine, il rapporto sembra basarsi sull’idea, mai esplicitata ma chiaramente sottesa, che sia tecnicamente possibile garantire l’accesso ai dati protetti da crittografia end-to-end senza compromettere la sicurezza complessiva del sistema. Si tratta, per molti esperti, di un’illusione tanto infondata quanto rischiosa: la crittografia robusta, infatti, non ammette eccezioni senza esporre inevitabilmente l’intero ecosistema digitale a gravi vulnerabilità.
Cosa sottolinea Shedding light
Il report “Shedding Light”, pubblicato da EDRi nel dicembre 2024, rappresenta al riguardo una presa di posizione netta contro le raccomandazioni formulate dal gruppo di alto livello. Secondo EDRi, l’intero processo che ha condotto alla redazione del rapporto è stato viziato da una profonda mancanza di trasparenza e da un’esclusione sistematica della società civile. Nonostante dichiarazioni formali di apertura, il gruppo avrebbe infatti coinvolto solo rappresentanti delle forze dell’ordine e dell’industria tecnologica, ignorando per lungo tempo i contributi indipendenti e critici. La partecipazione di organizzazioni per i diritti digitali è avvenuta soltanto in seguito a forti pressioni esterne, e comunque in una fase ormai marginale rispetto all’elaborazione delle raccomandazioni centrali.
Il fulcro della critica di EDRi riguarda l’approccio proposto dal gruppo in materia di crittografia. L’espressione “lawful access by design”, utilizzata nel report per promuovere l’idea di un accesso legale ai dati cifrati da parte delle autorità, viene interpretata come un eufemismo per l’introduzione di backdoor nelle tecnologie di comunicazione sicura. Una simile impostazione, secondo EDRi, comprometterebbe gravemente la sicurezza di tutti gli utenti, violando il principio secondo cui la crittografia forte è un elemento essenziale per la protezione dei diritti fondamentali nell’ambiente digitale.
Altrettanto problematiche risultano le proposte relative alla conservazione dei dati ritenute in evidente conflitto con la giurisprudenza della Corte di giustizia dell’Unione europea, che ha già annullato in passato iniziative analoghe come dimostrano le sentenze Digital Rights Ireland e La Quadrature du Net.
I problemi tecnici
EDRi mette anche in luce l’inconsistenza tecnica di molte delle soluzioni proposte. L’idea che si possa mantenere la sicurezza della crittografia pur consentendo un accesso selettivo da parte delle autorità viene giudicata una contraddizione in termini. Nessuna soluzione oggi disponibile, infatti, permetterebbe di conciliare questi obiettivi senza indebolire l’intero ecosistema della sicurezza informatica.
Non ultimo, l’organizzazione sottolinea che l’agenda promossa dal rapporto non solo minaccia i diritti fondamentali riconosciuti dalla Carta dell’UE e dalla Convenzione europea dei diritti dell’uomo, ma rischia anche di introdurre un modello di governance basato sulla “insicurezza by design”, dove la priorità alla sorveglianza finisce per compromettere le basi stesse della fiducia digitale.
L’appello finale è chiaro: l’Unione europea deve scegliere se perseguire una strategia basata sulla repressione e sulla vulnerabilità sistemica, o difendere coerentemente i diritti digitali come pilastro della propria identità democratica.
Accesso ai dati cifrati e diritti fondamentali: la dimensione giuridica
L’aspetto più delicato del piano ProtectEU riguarda la possibilità, ancora in fase esplorativa, di sviluppare strumenti che rendano accessibili i contenuti cifrati alle autorità investigative senza compromettere, almeno in apparenza, la sicurezza globale delle comunicazioni. I documenti strategici finora disponibili indicano chiaramente l’orientamento della Commissione europea verso la creazione di meccanismi che consentano un accesso legale ai dati cifrati, fondato su obblighi di cooperazione imposti ai fornitori di servizi digitali e sull’eventuale inserimento di vulnerabilità strutturali nei sistemi – le cosiddette backdoor, o, in formulazioni più attenuate, soluzioni di exceptional access.
L’impianto operativo delineato dal gruppo di esperti High-Level Expert Group on Access to Data for Effective Law Enforcement si articola attorno a un insieme di soluzioni tecniche che spaziano dall’analisi dei contenuti direttamente sul dispositivo dell’utente prima della cifratura (client-side scanning), all’emissione di mandati di decrittazione da parte di autorità giudiziarie o amministrative, fino all’impiego di strumenti di intercettazione remota tramite l’installazione occulta di software sui dispositivi bersaglio. A queste misure si aggiunge la progettazione preventiva di infrastrutture di accesso riservato nei servizi di messaggistica e cloud, costruite secondo standard tecnici armonizzati a livello europeo.
Se sul piano giuridico ProtectEU ambisce a uniformare a livello dell’Unione le modalità di accesso legale ai dati cifrati, combinando obblighi di cooperazione per i provider, strumenti di intercettazione, regimi di data retention e tecnologie di decriptazione avanzata, non mancano tuttavia nodi critici ancora aperti. Tra questi, spiccano le tensioni con il principio di proporzionalità e i dubbi circa la compatibilità dell’intero impianto con la giurisprudenza consolidata delle Corti europee[2].
La pronuncia della CGUE
In particolare, la configurazione della crittografia non più come garanzia tecnica di riservatezza e protezione dei dati, bensì come ostacolo operativo da superare tramite interventi normativi e tecnologici, entra in rotta di collisione con l’orientamento consolidato della Corte di giustizia dell’Unione europea (CGUE). Quest’ultima ha più volte ribadito che ogni interferenza statale nelle comunicazioni private deve rispettare rigorosamente i principi di necessità, proporzionalità e tutela effettiva. Nella sentenza La Quadrature du Net (cause riunite C‑511/18, C‑512/18 e C‑520/18), la CGUE ha chiarito che obblighi generalizzati e indiscriminati di conservazione dei dati sono incompatibili con gli articoli 7, 8 e 11 della Carta dei diritti fondamentali dell’Unione europea (CDFUE), in assenza di gravi minacce alla sicurezza nazionale e di adeguate garanzie giuridiche. Lo stesso principio era già stato affermato nella causa Digital Rights Ireland (C-293/12), che portò all’annullamento della direttiva 2006/24/CE per eccessiva invasività.
In linea con questo orientamento, la Corte ha evidenziato che l’accesso da parte delle autorità pubbliche a dati personali – inclusi metadati e contenuti cifrati – costituisce una grave interferenza con i diritti alla vita privata e alla protezione dei dati personali sanciti dagli articoli 7 e 8 CDFUE.
Analoghi principi emergono dalla giurisprudenza della Corte europea dei diritti dell’uomo (CEDU). Nella sentenza Zakharov c. Russia (ric. n. 47143/06), la Corte ha stabilito che qualsiasi sistema di sorveglianza deve poggiare su una base legale chiara, accessibile e prevedibile, ed essere soggetto a un controllo ex ante da parte di un’autorità indipendente. Ancora più esplicita è stata la pronuncia Big Brother Watch and Others c. Regno Unito (ric. nn. 58170/13 e altri), con cui la Corte ha condannato le pratiche di sorveglianza di massa prive di garanzie adeguate, sottolineando il rischio sistemico di abusi in assenza di controlli effettivi e di un bilanciamento rigoroso tra mezzi impiegati e fini perseguiti.
In tale contesto, ProtectEU, nel suo intento di uniformare le prassi nazionali sull’accesso ai dati cifrati, rischia di compromettere proprio quei presidi giuridici che l’ordinamento europeo ha costruito per garantire che ogni restrizione ai diritti fondamentali sia non solo proporzionata, ma anche strettamente necessaria: ovvero, che costituisca l’unico mezzo possibile per perseguire un obiettivo legittimo in uno Stato democratico.
Cooperazione investigativa e rischio di normalizzazione della sorveglianza
Un ulteriore asse portante della strategia ProtectEU riguarda il potenziamento della cooperazione operativa tra le forze di polizia degli Stati membri, orientato alla creazione di un’infrastruttura comune per lo scambio di dati, strumenti investigativi e metodologie, sotto la supervisione di Europol. L’obiettivo dichiarato è quello di accrescere la capacità degli apparati nazionali di affrontare efficacemente le minacce transnazionali – in particolare quelle riconducibili alla criminalità organizzata e al terrorismo – superando gli ostacoli posti dalla frammentazione normativa e operativa che ancora caratterizza il panorama investigativo europeo.
Tuttavia, questo slancio verso una maggiore integrazione solleva interrogativi significativi sul piano delle garanzie: la condivisione estesa di dati e risorse, se non accompagnata da meccanismi di controllo democratico e da standard elevati di tutela dei diritti fondamentali, potrebbe tradursi in un appiattimento verso il basso delle protezioni giuridiche nazionali, sacrificando il principio di proporzionalità sull’altare dell’efficienza investigativa.
A sottolineare queste criticità è anche l’Electronic Frontier Foundation (EFF), che ha evidenziato come la roadmap delineata da ProtectEU non fornisca indicazioni trasparenti né sui limiti sostanziali dell’accesso legale ai dati cifrati, né sui criteri tecnici che ne dovrebbero governare l’attuazione. Il monito è peraltro chiaro: l’assenza di criteri operativi definiti e la vaghezza normativa della roadmap compromettono i meccanismi di trasparenza e controllo democratico. In questo scenario, l’espansione delle prerogative investigative senza un’adeguata supervisione di tipo parlamentare o giudiziario rischia infatti di consolidare un modello di sorveglianza sbilanciato e pericoloso.
Cifratura, backdoor e vulnerabilità sistemiche
Dal punto di vista tecnologico, il cuore critico di ProtectEU è il tentativo di coniugare crittografia e accesso legale, introducendo strumenti di “decifrabilità controllata” che non compromettano — almeno nelle intenzioni — la sicurezza globale dei sistemi digitali. Tuttavia, ampie sezioni della comunità scientifica e delle organizzazioni per i diritti digitali – tra cui, come già ricordato, la Electronic Frontier Foundation (EFF) – hanno espresso profonde riserve su questo approccio, sottolineando che l’introduzione di backdoor, anche se limitate e sottoposte a garanzie formali, mina intrinsecamente la robustezza della cifratura e apre la strada a vulnerabilità sistemiche suscettibili di essere sfruttate da attori malevoli, Stati ostili o organizzazioni criminali.
La comunità crittografica internazionale è pressoché unanime nel sostenere che non esistono backdoor “sicure” o “a prova di abuso”. Qualsiasi meccanismo di accesso riservato, se presente nel codice o nell’hardware, rappresenta una potenziale single point of failure: può essere individuato, replicato o manipolato. Questo assunto tecnico è noto come selective access fallacy (l’“equivoco dell’accesso selettivo”), secondo cui è illusorio immaginare un sistema crittografico che resti sicuro per la generalità degli utenti ma che consenta, al contempo, un accesso riservato per le autorità legittime. Tale principio è stato ampiamente dibattuto anche nel contesto statunitense, ad esempio con riferimento alle proposte legislative del Communications Assistance for Law Enforcement Act (CALEA) e del Lawful Access to Encrypted Data Act, entrambe fortemente contestate dalla comunità tecnico-scientifica per i rischi che comporterebbero in termini di sicurezza sistemica.
Inoltre, l’inserimento di tali meccanismi, anche se destinati esclusivamente a finalità giudiziarie, si scontra con i principi fondamentali dell’architettura della sicurezza informatica contemporanea, primo fra tutti quello di security by design, previsto dall’art. 25 del Regolamento generale sulla protezione dei dati (GDPR). Secondo tale principio, i sistemi devono essere progettati sin dall’inizio per garantire il massimo livello di protezione dei dati personali, senza introdurre vulnerabilità latenti che ne compromettano la resilienza. L’adozione di backdoor istituzionalizzate, al contrario, costituirebbe una debolezza strutturale, potenzialmente incompatibile con gli obblighi normativi di sicurezza, integrità e riservatezza dei dati.
L’impatto del contesto geopolitico internazionale
La crittografia end-to-end rappresenta uno dei principali ostacoli tecnici all’accesso legale ai contenuti digitali, suscitando una crescente pressione regolativa da parte dei governi. L’interventismo normativo ha assunto forme molto eterogenee a livello internazionale: da approcci fortemente coercitivi, come quelli adottati in Cina o Russia, fino a modelli più garantisti ma pur sempre controversi, come quelli discussi negli Stati Uniti, nel Regno Unito e ora anche in Europa.
Stati Uniti
Negli Stati Uniti, il dibattito sulla possibilità di accedere legalmente ai dati cifrati è animato soprattutto dall’FBI e da alcuni esponenti del Congresso, che da anni sollecitano l’introduzione di un meccanismo di “lawful access”. Tra i tentativi più recenti in tal senso si colloca il Lawful Access to Encrypted Data Act del 2020, una proposta che tuttavia non è riuscita a raccogliere il consenso necessario per l’approvazione. Nonostante ciò, il governo federale continua a esercitare pressioni sui provider per promuovere forme di cooperazione volontaria, finalizzate allo sviluppo di soluzioni tecniche riservate che consentano l’accesso ai dati cifrati da parte delle autorità titolari di un mandato.
Tali soluzioni, spesso presentate come strumenti strettamente controllati e finalizzati all’investigazione legittima, non di rado si avvicinano concettualmente al modello delle backdoor, pur evitando esplicitamente questo termine. L’approccio, tuttavia, non si discosta da quelli già ampiamente criticati da organizzazioni per i diritti civili e da numerosi esperti del settore crittografico, i quali mettono in guardia rispetto ai rischi sistemici che tali meccanismi rappresentano per la sicurezza globale delle comunicazioni digitali. La creazione di canali di accesso, anche se teoricamente limitati alle autorità competenti, comporta inevitabilmente l’introduzione di vulnerabilità strutturali che possono essere sfruttate da attori ostili, con conseguenze difficilmente contenibili.
Regno Unito
Nel Regno Unito, la questione ha assunto una portata decisiva con l’entrata in vigore dell’Online Safety Act nel 2023, che conferisce all’Ofcom il potere di imporre ai fornitori di servizi digitali la rimozione della cifratura end-to-end qualora sia necessario per consentire la scansione dei contenuti alla ricerca di materiali abusivi su minori. Questa previsione ha suscitato un’opposizione ferma da parte di piattaforme come Signal, WhatsApp ed Element, che hanno minacciato il ritiro dal mercato britannico qualora fossero costrette a compromettere i propri standard di sicurezza.
L’approccio adottato dal Regno Unito si caratterizza per un interventismo normativo diretto, che subordina la protezione crittografica agli obiettivi di tutela della sicurezza pubblica, anche a costo di eroderne le garanzie tecniche. In tale prospettiva, la cifratura non viene considerata un diritto inviolabile, ma piuttosto un meccanismo condizionabile in funzione delle priorità politiche e investigative.
India
In India, il quadro normativo delineato dal Technology (Intermediary Guidelines and Digital Media Ethics Code) Rules del 2021 impone agli intermediari digitali l’obbligo di individuare il “first originator” di contenuti ritenuti illeciti, anche nei contesti in cui le comunicazioni siano cifrate. Questa disposizione si traduce, di fatto, in una compromissione strutturale dell’anonimato e della cifratura end-to-end, senza tuttavia prevedere un sistema di garanzie giuridiche paragonabile a quello vigente nell’Unione europea o richiesto dalla giurisprudenza della Corte EDU.
Russia e Cina
In Russia e in Cina, l’approccio alla cifratura è improntato a una logica apertamente autoritativa. In Russia, la cosiddetta legge Yarovaya del 2016 obbliga i fornitori di servizi digitali a conservare e rendere accessibili su richiesta i dati di comunicazione, inclusi quelli cifrati, imponendo una sorveglianza pervasiva e centralizzata. In Cina, la Cybersecurity Law e i relativi regolamenti sull’uso della crittografia subordinano ogni implementazione crittografica alla registrazione e all’approvazione da parte delle autorità governative, rendendo estremamente limitata – se non impossibile – la tutela effettiva della riservatezza delle comunicazioni. Entrambi i modelli si pongono in evidente contrasto con i principi sanciti dal GDPR e dalla Carta dei diritti fondamentali dell’Unione europea, in particolare per quanto riguarda la protezione della vita privata, la libertà di espressione e il diritto alla sicurezza informatica.
ProtectEU e Chat Control
L’approccio promosso da ProtectEU trova un parallelismo significativo con quello delineato dalla proposta di regolamento europeo nota come Chat Control, presentata nel 2022 e tuttora oggetto di acceso dibattito a livello politico, giuridico e tecnico. Sebbene collocate su piani regolativi distinti, entrambe le iniziative rivelano un comune orientamento strategico: subordinare l’integrità della cifratura alle esigenze della sicurezza pubblica e della repressione penale, in particolare nei confronti di fenomeni gravi come la pedopornografia o il terrorismo.
Chat Control prevede, infatti, che – su ordine dell’autorità giudiziaria – i fornitori di servizi digitali siano obbligati a implementare sistemi di scansione automatica dei contenuti, anche cifrati, tramite tecnologie di client-side scanning. Tale meccanismo consente di analizzare testi e immagini direttamente sul dispositivo dell’utente prima che questi vengano cifrati e trasmessi. Una simile soluzione, pur giustificata dalla necessità di protezione dei minori, è stata oggetto di dure critiche da parte della comunità scientifica, delle autorità indipendenti e delle organizzazioni per i diritti digitali, le quali evidenziano il rischio di un’infrastruttura di sorveglianza onnipervasiva e tecnicamente intrusiva, capace di compromettere strutturalmente la riservatezza delle comunicazioni e l’efficacia stessa della crittografia end-to-end.
Nel loro insieme, ProtectEU e Chat Control sembrano convergere verso l’instaurazione di un paradigma di “crittografia condizionata”, in cui la protezione dei dati personali è riconosciuta solo in assenza di prevalenti interessi investigativi o di sicurezza.
Un simile assetto normativo si fonda su un equilibrio profondamente instabile, segnato da ampi margini di discrezionalità amministrativa e da un’assenza di vincoli chiari e generalizzabili sull’uso di tecnologie invasive. Tale evoluzione solleva preoccupazioni rilevanti anche sul piano sistemico, poiché rischia di allineare l’Unione europea a modelli normativi più autoritari o meno garantisti, erodendo progressivamente quel primato regolativo che aveva finora distinto l’UE nel panorama internazionale della tutela dei diritti digitali.
Il principio di proporzionalità
Il principio di proporzionalità, al centro della giurisprudenza consolidata della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo in materia di sorveglianza e trattamento dei dati personali, rischia in questo scenario di essere svuotato della sua funzione sostanziale. In assenza di una definizione vincolante dei limiti all’accesso ai dati cifrati e di meccanismi effettivi di controllo giurisdizionale – preventivo e successivo – la normatività dei diritti fondamentali si indebolisce a favore di una logica emergenziale strutturale, che tende a rendere la sicurezza un valore assoluto e permanente, con effetti dissuasivi sull’uso legittimo della crittografia da parte dei cittadini e delle organizzazioni.
Numerose voci autorevoli, tra cui il Garante europeo della protezione dei dati (EDPS) e il Comitato europeo per la protezione dei dati (EDPB), hanno segnalato i rischi sistemici associati a questo tipo di misure. Le loro preoccupazioni investono non solo la vulnerabilità tecnica intrinseca al client-side scanning, che apre nuovi vettori d’attacco per attori malevoli, ma anche la creazione di una rete di sorveglianza preventiva difficilmente controllabile e suscettibile di abusi. Particolare rilievo assume il timore che simili strumenti possano generare un chilling effect sulla libertà di espressione e comunicazione, contravvenendo ai principi di minimizzazione dei dati, trasparenza e responsabilità sanciti dal GDPR, nonché agli articoli 7 e 8 della Carta dei diritti fondamentali dell’UE.
Infine, l’opacità tecnica dei sistemi impiegati e l’assenza di un controllo democratico sostanziale sulle modalità di attuazione dei poteri investigativi sollevano dubbi crescenti circa la compatibilità di tali iniziative con i canoni costituzionali europei e con gli standard elaborati dalla giurisprudenza CEDU in materia di sorveglianza generalizzata, trasparenza istituzionale e diritto alla vita privata.
Tutela della sicurezza e garanzie costituzionali
Il programma ProtectEU rappresenta un tentativo ambizioso dell’Unione europea di adattare la propria infrastruttura investigativa alla complessità del mondo digitale. Tuttavia, l’efficacia tecnologica non può trasformarsi in una scorciatoia normativa. L’accesso legale ai dati cifrati, seppur giustificato da finalità legittime, deve rimanere conforme ai principi costituzionali europei: legalità, proporzionalità, necessità e sussidiarietà.
Questo approccio, che si riflette anche in proposte parallele come il regolamento noto come Chat Control, rischia di instaurare un paradigma di “crittografia condizionata”, in cui la protezione delle comunicazioni digitali viene subordinata a criteri discrezionali di sicurezza pubblica, potenzialmente incompatibili con il principio di proporzionalità più volte ribadito dalla Corte di giustizia dell’Unione europea e dalla Corte europea dei diritti dell’uomo.
In assenza di garanzie giuridiche robuste, di meccanismi di controllo indipendenti e di un dibattito trasparente e partecipativo che coinvolga anche la società civile e la comunità tecnico-scientifica, l’iniziativa rischia di compromettere la fiducia dei cittadini nelle istituzioni europee e nelle infrastrutture digitali pubbliche.
Non v’è dubbio che ProtectEU evidenzi in primis proprio la necessità urgente di ridefinire il rapporto tra crittografia e legalità in termini coerenti con l’architettura dei diritti fondamentali dell’Unione. La sfida non è solo tecnica o operativa, ma eminentemente politica e costituzionale: si tratta di decidere se l’Europa intenda perseguire la sicurezza nonostante i diritti, o attraverso i diritti.
L’Unione, per non tradire la propria vocazione giuridica e valoriale, dovrà evitare derive “securitarie” e costruire una governance della sicurezza digitale che sia fondata sulla trasparenza, sul controllo indipendente e sul pieno rispetto della dignità digitale dei cittadini europei. La protezione della privacy, in quanto condizione di libertà, non può essere incautamente marginalizzata nel nome dell’efficienza investigativa.
Note
[1]La strategia di sicurezza interna dell’UE si inserisce in un progetto più ampio che include strumenti complementari come la strategia di preparazione alle crisi, il Libro bianco sulla difesa e il futuro Scudo europeo per la democrazia. Tuttavia, l’iniziativa ha sollevato forti critiche da parte della società civile. In una lettera inviata il 5 maggio 2025 alla vicepresidente Henna Virkkunen, esperti e attivisti hanno espresso preoccupazione per il rischio che le misure proposte possano compromettere la crittografia come strumento essenziale per la tutela dei diritti fondamentali, quali privacy, protezione dei dati e libertà di espressione. I firmatari temono inoltre che l’approccio della Commissione possa condurre all’instaurazione di una sorveglianza preventiva strutturale, minando la fiducia pubblica nelle infrastrutture digitali europee e indebolendo il primato dell’UE nella tutela dei diritti digitali.
[2]Fonti giurisprudenziali citate: Corte di giustizia dell’Unione europea, Digital Rights Ireland, C-293/12, ECLI:EU:C:2014:238 –
CGUE, La Quadrature du Net, cause riunite C‑511/18, C‑512/18 e C‑520/18, ECLI:EU:C:2020:791 – CEDU, Zakharov c. Russia, app. n. 47143/06, sentenza 4 dicembre 2015 – CEDU, Big Brother Watch and Others c. UK, app. nn. 58170/13, 62322/14, 24960/15, sentenza Grande Camera, 25 maggio 2021
