La recente approvazione in sede di Consiglio dell’Unione europea della nuova versione del regolamento cosiddetto ChatControl, volto alla prevenzione e al contrasto degli abusi sessuali online sui minori, costituisce uno snodo emblematico del diritto dell’Unione nel tempo dell’algoritmo e della sorveglianza preventiva, in cui la tensione fra tutela dell’infanzia e protezione dei diritti fondamentali alla riservatezza, all’anonimato comunicativo e alla libertà di espressione raggiunge un livello di frizione senza precedenti.
Indice degli argomenti
Dal controllo obbligatorio alla scansione volontaria permanente
Il Regolamento, infatti, nella sua metamorfosi da proposta originaria del 2022 a testo “ammorbidito” ma non per questo meno problematico, mostra in filigrana la difficoltà del legislatore europeo di governare fenomeni criminali di estrema gravità senza cedere alla tentazione di una normalizzazione dell’eccezione, ossia di una deroga strutturale al paradigma garantista scolpito nella Carta dei diritti fondamentali dell’Unione europea e nella Convenzione europea dei diritti dell’uomo.
Se la versione originaria del regolamento prefigurava un obbligo generalizzato di scansione dei contenuti, ivi compresi i messaggi cifrati end-to-end, da parte dei fornitori di servizi di comunicazione elettronica, la nuova formulazione approvata dal Consiglio sostituisce all’obbligatorietà un meccanismo di scansione “volontaria”, ma lo innesta su una architettura normativa che rende permanente la deroga già introdotta dal primo Chat Control nel 2021 rispetto al regime di ePrivacy: i provider potranno quindi continuare a sottoporre a ispezione automatizzata testi, immagini, metadati delle conversazioni private senza un previo mandato giurisdizionale, facendo leva su strumenti di rilevazione algoritmica notoriamente fallibili e opachi, a riguardo, l’elemento della volontarietà – che a prima vista parrebbe attenuare la portata intrusiva della disciplina – si traduce in realtà nella legittimazione stabile di pratiche di sorveglianza di massa operate da grandi piattaforme, le quali, mosse da incentivi reputazionali, economici o regolatori, potranno adottare sistemi di scanning generalizzato di tutti i flussi comunicativi, spostando di fatto il baricentro del controllo dal giudice al privato tecnologico e inscrivendo la tutela dei minori in una logica di privatizzazione della funzione di polizia.
Proporzionalità e algoritmi: i limiti del sistema automatizzato
Tutto ciò, sotto il profilo giuridico-costituzionale, pone una serie di interrogativi di grande rilievo: in primo luogo, la compatibilità di un tale regime con il principio di proporzionalità e di necessità di cui all’articolo 52 della Carta che impone che ogni limitazione dei diritti fondamentali sia idonea, strettamente indispensabile al perseguimento di un obiettivo di interesse generale e non leda l’essenza stessa del diritto, infatti, la scansione generalizzata e preventiva, seppur formalmente “facoltativa”, di tutte le comunicazioni, svincolata da indizi individualizzati e da controllo giurisdizionale, rischia di configurare una misura di sorveglianza indiscriminata, più vicina a un modello di data retention massiva bocciato più volte dalla Corte di giustizia che a una misura mirata e circoscritta.
A ciò si aggiunge l’affidamento pressoché esclusivo ad algoritmi di rilevazione automatica, i quali, come la dottrina tecnico-scientifica ha ampiamente dimostrato, generano falsi positivi e falsi negativi in misura non trascurabile, con la conseguenza che persone del tutto estranee a condotte abusive potrebbero essere segnalate alle autorità, subendo forme di profilazione e di stigmatizzazione di fatto non giustificate, mentre contenuti realmente illeciti potrebbero sfuggire al controllo, ponendo seri dubbi sulla conformità del sistema al principio di accuratezza e minimizzazione sancito dal GDPR.
La fine dell’anonimato: verifica dell’età e sorveglianza biometrica
Ancora più dirompente è la scelta del Consiglio di ancorare la protezione dei minori a un obbligo generalizzato di verifica dell’età per l’accesso a servizi essenziali del mondo digitale (dalla posta elettronica alle app di messaggistica, fino ad altri servizi online) determinando, di fatto, la fine dell’anonimato come presupposto ordinario della comunicazione elettronica in Europa: ogni cittadino, infatti, per aprire un account, dovrà caricare un documento di identità o sottoporsi a procedure di riconoscimento biometrico, quali la scansione del volto, con una raccolta massiva di dati altamente sensibili che amplifica rischi di sicurezza, di uso secondario dei dati, di function creep verso finalità ulteriori rispetto alla tutela dei minori, e che incide sulla stessa architettura aperta e libera della rete.
Paternalismo digitale e diritti dei minori compressi
L’idea pertanto che l’anonimato sia, in quanto tale, un fattore di rischio da estirpare, collide con una tradizione giuridica che lo riconosce come elemento di garanzia per la libertà di espressione, il dissenso politico, la partecipazione alla vita pubblica in contesti ostili, trasfigurare il minore in soggetto da proteggere “contro” la rete, e non “nella” rete, finisce così per comprimere anche i suoi diritti di cittadinanza digitale, riconosciuti dalla Convenzione ONU sui diritti del fanciullo e dalle stesse politiche europee in materia di media literacy.
In tale quadro, il divieto, previsto dal testo del Consiglio, per i minori di diciassette anni di utilizzare app e giochi che incorporano funzionalità di chat appare misura di un paternalismo normativo quasi panoptico, difficilmente conciliabile con una concezione evolutiva della capacità di discernimento del minore e con il principio, anch’esso scolpito nella Carta, secondo cui i diritti del bambino devono essere valutati tenendo conto della sua età e maturità e non attraverso interdizioni generalizzate che ignorano la pluralità delle situazioni concrete; la regolazione, lungi dal promuovere un ecosistema digitale più sicuro, rischia così, quasi inevitabilmente, di spostare le interazioni dei ragazzi verso canali meno visibili, meno regolati, magari transfrontalieri, indebolendo gli stessi obiettivi di prevenzione.
Governance tecnocratica e opacità amministrativa
La dimensione procedurale del nuovo regolamento, così come emerge dai resoconti del Consiglio, introduce peraltro una categorizzazione dei fornitori di servizi sulla base dei livelli di rischio, con obblighi di valutazione, mitigazione e segnalazione più stringenti per i “grandi” operatori del digitale, nonché la creazione di un Centro europeo per la lotta contro la pedopornografia deputato a supportare gli Stati membri nella raccolta, analisi e condivisione delle segnalazioni.
Tale architettura, tra l’altro, seppur ispirata a un approccio risk-based in linea con altre normative dell’Unione, sposta tuttavia il fulcro del sistema verso una governance tecnico-amministrativa fortemente accentrata e, per molti versi, opaca, nella quale l’utente finale rimane oggetto di decisioni algoritmiche e amministrative difficilmente contestabili, mentre le garanzie giurisdizionali appaiono relegate a un momento successivo e residuale.
Lo scontro istituzionale: Parlamento contro Consiglio
Non può quindi passare inosservato, in questo contesto, il contrasto con la posizione espressa dal Parlamento europeo che nella propria elaborazione aveva chiaramente respinto la logica della sorveglianza di massa, rivendicando la necessità di subordinare ogni scansione dei contenuti alla sussistenza di un mandato del giudice e di indizi specifici relativi a determinati account, nonché di archiviare l’idea della verifica generalizzata dell’età e del divieto di app per i minori, nel merito, la divergenza fra Consiglio e Parlamento non è mero fisiologico conflitto interistituzionale, ma esprime due visioni distinte dell’ordine digitale europeo: da un lato, una concezione securitaria che affida al controllo preventivo e alla tecnologia il compito di neutralizzare il rischio, dall’altro, una visione più attenta al bilanciamento sostanziale dei diritti e alle garanzie procedurali.
In tale cornice si colloca l’astensione dell’Italia, che, al di là delle motivazioni politiche contingenti, potrebbe essere letta come indice di una consapevolezza dei rischi sistemici che un simile impianto comporta per l’ordinamento interno, tenuto conto della giurisprudenza costituzionale e sovranazionale in materia di intercettazioni, data retention e controlli occulti sulle comunicazioni.
Dall’eccezione alla norma: il rischio del mission creep
Il punto di maggiore criticità, infine, da un’angolatura strettamente giuridica, risiede forse nella trasformazione dello stato di eccezione – la deroga temporanea all’ePrivacy introdotta nel 2021 – in regime ordinario: una volta normalizzata la possibilità di sorveglianza algoritmica delle comunicazioni private, anche se formalmente limitata alla ricerca di materiale pedopornografico, sarà estremamente difficile opporsi, in futuro, a estensioni di campo verso altre forme di criminalità o verso obiettivi politici e di sicurezza nazionale, in un progressivo slittamento del baricentro del diritto europeo dalla primazia dei diritti fondamentali alla centralità della sicurezza, la dottrina conosce bene questi fenomeni di “mission creep” e “function creep”, in cui strumenti nati per fronteggiare minacce straordinarie divengono parte della normalità amministrativa.
Ripensare il modello: infanzia, cittadinanza e spazio pubblico digitale
Pertanto, diventa chiaro che di fronte a questo scenario, la riflessione giuridica è chiamata a compiere uno sforzo ulteriore.
Non limitarsi alla critica delle singole disposizioni, ma interrogarsi sull’idea di infanzia, di cittadinanza digitale e di spazio pubblico che il regolamento presuppone, se il minore è concepito solo come vittima potenziale da isolare e controllare, se l’adulto è visto come utente da sottoporre a screening continuo, se il provider è trasformato in longa manus dell’autorità di polizia, allora il modello di società che ne emerge è quello di una comunità preventivamente sospettosa verso se stessa, in cui la fiducia è rimpiazzata dalla profilazione e l’educazione alla consapevolezza digitale è surrogata dalla filtrazione algoritmica.
Alternative possibili: investigazioni mirate e alfabetizzazione digitale
Un diritto europeo all’altezza delle proprie premesse costituzionali dovrebbe, al contrario, coniugare la tutela rafforzata dei minori con strumenti che non dissolvano l’essenza della comunicazione privata e non erodano l’anonimato come spazio di libertà: investimenti in investigazioni tradizionali mirate, cooperazione giudiziaria e di polizia, rafforzamento delle unità specializzate nella lotta agli abusi, promozione di tecnologie by design rispettose della privacy, alfabetizzazione digitale di minori, famiglie e operatori scolastici, incentivi alla moderazione responsabile e trasparente da parte delle piattaforme potrebbero costituire alternative o, quantomeno, contrappesi a un modello fondato quasi esclusivamente sulla scansione automatizzata.
L’ultima occasione: il negoziato con il Parlamento
In definitiva, il percorso negoziale che si aprirà con il Parlamento rappresenta forse l’ultima occasione per raddrizzare l’asse del regolamento, restituendo centralità ai principi dello Stato di diritto europeo e riaffermando che la protezione dei minori non può trasformarsi nel cavallo di Troia per introdurre una infrastruttura permanente di sorveglianza di massa; la sfida è quella di elaborare un quadro normativo che, pur senza cedere all’ingenuità tecnologica, rifiuti l’idea che l’unica risposta alla violenza online sia la compressione generalizzata delle libertà di tutti e sappia invece inscrivere la lotta agli abusi in un progetto più ampio di cittadinanza digitale inclusiva, in cui i diritti dei bambini, degli adolescenti e degli adulti si rafforzino a vicenda anziché sacrificarsi gli uni agli altri.
