corriere.it, 10 luglio 2026
Cos’è e cosa implica il voto Ue su Chat Control
Il controverso provvedimento ribattezzato (dai critici) «Chat Control» riemerge dal passato: Il Parlamento europeo ha votato giovedì 9 luglio una norma che permette alle piattaforme digitali di analizzare volontariamente alcune comunicazioni private per cercare materiale legato agli abusi sessuali sui minori.
Gli eurodeputati hanno modificato il testo inviato dal Consiglio dell’Ue, escludendo le comunicazioni «alle quali è, è stata o sarà applicata la crittografia end-to-end». In altre parole, la norma non dovrebbe riguardare le normali conversazioni cifrate di servizi come WhatsApp e Signal.
Il tentativo di respingere completamente la posizione del Consiglio ha raccolto 314 voti favorevoli, 276 contrari e 17 astensioni: una maggioranza dei votanti ma non i 360 voti necessari in seconda lettura. Gli emendamenti a difesa della crittografia hanno invece raggiunto la maggioranza assoluta richiesta. Il testo modificato torna ora al Consiglio, che avrà tre mesi per accettarlo oppure aprire una fase di conciliazione con il Parlamento. Per i cittadini europei, dunque, non cambia ancora nulla, ma il tema resta molto rilevante.
Che cos’è Chat Control 1.0
Chiariamolo, prima di tutto: «Chat Control» non è la denominazione ufficiale di una legge europea, è l’espressione scelta dai suoi oppositori per descrivere una serie di norme che permettono, o potrebbero imporre, il controllo automatizzato delle comunicazioni private.
Nel dibattito si sovrappongono inoltre due provvedimenti diversi. Chat Control 1.0 è una deroga (temporanea) ad alcune disposizioni della direttiva ePrivacy, la normativa europea che tutela la riservatezza delle comunicazioni elettroniche. Chat Control 2.0 è invece il regolamento permanente contro gli abusi sessuali sui minori online, proposto dalla Commissione nel 2022 e ancora in negoziazione.
Il voto del 9 luglio riguarda soltanto il primo.
Le regole sulla privacy delle comunicazioni elettroniche
La direttiva ePrivacy stabilisce un principio piuttosto semplice: una comunicazione elettronica deve rimanere riservata. Il gestore di un servizio non può aprire e analizzare sistematicamente messaggi, email e altri contenuti scambiati tra gli utenti come un postino infedele che controlla ogni busta prima di consegnarla. Nel 2021 l’Ue ha però introdotto un’eccezione temporanea. Il regolamento 2021/1232 consente ai fornitori di servizi di comunicazione via internet di trattare volontariamente contenuti e alcuni dati collegati alle conversazioni per individuare abusi sessuali sui minori, rimuovere il materiale e inviare una segnalazione alle organizzazioni competenti o alle forze dell’ordine. La deroga era stata pensata come un ponte, in attesa di una legge definitiva che quattro anni dopo però non è ancora arrivata.
La parola decisiva è «volontariamente»: Chat Control 1.0 non obbliga tutte le piattaforme a controllare tutte le conversazioni, ma offre alle aziende una base giuridica per farlo. Senza questa eccezione, la scansione generalizzata dei messaggi rischia di entrare in conflitto con la riservatezza garantita da ePrivacy.
Non è neppure un’intercettazione tradizionale. In quel caso un’autorità dispone un controllo mirato nei confronti di una persona sospettata, normalmente con l’autorizzazione di un giudice. Qui è il fornitore del servizio a decidere di utilizzare strumenti automatici su un insieme molto più ampio di comunicazioni, comprese quelle di utenti sui quali non esiste alcun sospetto. È questo il vero centro dello scontro.
Che cosa cercano gli algoritmi
I controlli algoritmici non funzionano tutti nello stesso modo. Il sistema più semplice riguarda immagini e filmati già conosciuti dalle autorità. A ogni file viene associata una sorta di impronta digitale, chiamata hash: quando la piattaforma incontra un contenuto con la stessa impronta, può bloccarlo o segnalarlo. È un meccanismo simile al controllo di un numero di telaio di un’auto. Il sistema non deve capire ciò che vede: deve verificare se l’impronta corrisponde a quella di un contenuto già classificato come illegale. Google, Meta, Microsoft e Snap sostengono di usare da anni queste tecnologie per impedire che immagini di abusi già individuate continuino a circolare.
La faccenda diventa più delicata quando si cercano contenuti mai catalogati. In questo caso entrano in gioco classificatori basati sull’apprendimento automatico, addestrati a riconoscere immagini che potrebbero raffigurare un abuso. Non cercano una copia esatta ma formulano una valutazione probabilistica.
Un terzo livello riguarda l’adescamento, cioè il tentativo di un adulto di costruire una relazione con un minore per ottenere materiale sessuale, organizzare un incontro o esercitare ricatti. Per individuarlo bisogna analizzare parole, sequenze di messaggi, differenze di età dichiarate e andamento della conversazione. Il software deve quindi interpretare il contesto, un’operazione molto più incerta del confronto tra due impronte digitali.
Queste differenze sono importanti, visto che il riconoscimento di materiale già noto può raggiungere un’elevata precisione, mentre l’identificazione di immagini nuove e dei tentativi di adescamento espone a un maggior numero di falsi positivi. Persino una fotografia scattata in famiglia, una conversazione tra adolescenti o del materiale sanitario potrebbero essere classificati come sospetti e sottoposti a un controllo umano.
Il Garante europeo della protezione dei dati, l’Edps, ha riconosciuto la necessità di combattere un crimine gravissimo, ma ha chiesto garanzie efficaci contro la scansione «generale e indiscriminata». Secondo l’autorità, una misura temporanea non può diventare una scorciatoia per aggirare i diritti fondamentali e deve sempre poggiare su una base giuridica chiara.
Quali servizi possono controllare i messaggi
La norma riguarda i cosiddetti «servizi di comunicazione interpersonale indipendenti dal numero telefonico». Dietro questa definizione burocratica ci sono email, messaggistica istantanea, chat interne alle piattaforme e servizi per chiamate o videochiamate via internet.
Non significa che ogni messaggio inviato da un cittadino europeo venga letto da una persona in carne e ossa: la scansione iniziale è automatica e dipende dalle tecnologie adottate da ciascuna azienda. Un contenuto segnalato dal sistema può però essere visto ed esaminato da un moderatore e successivamente trasmesso all’esterno.
L’esclusione della crittografia end-to-end approvata dal Parlamento è quindi importante. Neppure il gestore del servizio possiede, almeno in teoria, la chiave necessaria per leggerlo. Per controllare quelle comunicazioni bisognerebbe indebolire la cifratura, creare una porta di accesso oppure analizzare il contenuto sul telefono prima che venga cifrato.
Che cosa cambia adesso per gli utenti
Per i cittadini europei, al momento, non cambia praticamente niente. Il voto del Parlamento non attiva nuovi controlli, non modifica le impostazioni delle applicazioni e non obbliga gli utenti ad accettare una nuova autorizzazione.
La precedente deroga è scaduta il 3 aprile 2026. Per ripristinarla serve un accordo definitivo tra Parlamento e Consiglio. Gli Stati possono accettare il testo modificato, compresa l’esclusione delle chat cifrate, oppure respingere gli emendamenti. Nel secondo caso si aprirebbe una conciliazione; se anche quella fallisse, il regolamento decadrebbe.
In verità, le big tech interessate, ovvero Google, Meta, Microsoft e Snap, hanno dichiarato ad aprile che avrebbero continuato le proprie attività volontarie anche dopo la scadenza della deroga, nonostante l’incertezza sulla base giuridica. Le aziende hanno accusato le istituzioni europee di aver creato un vuoto normativo e hanno promesso di proseguire i controlli sui servizi interessati.
Le reazioni italiane
Tra gli eurodeputati italiani, la salvaguardia della crittografia ha raccolto consensi anche in partiti lontani tra loro.
«La crittografia end-to-end non si tocca», ha dichiarato Carlo Fidanza, capodelegazione di Fratelli d’Italia-Ecr. Secondo Fidanza, «proteggere i bambini e combattere i predatori online non può significare rinunciare ai principi dello Stato di diritto».
Posizioni favorevoli alla protezione delle conversazioni cifrate sono arrivate anche dalla Lega e dal M5s. Matteo Salvini ha riassunto la propria opposizione con una formula netta: «Difendiamo la privacy e la libertà dei cittadini, combattendo i criminali con strumenti efficaci, non con la sorveglianza di massa».
Dai Verdi è arrivata una critica ancora più ampia all’impianto della deroga. «I bambini si proteggono con indagini intelligenti, non scansionando i messaggi privati di milioni di innocenti», ha dichiarato l’eurodeputato Ignazio Marino, definendo il sistema una forma di sorveglianza di massa.
Dopo il voto, il Ppe ha invece accusato «l’irresponsabile alleanza tra estrema destra e Verdi» di aver prodotto nuovi ritardi attraverso gli emendamenti sulla crittografia. «In questo momento, e con carattere di urgenza, qualsiasi misura in grado di proteggere i minori è preferibile a un vuoto giuridico», ha scritto il gruppo su X.
Il compromesso uscito da Strasburgo lascia quindi tutti parzialmente insoddisfatti. Chi sostiene il provvedimento teme che l’esclusione della crittografia renda più difficile individuare gli abusi. Chi lo contesta considera ancora troppo ampia la possibilità di analizzare le comunicazioni non cifrate di persone mai sospettate di alcun reato.
La partita, in ogni caso, come detto, non è finita. E sullo sfondo resta Chat Control 2.0, la normativa permanente: un dossier molto più complesso, nel quale l’Europa dovrà stabilire dove finisce la ricerca dei criminali e dove comincia il controllo massivo e indiscriminato delle comunicazioni di tutti.