Con il pretesto della tutela dei minori, l’Unione Europea si appresta a introdurre una delle più intrusive misure di sorveglianza di massa digitale mai concepite nel mondo occidentale: il Regolamento per la rilevazione di materiale di abuso sessuale su minori (CSAM [1]) – ribattezzato «Chat Control» dai suoi critici.
Dopo i tentativi falliti sotto la presidenza polacca, a rilanciarlo è la Danimarca, che dal 1° luglio ha assunto [2] la guida del Consiglio dell’UE, ponendo un nuovo testo della normativa tra le priorità legislative del semestre. Il regolamento è sostenuto dalla maggioranza qualificata: 19 Stati su 27, tra cui l’Italia, sarebbero d’accordo. Il voto al Parlamento Europeo è atteso per metà ottobre [3], anche se è slittato più volte a causa delle perplessità legate alla privacy.
La proposta, inizialmente, era stata presentata nel 2022 dall’ex commissaria agli Affari Interni, Ylva Johansson, con l’obiettivo dichiarato di combattere la pedopornografia online. Il cuore della normativa è rappresentato dalla client-side scanning, una tecnologia che prevede la scansione automatica dei contenuti – messaggi, immagini, video – direttamente sui dispositivi personali degli utenti, prima che vengano criptati e inviati. In altre parole, l’algoritmo entra in azione prima ancora che la crittografia end-to-end possa proteggere i dati.
L’impatto potenziale della normativa è devastante: non solo le app di messaggistica come WhatsApp, Signal, Telegram, ma anche servizi di posta elettronica, VPN, cloud, database aziendali e perfino sistemi operativi verrebbero coinvolti. Il rischio? La fine della messaggistica privata, per come la conosciamo oggi. Con la scusa della sicurezza, si scardinano le fondamenta della privacy e dei diritti civili e si legalizza un meccanismo che ribalta il principio di presunzione d’innocenza: tutti sono potenziali sospetti, tutti devono essere scansionati. È una logica da panopticon digitale, che nulla ha a che fare con la tutela dei minori, quanto semmai con la normalizzazione di una tecno-sorveglianza preventiva e totalizzante. A lanciare l’allarme non sono solo attivisti e tecnici, ma le stesse istituzioni garanti della privacy a livello europeo: il GEPD e l’EDPB [4], in un parere congiunto già nel luglio 2022, hanno parlato di «serie preoccupazioni sulla proporzionalità dell’ingerenza», avvertendo che la scansione lato client viola i diritti umani, a prescindere dalla tecnologia impiegata.
La presidente di Signal, Meredith Whittaker [5], ha già annunciato che l’app potrebbe ritirarsi dal mercato europeo qualora il regolamento venisse approvato. E c’è di più: ogni indebolimento della crittografia apre la porta non solo ai governi, ma anche a hacker, gruppi criminali, potenze straniere.
Una vulnerabilità sistemica creata intenzionalmente, in nome di una guerra al crimine che potrebbe già essere combattuta con gli strumenti legali esistenti, attraverso mandati giudiziari e indagini mirate. Nulla impedisce, infatti, alle forze dell’ordine di avvalersi di ordinanze giudiziarie e poteri legali già in loro possesso per ottenere informazioni o prove dai singoli individui. Ma questo, evidentemente, non interessa a chi, sotto il mantello della “protezione”, vuole mettere le mani sulle comunicazioni di tutti.
Il punto non è la tutela dei minori – su cui tutti, ovviamente, concordano – ma l’uso strumentale di un’emergenza morale per giustificare una sorveglianza di massa preventiva. Una logica di guerra permanente alla privacy, che riproduce il paradigma post-11 settembre: creare un nemico assoluto o una minaccia per sospendere i diritti e introdurre misure liberticide e provvedimenti draconiani. Lo dimostra la discutibile proroga della deroga alla direttiva e-Privacy [6], che dal 2021 consente ai provider (come Facebook) di scansionare i messaggi degli utenti alla ricerca di CSAM, pur in assenza di obbligo giuridico. Il risultato [4]? Il 95% delle segnalazioni arriva da un solo soggetto privato, il colosso di Zuckerberg, con una valanga di falsi positivi che finiscono per colpire utenti innocenti. E ora, con la scadenza della deroga prevista nel 2026, la Commissione vuole trasformare una “pratica volontaria” in un obbligo di legge, estendendola a tutti i cittadini e a tutte le piattaforme, anche quelle che oggi tutelano la riservatezza degli utenti.
Intanto, il fronte dei contrari resiste, ma si assottiglia. Patrick Breyer [7], ex europarlamentare dei Pirati tedeschi, afferma che i governi che si erano opposti al controllo delle chat l’anno precedente stanno ora cedendo «anche se il piano 2025 è ancora più estremo». Austria e Paesi Bassi si sono dichiarati contrari, la Germania è ambigua, la Francia ondeggia. La Spagna guida il blocco dei sostenitori. Il prossimo voto del 14 ottobre potrebbe segnare un punto di non ritorno. Basterà l’appoggio di Parigi per far passare il regolamento, grazie al sistema di voto a maggioranza qualificata.
Quaranta organizzazioni [8] per i diritti digitali e civili hanno scritto alla Commissione Europea chiedendo di abbandonare il progetto, mentre la Corte Europea dei Diritti dell’Uomo [9] si è espressa contro qualsiasi intervento che possa indebolire o addirittura aggirare la crittografia.
L’Europa nata dal trauma dei totalitarismi del Novecento si avvia, passo dopo passo, verso un modello di tecno-controllo permanente, invocando la scusa di un bene superiore. Se dovesse passare, una volta introdotta, una tecnologia di sorveglianza così invasiva non potrà più essere disinnescata. Non si costruisce un’architettura globale di sorveglianza senza usarla: se oggi è per combattere la pedopornografia, domani sarà per il terrorismo, poi per la disinformazione, infine, per il dissenso.
