La nuova direttiva europea 'è un malware': la controversa Chat Control sotto accusa 

La regolamentazione europea sulla sicurezza digitale si prepara a un passaggio cruciale che potrebbe rivoluzionare il panorama delle comunicazioni private nel continente. Il 14 ottobre 2025, il Consiglio dell'Unione Europea si riunirà per decidere il futuro del controverso regolamento contro gli abusi sessuali sui minori online, ribattezzato dalla critica "Chat Control".

La proposta legislativa, formalmente nota come regolamento CSAR (Child Sexual Abuse Regulation), impone a tutti i fornitori di servizi di comunicazione interpersonale operanti nell'UE di implementare sistemi di scansione automatica per rilevare materiale pedopornografico. Le piattaforme interessate includono non solo WhatsApp, Signal e Telegram, ma anche servizi di posta elettronica e funzionalità di chat integrate in videogiochi e social network.

Signal contro "Chat Control" minaccia di lasciare l'Europa

Il perno della proposta risiede nella cosiddetta "scansione lato client", un meccanismo che analizza i contenuti digitali direttamente sui dispositivi degli utenti prima della crittografia. Gli esperti sottolineano come questa tecnologia non comprometta tecnicamente la crittografia end-to-end, poiché intercetta i dati prima del processo di cifratura, ma rappresenti comunque una vulnerabilità sistemica significativa. La regolamentazione prevede la creazione di un centro europeo specializzato (EUCSA) che fungerebbe da hub centrale per gestire le banche dati dei contenuti vietati e coordinare le operazioni di monitoraggio.

Ogni Stato membro dovrebbe istituire un'Autorità coordinatrice con il potere di ordinare alle piattaforme di attivare i sistemi di controllo, previa autorizzazione dell'autorità giudiziaria competente. Il meccanismo operativo propone un sistema di "moderazione controllata dei caricamenti" dove gli utenti che rifiutano la scansione perdono la possibilità di condividere immagini, video o collegamenti URL. Una misura che, secondo i detrattori, rappresenta una forma di coercizione indiretta verso l'accettazione della sorveglianza.

Signal ha assunto una posizione netta, con il vicepresidente per gli affari globali Udbhav Tiwari che ha paragonato la scansione lato client al funzionamento del malware:

"Per Signal, questo è un rischio catastrofico esistenziale per la fornitura dei nostri servizi nell'Unione Europea. Negherebbe le promesse primarie ai nostri utenti, e penso che questo sia un rischio che molte persone dovranno affrontare", ha dichiarato il dirigente durante un evento organizzato dal Partito Verde Europeo.

La piattaforma ha confermato l'intenzione di non sviluppare due versioni separate del servizio e di preferire l'uscita dal mercato europeo piuttosto che compromettere la sicurezza delle comunicazioni. L'opposizione tecnica si estende oltre Signal. Altre realtà hanno minacciato analoghe conseguenze, mentre il servizio legale del Consiglio dell'Unione Europea ha già espresso riserve sulla compatibilità del regolamento con i diritti fondamentali, definendolo un controllo "generale e indiscriminato" che si applicherebbe senza distinzioni a tutti gli utenti.

La geografia politica europea mostra una divisione marcata. Otto Stati membri risultano contrari, dodici favorevoli e sette indecisi, con l'Italia tra questi ultimi. La Germania rappresenta il voto più influente, avendo modificato ripetutamente la propria posizione nelle settimane precedenti al voto cruciale, con le preoccupazioni tecniche che si concentrano sulla creazione di vulnerabilità strutturali nei sistemi di comunicazione. L'implementazione della scansione lato client richiederebbe modifiche fondamentali nell'architettura delle app di messaggistica, introducendo potenziali punti di accesso per attori malintenzionati.

Alcuni governi europei, ad esempio Svezia e Paesi Bassi, hanno classificato la scansione lato client come un rischio inaccettabile per la sicurezza informatica nazionale. La proposta prevede, poi, esenzioni specifiche per gli account governativi e militari, suggerendo il riconoscimento implicito dei rischi di sicurezza. Sono stati espressi, inoltre, dubbi sulle possibili conseguenze a lungo termine, visto che l'estensione eventuale dei criteri di monitoraggio dal materiale pedopornografico ad altre categorie di contenuti, come il terrorismo o le proprietà intellettuali, potrebbe diventare una preoccupazione ricorrente negli ambienti accademici e della ricerca.

Se il Consiglio approverà la proposta il 14 ottobre, si aprirà la fase dei triloghi, negoziazioni tra Parlamento, Consiglio e Commissione per definire il testo definitivo. Il Parlamento Europeo ha comunque già respinto la possibilità di scansioni indiscriminate delle comunicazioni private, ponendo le basi per un confronto complesso durante le negoziazioni. Il regolamento dovrebbe, infine, ricevere l'approvazione finale di entrambe le istituzioni legislative europee per diventare vincolante e direttamente applicabile in tutti gli Stati membri, con il dibattito del Vecchio Continente che riflette le tensioni generalizzate tipiche del web, tra sicurezza collettiva e libertà individuali, nell'era digitale.