La recente approvazione della proroga della deroga al regime ePrivacy è stata interpretata da molti come l’ennesimo passo verso quello che, nel dibattito pubblico, viene ormai sinteticamente definito “Chat Control“, cioè il progetto europeo che prevede l’individuazione automatizzata di contenuti di abuso sessuale su minori e di tentativi di adescamento nelle comunicazioni digitali.
“Chi rinuncia alla libertà per ottenere sicurezza non merita né l’una né l’altra“. La frase, attribuita a Benjamin Franklin, è probabilmente una delle più abusate quando si parla di sorveglianza digitale.
Eppure, negli ultimi giorni, a circolare sui social non è stata quella citazione, bensì un meme. Due studenti durante un compito in classe: uno studente d’eccezione, George Orwell, concentratissimo sul proprio elaborato (la stesura del celebre “1984”), e accanto un Mr. Bean versione studente, con la scritta “European Commission”, intento a sbirciare il foglio del vicino per copiare.

L’immagine è ironica e volutamente provocatoria. Nessuno pensa davvero che l’Unione europea stia trasformandosi nel mondo distopico immaginato in 1984, ma il successo del meme racconta il crescente disagio con cui una parte dell’opinione pubblica osserva l’evoluzione delle politiche europee in materia di comunicazioni elettroniche.
In realtà, la decisione del Parlamento europeo non introduce un nuovo obbligo generalizzato di analisi delle comunicazioni private, non impone alle piattaforme di leggere i messaggi degli utenti, né autorizza nuove forme di intercettazione.
Tecnicamente, si limita infatti a prorogare una disciplina eccezionale che consente ai fornitori di servizi di comunicazione interpersonale indipendenti dal numero (come servizi di posta elettronica, chat e messaggistica) di continuare a rilevare volontariamente materiale relativo agli abusi sessuali sui minori (CSAM) e fenomeni di adescamento online, senza violare la disciplina sulla riservatezza delle comunicazioni prevista dal quadro ePrivacy.
La questione, più che il contenuto della proroga, riguarda la sua collocazione all’interno dell’ordinamento europeo: l’Unione ha costruito negli ultimi anni un articolato sistema normativo fondato sulla tutela della riservatezza delle comunicazioni, sulla minimizzazione dei dati e sulla sicurezza by design.
È quindi legittimo domandarsi se questa deroga rappresenti una semplice eccezione temporanea oppure il segnale di una tensione interna allo stesso modello europeo.
L’eccezione che continua a essere eccezionale
Nel 2021 venne approvato il Regolamento (UE) 2021/1232 il quale aveva un obiettivo molto circoscritto.
L’entrata in vigore del Codice europeo delle comunicazioni elettroniche aveva infatti ampliato il campo di applicazione della direttiva ePrivacy anche ai servizi di comunicazione “over-the-top” (OTT, cioè i servizi di messaggistica e comunicazione, come WhatsApp, Signal e Telegram, che operano tramite Internet, indipendentemente dall’infrastruttura degli operatori di telecomunicazioni).
In assenza di un intervento normativo, molte piattaforme che già effettuavano attività volontarie di individuazione del materiale pedopornografico avrebbero rischiato di non poter più svolgere tali attività senza entrare in conflitto con la disciplina europea sulla riservatezza delle comunicazioni.
La soluzione scelta dal legislatore fu una deroga temporanea, anche se l’aggettivo “temporanea”, nel diritto europeo (come anche in molti altri ordinamenti) merita sempre una certa cautela, dal momento che le deroghe nascono quasi sempre come eccezioni limitate nel tempo, giustificate da esigenze contingenti, ma non è raro che, una proroga dopo l’altra, si finisca per modificare stabilmente l’equilibrio originario tra regola ed eccezione.
Così le misure emergenziali tendono spesso a sopravvivere all’emergenza che le ha generate, soprattutto quando perseguono finalità rispetto alle quali esiste un consenso politico e sociale molto ampio.
La protezione dei minori rappresenta probabilmente l’esempio più evidente di questa casistica.
Chat Control: le ragioni della proroga
Le ragioni a sostegno della proroga non si esauriscono in una generica esigenza di rafforzare i controlli. La Commissione europea e le autorità di contrasto evidenziano come la rilevazione volontaria da parte dei fornitori di servizi abbia rappresentato negli ultimi anni uno degli strumenti più efficaci per individuare e segnalare materiale pedopornografico online e per identificare vittime di abusi.
La deroga non autorizza un accesso diretto delle autorità alle comunicazioni degli utenti né una lettura sistematica dei messaggi da parte delle forze di polizia; la rilevazione è infatti effettuata dai fornitori stessi dei servizi di comunicazione, che possono impiegare strumenti automatizzati per confrontare i contenuti condivisi con database di materiale pedopornografico già noto (hash matching) o, in alcuni casi, algoritmi in grado di individuare contenuti potenzialmente illeciti o comportamenti riconducibili al grooming.
Solo quando il sistema rileva una corrispondenza o un’anomalia ritenuta significativa viene generata una segnalazione, che è sottoposta alle verifiche previste dalle procedure interne del fornitore e successivamente trasmessa alle autorità competenti o ai centri di segnalazione, affinché siano svolti gli accertamenti del caso.
Secondo questa impostazione la misura risulterebbe circoscritta e proporzionata, poiché finalizzata esclusivamente all’individuazione di materiale illecito già identificato, evitando forme indiscriminate di sorveglianza.
La proroga della deroga all’ePrivacy costituirebbe pertanto uno strumento necessario per impedire che un vuoto normativo interrompa attività investigative ritenute essenziali nella lotta contro lo sfruttamento sessuale dei minori, in attesa dell’adozione di una disciplina definitiva.
Quando il fine rende difficile discutere dei mezzi
Nel dibattito pubblico esistono temi rispetto ai quali il dissenso diventa quasi impossibile da esprimere e la lotta agli abusi sessuali sui minori è certamente uno di questi.
D’altronde, chi potrebbe dichiararsi contrario a questa lotta? Il problema, però, è che il consenso sul fine rischia talvolta di comprimere il confronto sugli strumenti.
Così, chi solleva dubbi sulla proporzionalità delle misure potrebbe essere facilmente percepito come poco sensibile alla tutela dei minori, quando in realtà sta semplicemente ravvisando il rischio che la democrazia possa comprimere la segretezza delle comunicazioni, anche se per perseguire un obiettivo certamente legittimo e doveroso.
Determinati temi (come terrorismo, sicurezza nazionale, protezione dell’infanzia) tendono inevitabilmente a comprimere il dissenso perché nessun gruppo politico vuole essere percepito come ostile all’obiettivo perseguito, anche quando le riserve riguardano esclusivamente gli strumenti.
È probabile che questa dinamica abbia inciso anche nel voto europeo del 7 luglio.
Questo non significa che siano mancate posizioni critiche. Al contrario, numerosi eurodeputati appartenenti a gruppi politici diversi hanno espresso dubbi sulla proporzionalità delle misure, sull’impatto della scansione delle comunicazioni e sulle conseguenze per la cifratura end-to-end. Tuttavia, tali perplessità non si sono tradotte nella maggioranza qualificata necessaria a bloccare la posizione del Consiglio.
Questo è comunque il segno di un equilibrio politico sempre più difficile, tra la crescente domanda di sicurezza da parte dei cittadini e la tradizione europea di tutela dei diritti fondamentali.
Perché il Parlamento UE non è riuscito a fermare la proroga?
Una parte del dibattito successivo alla votazione ha lasciato intendere che il Parlamento europeo avesse improvvisamente cambiato orientamento, mentre la realtà è più complessa.
Nel marzo 2026 l’Aula aveva infatti espresso una posizione molto critica rispetto alla proposta della Commissione, introducendo limitazioni significative all’ambito della deroga e chiedendo maggiori garanzie, soprattutto rispetto all’utilizzo di tecnologie particolarmente invasive.
Il negoziato con il Consiglio, tuttavia, non ha prodotto un accordo e si è aperta la fase della seconda lettura, nella quale il Parlamento, per respingere integralmente la posizione del Consiglio, deve esprimersi a maggioranza assoluta dei componenti, comprese le assenze.
Se ci si domanda il perché non si sia riusciti a costruire una maggioranza assoluta capace di respingere la proposta, le spiegazioni possono essere molteplici.
Anzitutto, come già detto, pesa il valore simbolico della tutela dei minori. Per molti gruppi politici votare contro una misura presentata come funzionale alla protezione dell’infanzia comporta un costo comunicativo elevatissimo, anche quando le riserve riguardano esclusivamente gli strumenti utilizzati.
In secondo luogo, incidono le fisiologiche divisioni interne ai gruppi parlamentari, nei quali convivono sensibilità molto diverse sul rapporto tra sicurezza e diritti fondamentali.
Infine, non va trascurato il peso delle dinamiche istituzionali: il Parlamento europeo, soprattutto nelle fasi conclusive delle procedure legislative, si trova spesso a negoziare entro margini molto più ristretti di quanto appaia all’esterno.
I diritti fondamentali come bussola del diritto europeo
La tensione tra tutela dei minori e privacy, è una rappresentazione efficace sul piano comunicativo, ma riduttiva sul piano giuridico, in quanto, oltre che la protezione dei dati, riguarda la stessa libertà delle comunicazioni.
La Carta dei diritti fondamentali dell’Unione europea distingue chiaramente i due profili. L’articolo 7 tutela il rispetto della vita privata e familiare, del domicilio e delle comunicazioni; l’articolo 8 riconosce autonomamente il diritto alla protezione dei dati personali. Non si tratta di diritti sovrapponibili.
La segretezza delle comunicazioni costituisce infatti una garanzia più ampia della semplice disciplina sul trattamento dei dati, in quanto rappresenta il presupposto affinché cittadini, professionisti, giornalisti, avvocati, medici, imprese, possano comunicare senza il timore che ogni messaggio possa essere oggetto di controlli sistematici.
L’orientamento delle Corti europee
Negli ultimi anni sia la Corte di giustizia dell’Unione europea sia la Corte europea dei diritti dell’uomo hanno sviluppato un orientamento sostanzialmente convergente sul rapporto tra sicurezza e diritti fondamentali.
A partire da Digital Rights Ireland (2014), passando per Tele2 Sverige, Privacy International, La Quadrature du Net e, più recentemente, SpaceNet, la Corte di giustizia ha costantemente affermato che qualsiasi forma di raccolta o trattamento generalizzato delle comunicazioni costituisce un’ingerenza particolarmente grave nei diritti garantiti dagli articoli 7 e 8 della Carta e può essere ammessa solo entro rigorosi limiti di necessità e proporzionalità.
Pur riguardando principalmente la conservazione dei dati di traffico e gli obblighi imposti agli operatori di telecomunicazioni, tali pronunce delineano un principio di fondo: il diritto dell’Unione guarda con particolare diffidenza a forme generalizzate di controllo delle comunicazioni elettroniche.
Un orientamento analogo emerge infatti anche dalla giurisprudenza della Corte europea dei diritti dell’uomo, la quale, con le sentenze Roman Zakharov, Big Brother Watch e Centrum för Rättvisa, ha riconosciuto che esigenze di sicurezza possono giustificare sistemi di sorveglianza, ma solo se accompagnati da solide garanzie procedurali, controlli indipendenti e rigorosi criteri di proporzionalità.
Lussemburgo e Strasburgo convergono quindi su un punto essenziale: la sicurezza rappresenta un obiettivo legittimo, ma non può tradursi in un ampliamento generalizzato e indiscriminato dei poteri di controllo sulle comunicazioni.
È proprio alla luce di questo orientamento univoco che la deroga approvata dal Parlamento Europeo suscita interrogativi, poiché introduce una forma di controllo affidata non allo Stato, ma a soggetti privati sulla base di una previsione normativa che lo consente.
E nell’ordinamento costituzionale italiano?
Lo stesso interrogativo può essere affrontato anche alla luce dell’articolo 15 della Costituzione, che tutela la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione, consentendone limitazioni soltanto per atto motivato dell’autorità giudiziaria e con le garanzie stabilite dalla legge.
Se, come emerge dalla giurisprudenza europea, ogni forma di controllo sulle comunicazioni richiede un rigoroso scrutinio di necessità e proporzionalità, ci si può allora domandare se la scansione preventiva dei messaggi effettuata da operatori privati, sulla base di una disciplina europea che la autorizza, costituisca un mero trattamento di dati personali oppure incida, sia pure indirettamente, sulla stessa segretezza della corrispondenza.
La risposta dipenderà, in larga misura, dalle concrete modalità tecniche con cui tali controlli vengono realizzati.
Il vero paradosso: la cyber sicurezza
Negli ultimi anni l’Unione europea ha costruito una delle strategie di cyber sicurezza più articolate al mondo. Il GDPR ha consacrato il principio della minimizzazione dei dati. La direttiva NIS2 punta a rafforzare la resilienza degli operatori essenziali. Il Cyber Resilience Act introduce obblighi di sicurezza “by design” per i prodotti digitali. Il regolamento DORA impone elevati standard di resilienza informatica agli operatori finanziari.
Pur con finalità differenti, tutte queste normative condividono il presupposto comune di ridurre i rischi limitando l’esposizione dei dati, rafforzando la sicurezza delle infrastrutture e minimizzando le superfici di attacco.
La deroga ePrivacy sembra invece introdurre una logica diversa, in quanto, per individuare contenuti illeciti, si rende necessario implementare meccanismi di analisi delle comunicazioni e quindi ampliare l’esposizione dei dati e la superficie d’attacco, mettendo a rischio le infrastrutture.
Tecnologie di scansione e impatto sulla sicurezza informatica
Come già detto, la proroga non autorizza una specifica tecnologia di controllo, ma consente ai fornitori di continuare a utilizzare diversi strumenti di rilevazione volontaria. Comprendere come funzionano è fondamentale, perché l’impatto sulla riservatezza delle comunicazioni e il giudizio sulla loro proporzionalità variano sensibilmente a seconda della tecnologia impiegata.
Se l’hash matching, come già ricordato, confronta l’impronta digitale di un file con un archivio di immagini illegali già note, i sistemi di intelligenza artificiale cercano di individuare nuovi contenuti illeciti o comportamenti sospetti.
Si profila poi un meccanismo ancora più invasivo, cioè il client-side scanning, che analizza i contenuti direttamente sul dispositivo dell’utente prima della cifratura.
Quest’ultima tecnologia ha già suscitato forti critiche in passato: nel 2021 Apple ne aveva annunciato l’introduzione per individuare materiale pedopornografico, ma il progetto fu sospeso dopo le obiezioni di esperti, che temevano un futuro utilizzo anche per altri tipi di contenuti. Analoghe preoccupazioni sono state espresse da Signal e WhatsApp, secondo cui una scansione preventiva comprometterebbe la cifratura end-to-end.
La crittografia, oltre a tutelare la privacy degli utenti, protegge aziende, ospedali, pubbliche amministrazioni e infrastrutture critiche dagli attacchi informatici; per questo, molti esperti ritengono che qualsiasi sistema che aumenti la possibilità di accedere ai contenuti possa introdurre rischi per la sicurezza complessiva.
Il vero confronto, quindi, più che tra privacy e sicurezza, è tra sicurezza investigativa, finalizzata a prevenire e reprimere i reati, e sicurezza informatica, che garantisce comunicazioni affidabili e resistenti agli attacchi: due esigenze entrambe essenziali, ma difficili da conciliare senza compromettere l’una o l’altra.
Dalla volontarietà all’obbligo di fatto
La deroga, pur non imponendo alle piattaforme di effettuare controlli, li autorizza, tracciando, sulla carta, una scelta volontaria. In concreto, però, nessuna grande piattaforma potrebbe oggi permettersi di rinunciare a strumenti di individuazione del materiale pedopornografico. Nel caso in cui, dopo la decisione di non effettuare alcun controllo, dovesse emergere un grave caso di diffusione di contenuti illeciti, il costo reputazionale sarebbe gravissimo.
La volontarietà rischia così di trasformarsi in obbligo di fatto: il legislatore, pur non ordinando direttamente la scansione, crea un contesto nel quale la scelta opposta diventa difficilmente sostenibile sul piano economico, reputazionale e perfino giudiziario.
Il ruolo delle Big Tech: beneficiarie o nuove autorità private?
Con riferimento alle Big Tech, vederle come presunte beneficiarie di questa deroga costituisce una semplificazione eccessiva. Le grandi piattaforme hanno interesse a operare all’interno di un quadro normativo chiaro, se non altro perché l’incertezza regolatoria espone le imprese a rischi giuridici, sanzioni e contenziosi.
Allo stesso tempo, la deroga comporta anche costi significativi, in quanto significa investire in infrastrutture di rilevazione; implementare sistemi di hash matching o di analisi automatizzata; gestire procedure di segnalazione; affrontare eventuali falsi positivi; sostenere controlli da parte delle autorità; esporsi a responsabilità reputazionali.
Stiamo comunque assistendo a una progressiva privatizzazione di funzioni tradizionalmente riconducibili alla sfera pubblica e le piattaforme non si limitano più a offrire servizi di comunicazione. Sono infatti chiamate a svolgere attività di individuazione di contenuti illeciti, valutazione dei rischi, moderazione, cooperazione con le autorità, conservazione delle prove e gestione di sistemi algoritmici sempre più sofisticati. In altre parole, sono attori della sicurezza pubblica.
A tal proposito, se una quota crescente delle decisioni che incidono sui diritti fondamentali viene presa da sistemi automatizzati sviluppati da operatori privati, quali garanzie di trasparenza, verificabilità e accountability devono essere richieste?
Un tema destinato ad assumere un’importanza crescente anche alla luce del Digital Services Act e dell’AI Act, che attribuiscono alle piattaforme responsabilità sempre più ampie nella gestione dei contenuti e dei rischi sistemici.
Il calendario legislativo e il “fattore estate”
Impossibile non notare poi che l’approvazione è intervenuta a luglio, nell’ultima seduta plenaria utile prima della pausa estiva.
Il calendario delle istituzioni europee concentra fisiologicamente numerose decisioni nelle ultime sessioni plenarie prima della sospensione dei lavori; ciò dipende dalla necessità di chiudere negoziati, rispettare scadenze legislative e coordinare l’attività di Parlamento, Consiglio e Commissione. Sarebbe quindi improprio suggerire automaticamente l’esistenza di una strategia finalizzata a ridurre il dibattito pubblico.
Al tempo stesso, è indubbio che le decisioni adottate nei mesi estivi ricevono spesso una copertura mediatica inferiore rispetto a quelle approvate in altri periodi dell’anno. L’attenzione dell’opinione pubblica diminuisce, l’agenda politica nazionale prevale su quella europea e i temi più tecnici faticano a conquistare spazio.
Il rischio è che questioni destinate a incidere profondamente sull’equilibrio tra libertà e sicurezza vengano discusse quasi esclusivamente tra gli addetti ai lavori, senza generare un reale e importante dibattito pubblico.
Una prova di coerenza per il modello europeo
Negli ultimi anni l’Unione europea ha costruito un quadro normativo fondato sulla tutela dei diritti fondamentali, sulla sicurezza delle infrastrutture digitali e su principi quali proporzionalità, accountability, trasparenza e sicurezza by design. Dal GDPR al Digital Services Act, dall’AI Act a NIS2, DORA e Cyber Resilience Act, emerge una linea regolatoria sostanzialmente coerente.
È proprio alla luce di questo percorso che la proroga della deroga all’ePrivacy assume un rilievo particolare.
Pur perseguendo una finalità condivisa come la tutela dei minori, essa sembra introdurre una tensione nel modello europeo: da un lato si rafforzano la cifratura e la minimizzazione dei dati, dall’altro si ammettono eccezioni alla riservatezza delle comunicazioni.
La vera questione è quindi la capacità dell’Unione di mantenere coerente il proprio modello di regolazione del digitale.
Se le deroghe resteranno davvero eccezioni, il sistema conserverà il proprio equilibrio; se diventeranno precedenti per futuri ampliamenti dei poteri di controllo, sarà inevitabile interrogarsi sulla tenuta dei principi che hanno caratterizzato finora l’approccio europeo.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Tania Orrù
Source link






