Il 12 settembre 2025 ha segnato un passaggio cruciale per il dibattito sulla privacy digitale in Europa. Dopo mesi di trattative serrate e di forti pressioni politiche, la proposta di regolamento europeo nota come Chat Control è naufragata per la terza volta consecutiva. Nonostante il forte impegno della presidenza danese dell’UE, che aveva puntato tutto sull’approvazione di un compromesso entro ottobre, un blocco di Paesi guidato dalla Germania e sostenuto da altre otto nazioni ha fatto fallire definitivamente il voto.

Il regolamento, formalmente denominato CSAM (Child Sexual Abuse Material Regulation), avrebbe introdotto la scansione obbligatoria dei messaggi e delle comunicazioni online al fine di contrastare la diffusione di materiale pedopornografico. Una misura che, tuttavia, avrebbe comportato la rottura dell’encryption end-to-end e l’introduzione di sistemi di sorveglianza preventiva su larga scala. La contrarietà di una parte crescente degli Stati membri, di esperti tecnici, di associazioni per i diritti digitali e delle principali piattaforme tecnologiche ha segnato il destino della proposta.

Il ruolo decisivo della Germania

La svolta è arrivata con la decisione della Germania di opporsi ufficialmente al testo elaborato da Copenaghen. Il Ministero dell’Interno tedesco ha chiarito che non era possibile sostenere misure che avrebbero “rotto” la cifratura delle comunicazioni, considerata un presidio imprescindibile per la tutela dei diritti fondamentali. Una posizione coerente con la giurisprudenza del Tribunale costituzionale tedesco, che in passato ha già bocciato più volte la conservazione indiscriminata dei dati di traffico, ritenendola sproporzionata.

Il peso demografico della Germania è stato determinante, visto che con la sua opposizione la coalizione contraria ha superato la soglia del 35% necessaria per formare una minoranza di blocco e impedire qualsiasi avanzamento legislativo. Accanto a Berlino si sono schierati Austria, Belgio, Repubblica Ceca, Finlandia, Lussemburgo, Paesi Bassi, Polonia e Slovacchia. Nove Paesi in totale, abbastanza per neutralizzare le ambizioni danesi e dimostrare che il consenso attorno al Chat Control era tutt’altro che solido.

Dall’altra parte, quattordici Stati membri avevano dichiarato il proprio sostegno, inclusi Francia, Italia e Spagna, ma il fronte favorevole non è stato sufficiente. Quattro Paesi (Estonia, Grecia, Romania e Slovenia) erano rimasti in una posizione di incertezza, segno che la proposta divideva profondamente l’Unione.

Perché il compromesso danese non ha funzionato

La presidenza danese, che dal 1° luglio 2025 aveva assunto la guida del Consiglio dell’UE, aveva posto Chat Control come priorità assoluta. Per cercare di superare le resistenze, aveva introdotto una serie di compromessi tecnici:

  • L’uso di tecnologie di scansione “certificate” per l’analisi delle comunicazioni cifrate
  • Un approccio basato sul rischio, con controlli più intensivi solo per i servizi classificati come “ad alto rischio”
  • La possibilità per gli utenti di fornire un consenso volontario all’attivazione della scansione
sicurezza ot

Crediti: Shutterstock

Tuttavia, secondo esperti e crittografi, questi tentativi non hanno risolto i problemi di fondo. Le tecnologie di scansione lato client introducono rischi strutturali di sicurezza e creano nuovi vettori di attacco, mentre i meccanismi di consenso rischiano di trasformarsi in un obbligo de facto per accedere ai servizi digitali. Dati concreti hanno ulteriormente rafforzato l’opposizione. In Germania, i sistemi di rilevamento automatizzato avevano registrato nel 2024 un tasso di errore del 48%, mentre in Irlanda solo il 20% delle segnalazioni generate da software di scansione si era rivelato effettivamente legato a contenuti illegali.

Per le imprese e per le piattaforme digitali, ciò avrebbe significato un enorme spreco di risorse nella gestione dei falsi positivi, rischi di contenziosi legali da parte di utenti ingiustamente segnalati e, soprattutto, un inevitabile danno reputazionale. Oltre 500 tra i più autorevoli esperti di sicurezza informatica a livello mondiale avevano sottoscritto una lettera aperta pochi giorni prima del voto, definendo il Chat Control “tecnicamente irrealizzabile” e potenzialmente disastroso per la fiducia nelle tecnologie digitali.

La compattezza con cui le principali piattaforme di messaggistica si sono opposte ha avuto un ruolo non trascurabile. Signal e Telegram hanno ribadito che sarebbero uscite dal mercato europeo piuttosto che introdurre backdoor o sistemi di scansione, mentre WhatsApp e Apple hanno confermato la loro linea contraria a qualsiasi compromesso sull’encryption.

Implicazioni per la compliance e il settore digitale

Il fallimento del Chat Control ha almeno tre conseguenze immediate per il settore tecnologico e per i professionisti della compliance:

  • Certezza normativa: le aziende possono continuare a investire in soluzioni di cifratura end-to-end senza timore di obblighi di scansione imminenti
  • Pianificazione degli investimenti: cadono i principali ostacoli che frenavano lo sviluppo di nuove piattaforme e servizi basati su comunicazioni sicure
  • Coerenza normativa: con l’entrata in vigore del Data Act, l’Europa ha rafforzato il controllo degli utenti sui propri dati, mentre il fallimento del Chat Control preserva la compatibilità tra privacy, GDPR ed encryption

La bocciatura non rappresenta soltanto uno stop tecnico, ma un vero successo politico per chi difende la riservatezza delle comunicazioni. In un contesto europeo sempre più segnato da tentativi di ampliare i sistemi di sorveglianza (basti pensare al Piracy Shield in Italia o alle norme britanniche sull’Online Safety Act), il blocco imposto al Chat Control segna un’importante battuta d’arresto per le logiche di controllo preventivo. La memoria storica tedesca legata agli abusi di sorveglianza dei regimi del passato ha avuto un ruolo importante nel delineare una linea rossa invalicabile, ovvero la protezione della comunicazione privata come fondamento democratico.

Nonostante il fallimento, è improbabile che il tema scompaia dall’agenda politica europea. In passato, il Chat Control è già stato riproposto più volte dopo bocciature analoghe e nulla esclude che una futura presidenza dell’UE possa rilanciarlo con nuove formulazioni.

Tuttavia, tre fattori rendono sempre più difficile una sua rinascita: i vincoli costituzionali che emergono in vari ordinamenti nazionali, l’opposizione compatta degli esperti di sicurezza e la resistenza dell’industria tecnologica, pronta persino a lasciare il mercato pur di non tradire i principi della crittografia.

(Immagine in apertura: Shutterstock)