Il 4 aprile 2026 segna una data spartiacque per la sorveglianza digitale in Europa, anche se non nel senso in cui molti si aspettavano. Con il fallimento dei negoziati tra Parlamento europeo e Consiglio dell’UE, la deroga alla direttiva ePrivacy che dal 2021 consentiva ai fornitori di servizi di comunicazione di scansionare volontariamente i messaggi privati alla ricerca di materiale pedopornografico cessa di avere effetto. A partire da questa data, piattaforme come Meta e Google perdono quindi la copertura giuridica per continuare a farlo, anche limitatamente alle immagini e ai video già catalogati come illegali.

Il Parlamento europeo aveva già approvato una proroga della deroga fino ad agosto 2027, introducendo però una serie di restrizioni: la scansione doveva essere mirata, circoscritta a sospettati specifici e incompatibile con le comunicazioni cifrate end-to-end. Il Consiglio, rappresentante dei governi nazionali, ha rifiutato questi paletti. I negoziati trilaterali con la Commissione non hanno prodotto un testo condiviso e il tempo si è esaurito prima che le parti trovassero una sintesi. Il voto finale avvenuto i giorni scorsi ha sancito la bocciatura con 311 contrari, 228 favorevoli e 92 astensioni.

Il contesto di questa vicenda è inseparabile dalla storia parallela del Chat Control 2.0, la proposta della Commissione europea nota anche come Child Sexual Abuse Regulation, che puntava a introdurre obblighi sistematici di scansione dei messaggi privati su scala ben più ampia. Quella proposta è stata ritirata sotto la pressione di critiche trasversali da parte di tecnici, giuristi, organizzazioni per i diritti civili e buona parte del Parlamento, che l’avevano giudicata incompatibile con il diritto alla riservatezza delle comunicazioni. Ciò che però non è venuto meno è l’impulso politico a dotare l’Unione di uno strumento legislativo permanente in materia.

X DsA whatsapp

Crediti: Shutterstock

I negoziati su una versione modificata del Chat Control 2.0 sono infatti ancora in corso. Il nuovo testo in discussione mantiene la possibilità di scansione volontaria, come nella versione del 2021, ma aggiunge l’obbligo di verifica dell’età per tutti gli utenti che accedono a servizi di messaggistica e app store, tramite scansione del documento d’identità o riconoscimento facciale. Una misura che, nei fatti, eliminerebbe l’anonimato nelle comunicazioni digitali su scala europea.

Patrick Breyer, europarlamentare del Partito Pirata tra i critici più costanti di questi provvedimenti, ha accolto la bocciatura della proroga come un segnale positivo, avvertendo però che la partita è ancora aperta. La sua lettura mette in luce una tensione di fondo, per la quale chiunque voglia opporsi alla sorveglianza di massa deve farlo senza sembrare indifferente alla protezione dei minori (obiettivo su cui il consenso politico è ovviamente ampio). Il rischio, secondo i critici, è che questo consenso venga strumentalizzato per introdurre misure che colpiscono diritti fondamentali molto al di là del perimetro dichiarato.

La posizione dei grandi operatori tecnologici si è mossa in direzione opposta. Google, Meta, Microsoft e TikTok hanno fatto fronte comune nei giorni precedenti il voto, sostenendo che la scadenza della deroga avrebbe ridotto la loro capacità di segnalare abusi alle autorità competenti, privandole di una copertura giuridica costruita in vent’anni di prassi consolidata.

Sul piano operativo, l’effetto immediato è che nessun provider potrà più fare affidamento sulla deroga ePrivacy per giustificare la scansione automatica dei messaggi privati, neanche per confrontare immagini con database di materiale già noto. Rimangono in vigore gli obblighi del Digital Services Act sulla rimozione dei contenuti illegali, ma il perimetro d’azione proattiva si restringe in modo significativo e le aziende si trovano in una zona grigia giuridica che potrebbe scoraggiare interventi che fino a ieri erano routine.

(Immagine in apertura: Shutterstock)