* La proroga approvata: cosa prevede il voto di Strasburgo * Il meccanismo: scansione volontaria con limiti precisi * Crittografia end-to-end: il principio resta intatto, per ora * Il quadro politico europeo e le tensioni irrisolte * Cosa cambia per gli utenti e le piattaforme
La proroga approvata: cosa prevede il voto di Strasburgo {#la-proroga-approvata-cosa-prevede-il-voto-di-strasburgo}
458 voti favorevoli. È il numero con cui il Parlamento europeo ha dato il via libera all'estensione della deroga alle norme UE sulla privacy che consente il rilevamento volontario di materiale pedopornografico — tecnicamente noto come CSAM (_Child Sexual Abuse Material_) — nelle comunicazioni digitali. Le misure, che sarebbero altrimenti scadute, rimangono ora operative fino ad agosto 2027.
Non si tratta di una novità legislativa in senso stretto, ma della conferma di un quadro temporaneo che l'Unione europea trascina ormai da anni: una deroga al regolamento ePrivacy che permette a servizi di messaggistica, e-mail e piattaforme social di analizzare contenuti privati alla ricerca di immagini e video di abusi su minori. Il tutto, va detto subito, su base esclusivamente volontaria.
Il voto, arrivato nella sessione plenaria del 13 marzo 2026, era atteso. Ma sarebbe un errore liquidarlo come un passaggio di routine. Dietro la proroga si agita una delle questioni più divisive della politica digitale europea: fino a che punto è lecito sacrificare la privacy delle comunicazioni personali in nome della protezione dell'infanzia?
Il meccanismo: scansione volontaria con limiti precisi {#il-meccanismo-scansione-volontaria-con-limiti-precisi}
Il testo approvato dal Parlamento europeo mantiene alcune garanzie fondamentali che erano già presenti nelle versioni precedenti, aggiungendo però paletti più netti.
Ecco i punti chiave:
* Le piattaforme possono — ma non sono obbligate a — scansionare comunicazioni private per individuare materiale CSAM. * Le tecnologie di rilevamento devono limitarsi al materiale già identificato come pedopornografico: niente ricerche esplorative, niente analisi predittiva su contenuti nuovi o sconosciuti. * La scansione dei dati di traffico (metadati: chi comunica con chi, quando, con quale frequenza) non può essere condotta insieme alla scansione dei dati di contenuto (il messaggio vero e proprio, le immagini, i video). Una separazione netta, pensata per evitare forme di sorveglianza a tappeto.
Questo ultimo punto merita attenzione. In un'epoca in cui i metadati raccontano spesso più del contenuto stesso — stando a quanto emerge dalla ricerca accademica e dai casi giudiziari recenti — il divieto di incrocio rappresenta una tutela non trascurabile. Ma resta una tutela normativa, la cui efficacia dipende interamente dalla capacità di controllo e _enforcement_.
Sul fronte della sicurezza informatica in senso lato, vale la pena ricordare come il tema della protezione dei dati e delle comunicazioni stia diventando sempre più centrale nel dibattito europeo, anche alla luce di episodi come il recente attacco informatico in Italia: il DDoS e le sue conseguenze, che ha dimostrato la fragilità delle infrastrutture digitali.
Crittografia end-to-end: il principio resta intatto, per ora {#crittografia-end-to-end-il-principio-resta-intatto-per-ora}
È stato il grande timore degli attivisti per i diritti digitali, delle aziende tech e di una fetta consistente dello stesso Parlamento europeo: che la normativa anti-CSAM diventasse il cavallo di Troia per scardinare la crittografia end-to-end.
Non è successo. Almeno non questa volta.
La proroga approvata non impone alle piattaforme che utilizzano crittografia end-to-end — come Signal, WhatsApp o le chat segrete di Telegram — di introdurre backdoor o meccanismi di scansione client-side obbligatori. Chi cifra i messaggi da un capo all'altro della comunicazione può continuare a farlo senza violare il regolamento.
Ma sarebbe ingenuo cantare vittoria. La proposta di regolamento permanente avanzata dalla Commissione europea nel 2022 — quella che i critici hanno ribattezzato Chat Control 2.0 — prevedeva invece obblighi ben più invasivi, inclusa la possibilità di imporre la scansione anche su servizi cifrati. Quel testo è ancora sul tavolo del Consiglio, dove i governi nazionali non hanno trovato un accordo. La proroga approvata il 13 marzo serve proprio a colmare il vuoto normativo in attesa di una soluzione definitiva.
Detto altrimenti: la crittografia end-to-end non è stata attaccata frontalmente, ma il fronte resta aperto. La scadenza del 2027 è una deadline politica prima ancora che giuridica.
Il quadro politico europeo e le tensioni irrisolte {#il-quadro-politico-europeo-e-le-tensioni-irrisolte}
Il dossier Chat Control è emblematico delle fratture che attraversano le istituzioni europee quando si tratta di bilanciare sicurezza e libertà digitali.
Da un lato, la Commissione e diversi governi — in primis quelli di Spagna, Irlanda e dei Paesi scandinavi — spingono per strumenti più incisivi, sostenendo che la scansione volontaria non basta a contrastare la diffusione online degli abusi sui minori. I dati, del resto, sono impressionanti: secondo il National Center for Missing & Exploited Children statunitense, le segnalazioni globali di CSAM online hanno superato i 36 milioni nel 2023.
Dall'altro, un blocco guidato da Germania, Austria e Paesi Bassi — con l'appoggio di buona parte del Parlamento europeo — considera qualsiasi forma di scansione massiva delle comunicazioni una violazione dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell'UE, in particolare degli articoli 7 (rispetto della vita privata) e 8 (protezione dei dati personali).
La questione resta aperta, e la proroga non fa che rimandare lo scontro. Il Garante europeo della protezione dei dati (EDPS) ha più volte espresso riserve, così come numerose organizzazioni della società civile. D'altra parte, la pressione delle associazioni per la tutela dell'infanzia non accenna a diminuire.
In questo contesto di crescente complessità del panorama informativo digitale, la Commissione europea ha anche messo a punto strumenti per aiutare i cittadini a orientarsi meglio, come emerge dal recente approfondimento su come riconoscere e combattere la disinformazione: un nuovo strumento della Commissione Europea.
Cosa cambia per gli utenti e le piattaforme {#cosa-cambia-per-gli-utenti-e-le-piattaforme}
Per l'utente comune, nell'immediato, non cambia quasi nulla. Le piattaforme che già effettuavano scansioni volontarie — come Meta per Facebook Messenger nella versione non cifrata, o Google per Gmail — potranno continuare a farlo. Quelle che non lo facevano non saranno costrette a iniziare.
Per le aziende tecnologiche, la proroga offre un periodo di certezza normativa — per quanto temporanea — che permette di non dover smantellare sistemi di rilevamento già operativi. Un aspetto non secondario, considerato che lo sviluppo di queste tecnologie richiede investimenti significativi.
Ma il vero banco di prova arriverà entro il 2027, quando le istituzioni europee dovranno decidere se:
* rendere permanente il regime attuale di scansione volontaria; * introdurre obblighi di rilevamento, con tutte le implicazioni sulla crittografia; * oppure abbandonare del tutto l'approccio basato sulla scansione dei contenuti, cercando strade alternative.
La terza opzione, va detto, è quella che raccoglie meno consensi a Bruxelles. La domanda, semmai, è quale versione della prima o della seconda prevarrà.
Ciò che appare chiaro è che il voto del 13 marzo ha comprato tempo. Tempo per negoziare, per affinare le proposte tecniche, per cercare un compromesso che al momento non esiste. La privacy digitale in Europa resta un cantiere aperto, sospeso tra la necessità di proteggere i più vulnerabili e il dovere di non trasformare ogni smartphone in uno strumento di sorveglianza.