Diamo subito una risposta secca: no.
Numeri alla mano, è improbabile che l’Unione Europea approvi il controverso regolamento contro gli abusi sessuali sui minori che spalancherebbe le porte al controllo delle chat.

Anche se lo approvasse, poi, il potere di “controllare le chat” non verrebbe conferito ad Ursula von der Leyen, e in teoria nemmeno a Giorgia Meloni, ma solo al ramo giudiziario delle singole nazioni.  

Il fatto che se ne debba prima discutere a Bruxelles, anzi, sta impedendo a molti governi (tra cui il nostro) di procedere autonomamente.

Premesso tutto questo, la domanda sorge spontanea: come è possibile che nella democratica Europa ci sia chi desidera un meccanismo di sorveglianza universale come quelli della Russia e della Cina?

Che cosa protegge le nostre chat

L’espressione “cifratura end-to-end” (end-to-end encryption, o E2EE) indica un sistema in cui solo mittente e destinatario possono accedere ai contenuti, senza che questi siano leggibili da estranei e nemmeno dai provider del servizio (ossia dalle aziende di messaggistica come Whatsapp e Signal e da quelle che memorizzano dati come Apple e Google).

Si chiama end-to-end proprio perché protegge i dati “da endpoint a endpoint”, ossia dal dispositivo di chi invia al dispositivo di chi riceve.

Questa tecnologia assicura il livello massimo di sicurezza, impedendo che le chiavi di cifratura siano memorizzate su server esterni potenzialmente soggetti a compromissione.

Il rovescio della medaglia è che il provider non può fornire i dati in chiaro (ad esempio per collaborare a indagini sulla pedofilia o sul terrorismo) in quanto non ne possiede le chiavi, che sono conservate esclusivamente sui dispositivi degli utenti.

Ebbene: il regolamento su cui si sta discutendo in Europa, e che forse senza l’Europa sarebbe già in vigore, rischia proprio di minare la cifratura end-to-end, che è il cardine della nostra sicurezza digitale.

La strada per l’inferno è lastricata di buone intenzioni

La proposta di “Child Sexual Abuse Regulation”, presentata dalla Commissione Europea nel maggio 2022, ha l’obiettivo di imporre ai provider l’individuazione, la segnalazione e la rimozione di materiale pedopornografico, nonché la prevenzione di crimini come il grooming (cioè l’adescamento in chat).
La proposta include anche un maggiore sostegno alle vittime.

Il testo afferma il principio di neutralità tecnologica, dichiarando che non verrebbe favorita né esclusa alcuna tecnologia, finché è conforme ai requisiti.
Di per sé, l’uso della crittografia end-to-end non verrebbe vietato, anzi, verrebbe riconosciuto come strumento essenziale per la riservatezza delle comunicazioni.

Tuttavia, un tribunale avrebbe il potere di emettere un detection order (un ordine di rilevamento di contenuti illegali).
In quel caso, i fornitori di servizi dovrebbero adottare strumenti idonei per individuare quei contenuti sulle chat o sui cloud di chi li utilizza.

Sulla carta, le tecnologie prescelte dovrebbero garantire di non compromettere la riservatezza e di non avere altri usi impropri.
Per sostenere questo approccio, un ipotetico “Centro UE per il contrasto agli abusi sessuali online” metterebbe a disposizione tecnologie gratuite di rilevamento, formalmente conformi al diritto europeo in materia di protezione dei dati.

I pericoli del “chat control”

La proposta, tuttavia, ha sollevato subito forti polemiche. Le misure di “chat control”, che autorizzerebbero la scansione delle comunicazioni private, sono state definite sproporzionate e lesive dei diritti fondamentali del cittadino.

Numerosi esperti e associazioni hanno sottolineato come la sicurezza delle comunicazioni online si basi sulla cifratura end-to-end.

L’obbligo di scansione comporterebbe il controllo dei contenuti direttamente sui dispositivi, trasformando smartphone e computer in strumenti di sorveglianza preventiva delle autorità sui cittadini.

Inoltre, la creazione di backdoor, ovvero di eccezioni alla cifratura per rendere leggibili le chat, aprirebbe dei varchi sfruttabili da criminali informatici e potenze ostili.

Anche le tecniche di rilevamento proposte destano preoccupazioni.
Strumenti come il fingerprinting, l’hashing e l’uso di modelli di intelligenza artificiale, una volta applicati a miliardi di messaggi, generano inevitabilmente falsi positivi e falsi negativi.

Le conseguenze sarebbero pesanti: utenti innocenti verrebbero segnalati ingiustamente come pedofili e viceversa.

Il rischio di una sorveglianza generalizzata

Alla base delle preoccupazioni vi è il client-side scanning, ovvero l’uso sistemi che analizzano i contenuti direttamente sul dispositivo prima che vengano cifrati e inviati.
Un approccio che comporterebbe l’integrazione obbligatoria (prevista all’articolo 7 del regolamento) di meccanismi automatici sugli endpoint degli utenti.

Ciò significa che i messaggi verrebbero sottoposti a controllo prima di essere protetti con la cifratura, aprendo la strada a sorveglianza generalizzata, riduzione delle garanzie di riservatezza e potenziale censura.
Un sistema di questo tipo infatti, una volta installato, potrebbe venire usato non solo per cercare contenuti pedopornografici, ma per bloccare o segnalare qualsiasi immagine o testo incluso dalle autorità in un database opaco e non verificabile dagli utenti.

In pratica, il client-side scanning trasformerebbe strumenti nati per proteggere la privacy in sistemi di sorveglianza generalizzata.

Il precedente legale: il caso Podchasov vs Russia

Ironia della sorte, appena un anno fa il diritto europeo aveva prodotto un pronunciamento epocale contro l’uso di questi sistemi, che all’epoca riguardava la Russia.

Si tratta della sentenza della Corte Europea dei Diritti dell’Uomo nel caso Podchasov vs Russia (marzo 2024).

Le autorità russe avevano chiesto a Telegram di fornire strumenti di decrittazione per permettere all’FSB l’accesso ai messaggi di sospetti terroristi.
Telegram aveva rifiutato, sostenendo che una backdoor avrebbe compromesso la sicurezza di tutti gli utenti. La Corte diede ragione all’azienda.

Richiamandosi all’articolo 8 della Convenzione Europea dei Diritti dell’Uomo, i giudici hanno stabilito che l’accesso generalizzato alle comunicazioni costituisce sorveglianza indiscriminata. Una simile pratica compromette l’essenza stessa del diritto alla vita privata e minaccia la libertà di espressione.

Un duro scontro

Non è un caso se, nonostante il Consiglio dell’Unione Europea (l’organo in cui siedono i rappresentanti dei 27 governi) avesse avviato l’esame tecnico del regolamento anti-pedofilia già nel 2022, una votazione definitiva sia stata fissata solo per il prossimo 14 ottobre.

Al momento ben quindici governi, tra cui quello italiano, sarebbero favorevoli.
La Germania però, insieme ad altri paesi dell’Europa centrale che ancora ricordano la sorveglianza di massa sotto i regimi comunisti, sta formando una “minoranza di blocco”. Inoltre pare che la Francia, sotto il nuovo governo Lecornu, ci stia ripensando.

Su una materia così delicata, peraltro, il Consiglio è costretto a trovare un accordo con il Parlamento, che nel 2023 si è già pronunciato contro.
È, insomma, assai improbabile che il regolamento passi.

L’Europa è l’ultima diga

Non è vero, quindi, che “l’Europa vuole controllarci le chat”.
Per noi italiani, anzi, è vero il contrario: le nostre autorità nazionali le starebbero già controllando se il tema non fosse di competenza europea.

La riprova è quanto sta accadendo nel Regno Unito: da quando è uscito dall’UE, sta cercando autonomamente di obbligare le aziende digitali a prevedere delle backdoor nella cifratura end-to-end.
Il tentativo per ora sembra naufragato di fronte alla strenua opposizione di Apple.

La politica resta combattuta tra due esigenze opposte: proteggere i minori e salvaguardare la riservatezza. Ma la sentenza Podchasov e le analisi di sicurezza mostrano come l’approccio del chat control rischi di essere sproporzionato e controproducente: invece di garantire maggiore protezione, potrebbe rendere i cittadini europei più vulnerabili.

Speriamo in un sussulto di buonsenso.