Dal 3 aprile 2026 la deroga alla Direttiva ePrivacy che dal 2021 permetteva a Meta, Google, Microsoft e Snap di scansionare in modo volontario e indiscriminato i messaggi privati degli utenti europei non è più in vigore. Il Parlamento europeo ha bocciato la proroga il 26 marzo con un solo voto di scarto, al termine di una sequenza di votazioni che ha tenuto Bruxelles col fiato sospeso. La base giuridica per la sorveglianza di massa delle comunicazioni private in Europa, formalmente, non esiste più.
📋 Cosa prevedeva la deroga e come funzionava
Il Regolamento UE 2021/1232 era stato introdotto come misura temporanea in attesa di un regolamento permanente sulla lotta agli abusi sessuali sui minori online. La deroga autorizzava i provider di servizi di comunicazione interpersonale a effettuare tre tipi di scansione automatizzata sulle comunicazioni private degli utenti europei: la ricerca di immagini e video già noti attraverso la tecnica dell'hash matching, che confronta le impronte digitali dei file con database di materiale pedopornografico già classificato; l'analisi tramite intelligenza artificiale di immagini e video sconosciuti per individuare nuovo materiale sospetto; l'analisi automatizzata del contenuto testuale delle chat private per rilevare tentativi di adescamento (grooming).
Il sistema si appoggiava prevalentemente a database gestiti da organizzazioni statunitensi, in primo luogo il National Center for Missing and Exploited Children (NCMEC). Uno studio scientifico pubblicato nel 2026 ha analizzato l'algoritmo PhotoDNA, lo standard utilizzato dalle piattaforme per l'hash matching, definendolo "inaffidabile": i ricercatori hanno dimostrato che i criminali possono rendere invisibili le immagini illegali allo scanner con modifiche minime, come l'aggiunta di un semplice bordo, mentre immagini del tutto innocue possono essere manipolate per generare falsi positivi che espongono cittadini innocenti a segnalazioni ingiustificate.
🗳️ Il voto del 26 marzo e il percorso legislativo
Il percorso verso la scadenza della deroga è stato tutt'altro che lineare. L'11 marzo 2026 il Parlamento europeo aveva approvato una posizione di compromesso: proroga fino ad agosto 2027, ma con limiti più stringenti rispetto alla proposta della Commissione. Il testo parlamentare prevedeva che la scansione fosse mirata e non più indiscriminata, con il divieto esplicito di analizzare messaggi protetti da crittografia end-to-end e la limitazione delle verifiche a specifici sospetti o gruppi.
Il Consiglio UE ha però rifiutato ogni compromesso. Secondo quanto emerso da documenti trapelati e riportati da Netzpolitik, gli Stati membri temevano che qualsiasi concessione avrebbe creato un precedente sfavorevole per il regolamento permanente in fase di negoziazione. La relatrice del Parlamento, Birgit Sippel, ha dichiarato che "con la loro mancanza di flessibilità, gli Stati membri hanno deliberatamente accettato la scadenza della deroga".
Il 26 marzo, forze conservatrici hanno tentato una manovra procedurale per forzare una nuova votazione sulla proroga. Il Parlamento ha prima respinto la valutazione automatizzata di foto e testi privati sconosciuti con un solo voto di scarto, e nella votazione finale successiva la proposta residua non ha raggiunto la maggioranza necessaria.
⚖️ Le Big Tech ignorano lo stop
Il giorno dopo la scadenza, il 4 aprile, Google, Meta, Microsoft e Snap hanno pubblicato una dichiarazione congiunta in cui annunciano l'intenzione di continuare la scansione volontaria delle comunicazioni sui propri servizi, definendo la scadenza un "irresponsabile fallimento" delle istituzioni europee. Secondo le quattro aziende, la mancata proroga espone i minori al rischio di essere "meno protetti dai danni più odiosi".
La posizione delle piattaforme si scontra con quella della stessa Commissione europea, che ha affermato che "senza base giuridica, i provider non possono più individuare proattivamente materiale pedopornografico nelle comunicazioni private". Tuttavia, al briefing stampa del 4 aprile, il portavoce della Commissione per gli affari interni ha ripetutamente evitato di chiarire se le piattaforme che continuano a scansionare stiano violando il diritto europeo.
Il precedente esiste già: a fine 2020, prima dell'entrata in vigore della deroga, Facebook aveva sospeso la scansione delle comunicazioni proprio per mancanza di una base giuridica adeguata. Nel 2021, l'ex giudice della Corte di Giustizia UE Ninon Colneric aveva affermato in un parere che la scansione indiscriminata viola in modo sproporzionato i diritti fondamentali alla vita privata e alla libertà di espressione sanciti dalla Carta dei diritti dell'Unione europea.
📊 I numeri che mettono in discussione il sistema
Il rapporto di valutazione della Commissione europea sul funzionamento della deroga, pubblicato nel 2025, restituisce un quadro di evidenti criticità operative. Il 99% di tutte le segnalazioni alle forze dell'ordine europee proveniva da una sola azienda, Meta, che operava di fatto come una polizia ausiliaria privata senza supervisione europea effettiva. Il 48% delle segnalazioni ricevute dal BKA (polizia federale tedesca) si è rivelato penalmente irrilevante, sovraccaricando le risorse investigative con dati inutilizzabili. Solo lo 0,0000027% dei messaggi scansionati conteneva effettivamente materiale illegale.
Un dato ulteriore solleva interrogativi sull'efficacia del sistema nella protezione dei minori: il 40% delle indagini avviate in Germania sulla base di queste segnalazioni riguardava adolescenti che condividevano immagini in modo consensuale (sexting), non autori di abusi. Parallelamente, il numero di segnalazioni da account europei al NCMEC era già calato del 50% dal 2022, per la progressiva adozione della crittografia end-to-end da parte dei principali provider. Secondo la Conferenza tedesca sulla protezione dei dati (DSK), "la sorveglianza indiscriminata colpisce il nucleo della riservatezza delle comunicazioni".
🛡️ Le alternative: sicurezza senza sorveglianza di massa
La fine della deroga non crea un vuoto normativo, come sottolineato sia dal Parlamento europeo sia dalle organizzazioni per i diritti digitali. La sorveglianza mirata delle telecomunicazioni basata su sospetto concreto e mandato giudiziario resta pienamente operativa, così come la scansione dei contenuti pubblici, dei file ospitati su cloud e i meccanismi di segnalazione da parte degli utenti. Solo il 36% delle segnalazioni utili alle indagini proveniva dalla scansione dei messaggi privati: le fonti principali erano già social media e servizi di archiviazione cloud.
Il piano alternativo presentato dalla Pirate Party e sostenuto da organizzazioni della società civile propone un cambio di paradigma basato su cinque punti: app preconfigurate con protezioni di default contro il grooming (Safety by Design); sorveglianza investigativa mirata su ordine giudiziario; creazione di un EU Child Protection Center per la ricerca proattiva e la rimozione immediata del materiale alla fonte; formazione digitale nelle scuole; riallocazione delle risorse oggi assorbite dalla gestione dei falsi positivi verso indagini mirate nel dark web.
🔮 La partita non è chiusa
I negoziati trilaterali per il regolamento permanente "Chat Control 2.0" proseguono sotto pressione. Il Consiglio UE insiste sulla scansione volontaria indiscriminata anche nel nuovo testo, nonostante il segnale inequivocabile del Parlamento. Il prossimo fronte di scontro nei triloghi riguarda l'obbligo di verifica dell'età su messenger e app store, che richiederebbe la presentazione di documenti d'identità o la scansione facciale per accedere ai servizi di messaggistica, con il rischio concreto di eliminare la possibilità di comunicare in modo anonimo in Europa e di esporre categorie vulnerabili come whistleblower e persone perseguitate.
Come evidenzia la Electronic Frontier Foundation, si tratta di una "proposta zombie" che continua a tornare. La deroga è scaduta, ma la tensione tra protezione dei minori e diritto alla riservatezza delle comunicazioni resta il nodo irrisolto della politica digitale europea. Resta da capire se il prossimo testo legislativo saprà trovare un equilibrio tra questi due diritti o se la pressione delle piattaforme e delle lobby riuscirà a reintrodurre la sorveglianza di massa sotto un'etichetta diversa.
#chatcontrol #eprivacy #scansionemessaggi
