Gli esperti delle forze dell’ordine e i politici si riuniranno il 12 settembre per deliberare su proposte che imporrebbero alle società tecnologiche, comprese piattaforme come Signal e WhatsApp, di scansionare i messaggi crittografati prima che vengano trasmessi. Questo incontro precede il voto previsto sulle proposte, noto come “Chat Control”, entro il 14 ottobre, un’iniziativa guidata dalla presidenza danese del Consiglio dell’UE.
Le proposte “Chat Control” sostengono la scansione di massa di telefoni cellulari e computer per identificare potenziale materiale pedopornografico all’interno dei servizi di comunicazione crittografati. Tuttavia, questa iniziativa ha suscitato una significativa opposizione da parte di esperti di sicurezza e difensori della privacy.
Il 9 settembre, oltre 500 crittografi e ricercatori nel campo della sicurezza hanno pubblicato una lettera aperta avvertendo che le proposte sono tecnicamente irrealizzabili e “minerebbero completamente” la sicurezza e la privacy dei cittadini europei. Sostengono che tali misure creerebbero vulnerabilità che potrebbero essere sfruttate da hacker e stati-nazione ostili.
Anche WhatsApp, un servizio di messaggistica crittografato ampiamente utilizzato, ha espresso preoccupazione riguardo alle bozze di proposta dell’UE. Un portavoce di WhatsApp ha affermato che le proposte comprometterebbero la crittografia end-to-end, mettendo così in pericolo la privacy, la libertà e la sicurezza digitale degli utenti.
La Commissione Europea aveva inizialmente proposto di dare mandato alle aziende tecnologiche di scansionare e-mail e messaggi alla ricerca di potenziali contenuti pedopornografici nel 2022. Tuttavia, questi piani sono stati bloccati a causa dell’opposizione di una minoranza di Stati membri che temevano che le proposte avrebbero compromesso la sicurezza e la privacy dei cittadini dell’UE.
Nel luglio 2025 la presidenza danese ha introdotto un compromesso volto a bilanciare la sicurezza delle comunicazioni crittografate con la necessità di identificare contenuti potenzialmente illegali. Questo compromesso afferma che il regolamento proposto non dovrebbe essere interpretato come un divieto, un indebolimento o un’elusione della crittografia e consente alle aziende tecnologiche di continuare a offrire servizi crittografati end-to-end.
Tuttavia, il compromesso richiede anche che le aziende tecnologiche implementino “tecnologie controllate” sui dispositivi per scansionare i messaggi alla ricerca di immagini, video o URL potenzialmente associati a contenuti noti di abusi sui minori prima della crittografia e della trasmissione. A queste aziende verrebbe inoltre richiesto di implementare algoritmi di intelligenza artificiale (AI) e apprendimento automatico per rilevare immagini di abusi precedentemente sconosciute.
Al 10 settembre, 15 Stati membri appoggiavano le proposte danesi, mentre sei rimanevano indecisi e sei si opponevano. Gli stati contrari, tra cui Belgio, Polonia, Finlandia e Repubblica Ceca, hanno espresso preoccupazione per la sorveglianza di massa delle comunicazioni dei cittadini. Tra i sostenitori figurano Francia, Italia, Spagna e Svezia, mentre la Germania resta indecisa. Il potere di voto di ciascuno Stato membro è proporzionale al numero dei suoi rappresentanti.
L’accordo di compromesso danese delinea i requisiti specifici relativi alla crittografia:
- I servizi di messaggistica disponibili al pubblico che utilizzano la crittografia end-to-end sarebbero tenuti a rilevare il materiale illecito prima della trasmissione.
- I fornitori dovrebbero rimanere liberi di offrire servizi utilizzando la crittografia end-to-end e non dovrebbero essere obbligati a decrittografare i dati o creare accesso a dati crittografati end-to-end.
- Agli utenti di servizi crittografati verrà chiesto di acconsentire al monitoraggio delle immagini, dei video e degli URL che inviano.
- Gli utenti che non acconsentono potrebbero essere in grado di inviare messaggi senza immagini, video o URL.
- Le tecnologie di rilevamento per i servizi crittografati end-to-end verrebbero certificate e testate da un centro dell’UE per verificare che il loro utilizzo non indebolisca la crittografia.
- La Commissione europea avrebbe il potere di approvare le tecnologie di rilevamento.
- I fornitori di servizi di rilevamento dovrebbero avere la supervisione umana per ridurre i falsi positivi e i falsi negativi.
- Le tecnologie di rilevamento non devono “introdurre rischi di sicurezza informatica per i quali non è possibile adottare misure efficaci per mitigare tale rischio”.
Gli oppositori delle proposte sostengono che il “Chat Control” introduce effettivamente una sorveglianza di massa “senza sospetti” per centinaia di milioni di europei. La lettera aperta di crittografi e ricercatori di sicurezza avverte che il rilevamento sul dispositivo, noto anche come scansione lato client, mina intrinsecamente le protezioni della crittografia end-to-end senza garantire una migliore protezione per i bambini.
Sostengono che il meccanismo di rilevamento diventerebbe un obiettivo primario per hacker e stati-nazione ostili, che potrebbero riconfigurarlo per prendere di mira altri tipi di dati, come interessi finanziari o politici. Ciò minerebbe la sicurezza delle app di messaggistica crittografate utilizzate da politici, giornalisti, operatori dei diritti umani, funzionari pubblici dell’UE, agenti delle forze dell’ordine e cittadini comuni.
Le proposte “violano inequivocabilmente” i principi della crittografia end-to-end e ne indeboliscono la protezione, minacciando il diritto del pubblico alla privacy. Gli scienziati avvertono di conseguenze potenzialmente gravi per la democrazia e la sicurezza nazionale. Affermano inoltre che la tecnologia di scansione potrebbe essere riutilizzata da regimi meno democratici per monitorare dissidenti e oppositori o per censurare le comunicazioni, creando capacità senza precedenti di sorveglianza, controllo e censura.
Le proposte danesi potrebbero portare a indagare erroneamente un gran numero di persone innocenti per aver inviato immagini erroneamente identificate come sospette. I ricercatori avvertono che i rilevatori esistenti produrrebbero tassi di falsi positivi e falsi negativi inaccettabilmente elevati, rendendoli inadatti a campagne di rilevamento su larga scala. Sostengono inoltre che non esiste un algoritmo di apprendimento automatico noto in grado di identificare in modo affidabile le immagini illegali senza commettere un gran numero di errori.
Il provider tedesco di posta elettronica crittografata Tuta Mail ha dichiarato che intraprenderà un’azione legale contro l’UE piuttosto che compromettere la privacy dei suoi utenti introducendo backdoor nel suo servizio di messaggistica crittografata. Il CEO Matthias Pfau ritiene che le proposte minerebbero la fiducia nella tecnologia europea, spingendo gli utenti verso i giganti tecnologici stranieri.
Alexander Linton, presidente della Session Technology Foundation, sostiene che è impossibile introdurre la scansione senza creare nuovi rischi per la sicurezza. Afferma che nessuna delle tecnologie disponibili soddisfa lo standard di non introdurre rischi irreversibili.
Matthew Hodgson, CEO di Element, una piattaforma di comunicazione sicura utilizzata dai governi europei, ritiene che la proposta di regolamento “Chat Control” sia fondamentalmente difettosa e metterebbe a rischio la privacy e i dati di 450 milioni di cittadini. Sostiene che indebolire la crittografia introducendo una backdoor per l’intercettazione legale sta introducendo deliberatamente una vulnerabilità che verrà sfruttata.
Hodgson ha fatto riferimento a un’operazione di hacking cinese durata anni, denominata Salt Typhoon, che ha utilizzato backdoor delle forze dell’ordine nella rete telefonica pubblica statunitense per accedere ai registri delle chiamate e alle comunicazioni non crittografate dei cittadini statunitensi. Di conseguenza, ha osservato che gli Stati Uniti stanno ancora esortando i propri cittadini a utilizzare sistemi crittografati end-to-end.
Signal aveva avvertito l’anno scorso che avrebbe ritirato il suo servizio di messaggistica dall’Unione Europea piuttosto che compromettere le sue garanzie sulla privacy. Callum Voge, direttore per gli affari governativi e la difesa presso la Internet Society, ha affermato che la scansione lato client crea opportunità per i malintenzionati di decodificare e corrompere i database di scansione sui dispositivi. Ha paragonato la scansione lato client a qualcuno che legge alle tue spalle mentre scrivi una lettera, invece di violare la crittografia, che è come se la busta fosse aperta.
Voge ha affermato che anche se la scansione dell’intelligenza artificiale fosse efficace al 99,5% nell’identificare gli abusi, porterebbe a miliardi di identificazioni errate ogni giorno, travolgendo potenzialmente il sistema e portando persone innocenti a essere erroneamente etichettate come persone che condividono materiale illegale pedopornografico.
Gli scienziati sostengono che, invece di fare affidamento su una “soluzione tecnica”, i governi dovrebbero investire nell’istruzione, nelle linee telefoniche di segnalazione e in altre tecniche collaudate per affrontare gli abusi. Voge suggerisce che i politici dovrebbero dare priorità agli approcci che proteggono i bambini, promuovendo al tempo stesso un Internet aperto e affidabile. Ciò include maggiori risorse per approcci mirati come indagini autorizzate dai tribunali, analisi dei metadati, cooperazione transfrontaliera, sostegno alle vittime, prevenzione e formazione sull’alfabetizzazione mediatica.
Apple aveva precedentemente abbandonato i suoi piani per introdurre la scansione lato client per rilevare abusi sui minori su iPhone dopo che importanti scienziati avevano pubblicato un documento in cui rilevavano che i tentativi del fornitore non sarebbero stati efficaci contro la criminalità o protettivi dalla sorveglianza.
