La proposta di regolamento europeo contro l’abuso sessuale su minori online, conosciuta come CSAR o “Chat Control”, nasce con l’obiettivo dichiarato di rendere Internet un luogo più sicuro per i minori, ma dietro le buone intenzioni si nasconde un sistema che potrebbe cambiare in modo profondo e pericoloso il modo in cui comunichiamo online.
L’idea parte dalla Commissione Europea, guidata dalla commissaria Ylva Johansson, e punta a imporre regole uguali per tutti i paesi UE per combattere la diffusione di materiale pedopornografico e l’adescamento di minori. Oggi le piattaforme come WhatsApp, Messenger o Telegram possono scegliere se controllare o meno i contenuti sospetti, ma la Commissione vuole passare da un sistema volontario a un obbligo legale. In più, prevede la creazione di un Centro Europeo dedicato a coordinare segnalazioni e rimozioni.
Fin qui, tutto sembra ragionevole. Ma la vera questione è come si vuole ottenere questo controllo.
Il meccanismo previsto è diviso in tre passaggi. Prima, le piattaforme devono valutare da sole il rischio che i propri servizi vengano usati per la diffusione di contenuti pedopornografici. Poi, se un’autorità ritiene che ci sia un “rischio significativo”, può imporre un ordine di rilevazione. Infine, la piattaforma deve installare strumenti di analisi automatica che scansionano testi, immagini e video direttamente sui dispositivi degli utenti — cioè sul tuo telefono o computer — prima che i messaggi vengano crittografati.
Dal punto di vista tecnico, questo significa introdurre una scansione lato client (Client-Side Scanning), un processo che analizza i file “in chiaro”, cioè prima che vengano protetti dalla crittografia end-to-end. In sostanza, è come se una guardia controllasse ogni messaggio prima che parta, anche se è diretto a una sola persona.
Qui nasce il problema principale. La crittografia end-to-end è una delle tecnologie cardine della sicurezza digitale moderna: garantisce che solo mittente e destinatario possano leggere i messaggi. Inserire un sistema di scansione sul dispositivo rompe questa catena di fiducia, aprendo una backdoor — un punto d’accesso nascosto — che può essere sfruttato da hacker, governi autoritari o malware. E, come spesso accade in sicurezza informatica, una volta creata una backdoor “buona”, ne nasce sempre una “cattiva”.
Tecnicamente, la scansione lato client richiede che i sistemi operativi (come iOS o Android) abbiano accesso costante ai contenuti locali, incluse foto e messaggi, per confrontarli con database di “hash” di materiale pedopornografico. Questi hash sono impronte digitali di file illegali conosciuti. Ma qui si apre un altro problema: gli hash non sono infallibili. Basta una piccola modifica al file, come un ritaglio o una compressione, per alterarne l’impronta. Quindi, per “beccare” i file sospetti, servono algoritmi di riconoscimento basati su intelligenza artificiale e machine learning.
E qui arrivano i falsi positivi. Gli algoritmi, anche i migliori, sbagliano. Studi di Microsoft e dati della polizia irlandese mostrano che fino al 12% delle segnalazioni automatiche risultano errate. In pratica, su 100 foto segnalate, almeno 10 sono completamente innocenti. Se moltiplichiamo questa percentuale per i miliardi di messaggi scambiati ogni giorno, il risultato è un numero ingestibile di segnalazioni false, che finirebbero comunque analizzate da esseri umani. Significa creare un’enorme macchina burocratica che rischia di distrarre le forze dell’ordine dai veri criminali, generando al tempo stesso un clima di sorveglianza e paura tra i cittadini.
Un altro punto critico riguarda la gestione dei dati. Chi controlla i risultati della scansione? Dove vengono conservati? Chi garantisce che un’informazione non venga usata per altri scopi? Anche se la proposta prevede che solo i casi “verificati” vengano trasmessi al Centro Europeo, l’infrastruttura tecnica necessaria per filtrare, archiviare e inviare i dati rappresenta un rischio enorme in termini di cybersecurity. Una violazione o un abuso di questo sistema non sarebbe paragonabile a un normale furto di dati: significherebbe esporre comunicazioni private, immagini e informazioni personali di milioni di cittadini europei.
Sul piano giuridico, la CSAR è in evidente tensione con il GDPR e la Carta dei Diritti Fondamentali dell’Unione Europea. Gli esperti di privacy hanno parlato chiaramente di una “sorveglianza di massa preventiva”, vietata dalle leggi europee. E nel 2024, la Corte Europea dei Diritti dell’Uomo ha stabilito che nessun governo può imporre la rimozione o l’indebolimento della crittografia in nome della sicurezza collettiva.
C’è anche un rischio di “scope creep”, cioè l’espansione graduale dello scopo del controllo. Una volta costruita un’infrastruttura che può leggere tutto, sarà difficile garantire che venga usata solo per un tipo di crimine. Basterebbe un emendamento o un cambio politico per estendere la scansione ad altri reati, come terrorismo, truffe fiscali o persino “disinformazione”.
Dal punto di vista tecnologico, poi, la CSAR è quasi impossibile da implementare senza rompere l’architettura della sicurezza digitale. Nessuna grande piattaforma può analizzare i messaggi localmente senza modificare profondamente il funzionamento dei propri sistemi. E anche se lo facesse, gli utenti più esperti troverebbero presto il modo di aggirare il controllo, magari usando app open source o canali decentralizzati.
Il Parlamento Europeo ha già espresso la sua contrarietà a questo tipo di sorveglianza, chiedendo che ogni indagine avvenga solo su base mirata e con un ordine giudiziario. Il Consiglio, invece, resta diviso, e per ora la proposta è ferma.
In sintesi, la CSAR solleva una questione centrale: come proteggere i minori senza distruggere la sicurezza digitale e la libertà di comunicazione di tutti. Le alternative ci sono: rafforzare la cooperazione internazionale tra le forze dell’ordine, investire nell’educazione digitale, migliorare le tecniche di indagine mirata e sviluppare strumenti di segnalazione gestiti direttamente dagli utenti, non da un algoritmo che spia tutto.
Perché la sicurezza dei minori è un obiettivo sacrosanto, ma un’Europa sotto controllo costante non sarebbe più un luogo sicuro, sarebbe solo un luogo sorvegliato.