Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il quadro

Chat Control scaduto: o prevale il diritto o comandano le piattaforme

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Riguardo alla deroga scaduta su Chat Control, le piattaforme scelgono la scansione volontaria. Non stanno solo colmando un vuoto, ma stanno consolidando, e in qualche misura imponendo, una prassi. E lo fanno sul terreno del diritto europeo. Ecco cosa accade e la posizione delle istituzioni

Pubblicato il 17 apr 2026
Agostino Ghiglia

Componente del Garante per la protezione dei dati personali

Chat Control Consiglio UE approvato; Chat Control scaduto: o prevale il diritto o comandano le piattaforme
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il 3 aprile 2026 è scaduta una deroga. Non una qualsiasi, ma quella che negli ultimi anni abbiamo imparato a chiamare, con una certa semplificazione giornalistica, Chat Control.

In realtà, il suo nome tecnico è Regolamento (UE) 2021/1232, cioè quella norma che, in via eccezionale e temporanea, consentiva alle piattaforme di analizzare le comunicazioni private degli utenti per individuare contenuti di abuso sui minori.

Scaduta la deroga, il tempo è finito. Ma la prassi – auto-consolidatasi – continua. Ed è proprio in questo scarto tra diritto e realtà che risiede il cuore, o forse sarebbe più corretto dire il “server”, del problema.

Adesso o prevale il diritto o comandano le piattaforme. Ecco perché.

Chat Control: quando la protezione dei minori sfida la riservatezza digitale

Dopo la deroga, la posizione ufficiale delle piattaforme

Era una deroga. E, come tutte le eccezioni, aveva due caratteristiche: una giustificazione forte – ancorché, a mio avviso, discutibile per l’eccessiva intrusione nella riservatezza delle comunicazioni – e un limite temporale chiaro.

Il termine era il tempo, giacché, nel frattempo, l’Unione europea avrebbe dovuto costruire un quadro stabile, quello che oggi conosciamo come proposta COM(2022) 209 final, il vero Chat Control in senso proprio, ancora fermo nei negoziati. Ora la norma si è esaurita. Tuttavia, le piattaforme hanno affermato senza ambiguità che continueranno comunque nella loro opera di vigilanza preventiva.

La scansione volontaria dei privati

Non è un’impressione né una lettura critica: è una presa di posizione ufficiale.

Il 27 marzo 2026, sul blog istituzionale di Google – in un testo che riflette una linea condivisa anche da Meta, Microsoft e Snap – si legge chiaramente che le aziende “will continue to take voluntary action” per individuare contenuti di abuso nei loro servizi di comunicazione.

Pochi giorni prima, il 19 marzo 2026, una dichiarazione congiunta pubblicata da Snap e sottoscritta anche da TikTok e LinkedIn, oltre che dalle altre grandi piattaforme, aveva chiesto esplicitamente alla UE di prorogare la deroga, ritenuta essenziale per continuare queste attività.

Le piattaforme impongono una prassi

Se si leggono insieme queste due dichiarazioni, emerge un dato che non può essere ignorato: le piattaforme non stanno semplicemente colmando un vuoto, stanno consolidando, e in qualche misura imponendo, una prassi.

E lo fanno su un terreno che, nel diritto europeo, è tra i più sensibili in assoluto: quello delle comunicazioni private.

Chat Control, la posizione delle istituzioni

La Commissione europea ha affermato, attraverso un suo portavoce – con una voce che appare francamente troppo flebile rispetto alla portata del tema – che senza una base giuridica tali attività di rilevazione proattiva non sono più autorizzate, aggiungendo che la protezione dei minori non può essere lasciata a decisioni autonome delle imprese, ma deve poggiare su regole chiare e vincolanti.

È una presa di posizione corretta, ma rischia di risultare inefficace, perché tra l’affermazione del principio e la realtà operativa si è aperto uno spazio che oggi viene riempito dalla decisione unilaterale delle piattaforme.

Non è in discussione la necessità di contrastare fenomeni gravissimi come lo sfruttamento minorile. Sarebbe persino superfluo ribadirlo. Il problema è il modello che si sta costruendo per farlo.

Negli ultimi anni si è passati progressivamente da interventi mirati, inseriti in un contesto investigativo e autorizzati, a forme di analisi automatizzata su larga scala, capaci di coinvolgere indistintamente le comunicazioni degli utenti.

È un cambiamento silenzioso ma decisivo, perché segna il passaggio dalla sorveglianza selettiva a quella preventiva.

Il diritto europeo e il ruolo dei soggetti privati

La mia posizione, da sempre critica verso il cosiddetto Chat Control, resta ferma. Non per negare il problema, ma per evitare che la soluzione introduca un precedente più ampio del problema stesso.

Il diritto europeo, attraverso il Regolamento generale sulla protezione dei dati e la Carta dei diritti fondamentali dell’Unione europea, ha costruito un equilibrio preciso: la riservatezza delle comunicazioni non può essere sacrificata mediante forme di controllo generalizzato e indiscriminato.

La Corte di giustizia lo ha ribadito più volte, proprio per evitare che esigenze legittime si trasformino in strumenti permanenti di compressione dei diritti.
Oggi, però, siamo su quella soglia. E forse l’abbiamo già superata.

Ciò che rende questa fase particolarmente delicata è che non è lo Stato a spingersi oltre, ma soggetti privati che, in assenza di una base normativa, decidono comunque di proseguire attività che incidono direttamente su diritti fondamentali.

È un rovesciamento che sfiora la sovversione dell’ordine giuridico: non è più il diritto che autorizza e delimita, ma la prassi di operatori privati che finisce per dettare il perimetro delle libertà.

Chat Control e il ruolo della crittografia

In questo quadro, il tema della crittografia non è un dettaglio tecnico, ma un punto strutturale.

I sistemi di rilevazione implicano, in molti casi, un accesso ai contenuti che entra in tensione con la cifratura end-to-end, cioè con uno degli strumenti più solidi per garantire la sicurezza delle comunicazioni digitali.

Indebolire la cifratura per controllare meglio significa inevitabilmente esporre di più, e questa esposizione non riguarda solo chi commette reati, ma l’intero ecosistema delle comunicazioni.

La zona grigia

Per questo la posizione della Commissione non può restare su un piano interlocutorio, quasi sommesso. Dire che manca una base giuridica e, nello stesso tempo, tollerare che le attività continuino significa lasciare aperta una zona grigia che, con ogni probabilità, finirà per consolidarsi.

Serve un passaggio più netto, una presa di posizione che non si limiti a descrivere il problema, ma lo affronti con la necessaria chiarezza.

Perché il nodo è ormai venuto al pettine: o queste attività vengono sospese, in assenza di una base normativa che le legittimi, oppure si ammette apertamente che il sistema sta già funzionando secondo una logica diversa, in cui la prassi precede la regola e la tecnocrazia finisce per prevalere sulla democrazia.

Tertium non datur. E soprattutto non esiste una terza via compatibile con l’impianto dei diritti fondamentali dei cittadini europei.

Il principio irrinunciabile

In gioco non c’è soltanto una tecnica di contrasto a un fenomeno criminale, ma la tenuta di un principio irrinunciabile: le comunicazioni private non possano diventare oggetto di controllo generalizzato, nemmeno quando la finalità è condivisibile.

Se questo principio si incrina, non lo fa in modo evidente, ma attraverso piccoli scarti, tolleranze, eccezioni che diventano abitudini.

E quando l’abitudine precede la legge, la legge finisce troppo spesso per limitarsi a ratificare.

È esattamente questo il passaggio che oggi l’Europa deve evitare. E forse, per farlo, non basta più parlare: serve alzare la voce e ricordare che, in Democrazia, è il diritto – e non il mercato – ad avere l’ultima parola.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Agostino Ghiglia
Componente del Garante per la protezione dei dati personali
Componente del Garante per la protezione dei dati personali

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Cala il numero delle imprese che pagano riscatti e diminuisce anche l'importo richiesto dagli aggressori che mettono a segno campagne ransomware

  • sicurezza aziendale

    Ransomware, il 23% delle vittime paga il riscatto (e gli attaccanti corrono ai ripari)

    01 Dic 2025

    di Giuditta Mosca

    Condividi
  • DarkSword

  • nuove minacce

    DarkSword, l'exploit kit che ha violato gli iPhone di mezzo mondo per rubare dati riservati

    19 Mar 2026

    di Paolo Tarsitano

    Condividi
  • MLOps, come collegare il machine learning alla fase applicativa

  • intelligenza artificiale

    MLOps: come portare il machine learning dalla sperimentazione alla produzione

    03 Dic 2025

    di Vincenzo Calabrò

    Condividi
  • Facebook passkey come attivarla su iOS e Android

  • metodi di accesso

    Facebook: password addio, arrivano le più sicure passkey su Android e iOS

    19 Giu 2025

    di Paolo Tarsitano

    Condividi
0
Lascia un commento, la tua opinione conta.x