Sta facendo molto discutere la proposta di Regolamento dell’Unione Europea per prevenire e combattere l’abuso sessuale sui minori online (c.d. CSA Regulation), nota al pubblico come “Chat Control”. Il dibattito si sta polarizzando, come spesso accade con normative che interessano il settore tecnologico, tra apocalittici e integrati, raggiungendo un picco di attenzione mediatico con pochi precedenti e frammentando le posizioni degli Stati membri.
Proviamo a capire cosa sta succedendo. La proposta, avanzata nel maggio 2022 dall’ex Commissaria UE Ylva Johansson, persegue un obiettivo (almeno apparentemente) nobile: contrastare gli abusi sessuali sui minori (CSAM) e l’adescamento online (anche noto come grooming). Nobile, ma anche urgente, se si considera che, nel 2024, si sono registrati oltre 730.000 segnalazioni, stando ai dati dell’Internet Watch Foundation.
Indice degli argomenti
Verso la sorveglianza preventiva?
Il fulcro del dibattito risiede nei mezzi scelti per raggiungere questo fine. La proposta, difatti, imporrebbe ai fornitori di servizi di comunicazione (come WhatsApp, Signal, Instagram, e provider di e-mail) di dotarsi di strumenti per rilevare, segnalare e rimuovere materiali contenenti abusi sessuali sui minori. Questo avverrebbe tramite una scansione, su larga scala, di tutte le comunicazioni private, nota come client-side scanning.
La “pietra dello scandalo” è rappresentata dalla previsione che, qualora le autorità nazionali individuino un “rischio significativo” che una piattaforma sia usata per veicolare materiale illecito, i fornitori sarebbero obbligati a installare strumenti di intelligenza artificiale per analizzare automaticamente testi, immagini e video inviati dagli utenti.
Siamo al cospetto di una forma di sorveglianza di massa o di un passaggio necessario per contrastare la pedopornografia e gli abusi sui minori?
Il Regolamento dovrebbe intervenire sui servizi che utilizzano la crittografia end-to-end (E2EE), progettata per rendere le conversazioni leggibili solo da mittente e destinatario: quindi, per effettuare lo scanning del contenuto, gli algoritmi dovrebbero analizzare il contenuto dei messaggi sul dispositivo dell’utente prima che siano crittografati.
Gli esperti del settore tecnologico hanno chiaramente rilevato ciò non può avvenire senza compromettere l’integrità della E2EE, minando la sicurezza informatica di cittadini e istituzioni, dal momento che si creerebbe una “falla” nel sistema (anche noto come backdoor), che potrebbe essere sfruttata non solo da agenzie governative ma anche da hacker e malintenzionati. Sul piano giuridico, la Corte europea dei diritti dell’uomo ha già sottolineato, seppur con toni “sfumati”, che richiedere una crittografia degradata non è “necessario in una società democratica”.
Apocalittici e integrati
Se osservata dal fronte degli apocalittici, l’Unione europea si appresterebbe a istituzionalizzare una violazione senza precedenti dei diritti fondamentali.
Innanzitutto, l’analisi permanente e totale delle comunicazioni private violerebbe l’art. 7 della Carta dei diritti fondamentali dell’UE e il diritto alla protezione dei dati. Il Comitato e il Garante Europeo per la protezione dei dati (EDPB e EDPS) hanno già espresso forte preoccupazione, avvisando che la proposta potrebbe portare a una scansione indiscriminata e generalizzata. A tale posizione hanno fatto eco anche i servizi legali del Consiglio UE, che hanno criticato l’impatto della soluzione adottata sui diritti dei singoli.
C’è poi un problema tecnico non secondario. Gli algoritmi di intelligenza artificiale, cui si ricorrerebbe per effettuare la scansione, non sono infallibili e generano un alto tasso di falsi positivi. Contenuti innocenti (come foto di famiglia, foto mediche o scatti consensuali tra adolescenti) rischiano di essere erroneamente segnalati, coinvolgendo potenzialmente cittadini innocenti in indagini penali. I primi test, del resto, hanno confermato ampiamente questa preoccupazione.
Secondo il fronte più estremo (o più accorto, a seconda di come lo si guardi), vi sarebbe anche un ulteriore rischio relativo alla repressione del dissenso, che, con l’intento di combattere ora la pedopornografia, ora la lotta al terrorismo o al crimine organizzato, normalizzerebbe e legittimerebbe il controllo di massa.
Dal canto suo, la Commissione Europea – che riveste il ruolo di integrato, secondo la nota dicotomia – sostiene al contrario che le azioni volontarie delle piattaforme si sono finora rivelate insufficienti. Il Regolamento, insieme alla creazione di un EU Centre on Child Sexual Abuse, per centralizzare le segnalazioni e migliorare la cooperazione tra Stati sarebbe invece un passaggio obbligato.
Una inedita spaccatura europea
Non sono mancate, infine, proposte alternative e mirate, formulate sia autorità pubbliche sia da associazioni private: rafforzamento delle forze dell’ordine e capacità investigative specifiche; contrasto al dark web; prevenzione e formazione; supporto alle vittime.
A complicare lo scenario, si sta poi assistendo a una profonda spaccatura tra gli Stati membri, che non rispecchia neanche la tradizione contrapposizione tra Paesi a maggioranza progressista o conservatrice.
Da un lato, Ungheria, Irlanda, Spagna e Danimarca hanno espresso supporto alla proposta; in questo gruppo dovrebbe rientrare anche l’Italia, che, però, non ha una posizione chiara (o ha una posizione di attesa) al riguardo. Dall’altro lato, invece, Paesi Bassi, Austria, Polonia e, da ultima, la Germania, che ha “paralizzato” l’approvazione lo scorso 14 ottobre.
Cosa ci attende ora? Il veto tedesco è una pietra tombale sulla proposta o una semplice fumata nera? La risposta non è scontata, ma è evidente che l’Unione europea, da tempo affetta da un’ansia regolatoria, debba sforzarsi di individuare una linea comune nel complesso equilibrio tra la protezione dei minori e la distopia del cedere a un controllo di massa costante e continuativo.
