27.11.25

venerdì 28.11.25

29.11.25

Il controllo delle chat è tornato all’ordine del giorno

di Thomas Fazi

Il piano inquietante dell’UE per scansionare i messaggi privati dei cittadini viene ora spinto attraverso la backdoor – equivarrebbe a una sorveglianza di massa su scala massiccia e senza precedenti.

Sostieni acro-polis

Sostenerci è una cosa buona per noi e per le migliaia di lettori che ci leggono a sbafo!

In teoria, il controllo delle chat avrebbe dovuto essere sepolto il mese scorso. Il piano inquietante dell’UE per scansionare in massa i messaggi privati dei cittadini è stato affrontato con una schiacciante resistenza pubblica in Germania, con il governo del paese che si rifiuta di approvarlo. Ma Bruxelles raramente si ritira solo perché l’opinione pubblica lo richiede. E così, fedele alla forma, una versione rielaborata del testo viene già spinta in avanti – questa volta fuori dalla vista, a porte chiuse.

Chat Control, formalmente noto come Child Sexual Abuse Regulation, è stato proposto per la prima volta dalla Commissione europea nel 2022. Il piano originale avrebbe reso obbligatorio per i fornitori di e-mail e messenger scansionare le comunicazioni private, anche crittografate, con il presunto scopo di rilevare materiale di abuso sessuale su minori.

Lo strumento è stato venduto come una crociata nobile contro alcuni dei crimini più orribili del mondo. Ma i critici hanno sostenuto che lo strumento rischiava di diventare un progetto per la sorveglianza generalizzata, essenzialmente dando agli Stati e alle istituzioni dell’UE la possibilità di scansionare ogni messaggio privato.

https://www.asterios.it/catalogo/il-capitale-sorvegliante

Una lettera aperta (leggi allegato a fine articolo) firmata da 18 dei principali accademici europei in materia di sicurezza informatica e privacy ha avvertito che l’ultima proposta pone “alti rischi per la società senza chiari benefici per i bambini”. Il primo, a loro avviso, è l’espansione della scansione “volontaria”, compresa l’analisi del testo automatizzato utilizzando l’IA per identificare comportamenti ambigui di “grooming”. Questo approccio, sostengono, è profondamente imperfetto. Gli attuali sistemi di intelligenza artificiale non sono in grado di distinguere correttamente tra conversazione innocente e comportamento abusivo. Come spiegano gli esperti, il rilevamento della toelettatura guidato dall’IA rischia di spazzare un gran numero di conversazioni private normali in una rete di dragnet, travolgendo gli investigatori con falsi positivi ed esponendo comunicazioni intime a terzi.

L’attivista per i diritti digitali e l’ex eurodeputato Patrick Breyer hanno ulteriormente sottolineato questo pericolo osservando che nessuna IA può distinguere in modo affidabile tra flirt innocente, sarcasmo umoristico e toelettatura criminale. Ha avvertito che questo equivale a una forma di caccia alle streghe digitale, per cui la semplice comparsa di parole come “amore” o “incontro” in una conversazione tra familiari, partner o amici potrebbe innescare un controllo intrusivo. Questa non è protezione dei minori, ha sostenuto Breyer, ma il sospetto di massa diretto all’intera popolazione.

Anche sotto il regime volontario esistente, la polizia federale tedesca avverte che circa la metà di tutte le segnalazioni ricevute sono penalmente irrilevanti, che rappresentano decine di migliaia di chat legali trapelate ogni anno. Secondo la polizia federale svizzera, nel frattempo, l’80% dei contenuti segnalati dalle macchine non è illegale. Potrebbe, ad esempio, comprendere innocue foto delle vacanze che mostrano bambini nudi che giocano in una spiaggia. Il nuovo testo espanderebbe drasticamente questi rischi.

Ulteriori preoccupazioni derivano dall’articolo 4 della nuova proposta di compromesso, che impone ai fornitori di attuare “tutte le misure di attenuazione del rischio appropriate”. Questa clausola potrebbe consentire alle autorità di fare pressione sui servizi di messaggistica crittografata per abilitare la scansione, anche se questo mina il loro modello di sicurezza di base. In pratica, questo potrebbe significare richiedere a fornitori come WhatsApp, Signal o Telegram di scansionare i messaggi sui dispositivi degli utenti prima che venga applicata la crittografia.

La Electronic Frontier Foundation ha osservato che questo approccio rischia di creare un’infrastruttura di sicurezza permanente, che potrebbe gradualmente diventare universale. Meta, Google e Microsoft scansionano già contenuti non crittografati volontariamente; estendere questa pratica a contenuti crittografati richiederebbe semplicemente modifiche tecniche. Inoltre, ciò che inizia come un’opzione volontaria può facilmente diventare obbligatorio nella pratica, poiché le piattaforme devono affrontare pressioni reputazionali, legali e di mercato per “cooperare” con le autorità. Inoltre, questo non riguarda solo le persone nell’UE, ma tutti in tutto il mondo, compresi gli Stati Uniti. Se le piattaforme decidessero di rimanere nell’Ue, sarebbero costrette a scandagliare le conversazioni di tutti nel blocco. Se non sei nell’UE, ma chatti con qualcuno che lo è, allora anche la tua privacy è compromessa.

Allegato

17 novembre 2025 – Commenti sulla nuova proposta della Presidenza dell’UE relativa al regolamento sugli abusi sessuali sui minori

Egregi membri del Consiglio dell’Unione europea, Egregi ambasciatori, vi scriviamo in risposta alla nuova proposta della Presidenza del 13 novembre 2025 (15318/25).

Accogliamo con favore le modifiche apportate alla nuova proposta che eliminano la natura obbligatoria del rilevamento dei materiali pedopornografici sui dispositivi. Riteniamo che ciò migliori in modo significativo l’equilibrio tra le protezioni indispensabili per i minori online e i rischi per la sicurezza e la privacy che tali protezioni comportano per la società nel suo complesso.

Tuttavia, temiamo che altri aspetti della proposta continuino a comportare rischi elevati per la società senza evidenti benefici per i minori.

Ampliare l’ambito di applicazione del rilevamento

Il primo aspetto riguarda l’ampliamento dell’ambito di rilevamento. Facendo riferimento alle attività volontarie ai sensi del regolamento (UE) 2021/1232 (deroga temporanea agli articoli 5, paragrafo 1, e 6, paragrafo 1, della direttiva ePrivacy), la proposta ripristina la possibilità di analizzare contenuti oltre alle immagini e agli URL, compresi testi e video, e di rilevare CSAM di nuova generazione. Come già segnalato dagli esperti di sicurezza di tutto il mondo in una lettera aperta nel luglio 2023, l’attuale tecnologia di intelligenza artificiale è ben lungi dall’essere sufficientemente precisa per svolgere questi compiti con le garanzie di accuratezza necessarie. I falsi positivi sembrano inevitabili, sia per i limiti intrinseci delle tecnologie di intelligenza artificiale, sia perché i comportamenti oggetto della normativa sono ambigui e profondamente dipendenti dal contesto.

L’estensione dell’ambito dei formati mirati aumenterà ulteriormente il numero già elevato di falsi positivi, comportando un aumento inaccettabile del costo della manodopera umana per le verifiche aggiuntive e le corrispondenti violazioni della privacy. Abbiamo già fornito diversi esempi per le immagini, ad esempio immagini di nudo inviate a un medico o adolescenti che esplorano la loro sessualità. Gli stessi argomenti sono applicabili ai messaggi di testo che potrebbero corrispondere ad adescamento. Ad esempio, i comportamenti di adescamento possono essere molto simili a interazioni perfettamente accettabili in un contesto amichevole, come le conversazioni con parenti o amici intimi, o le conversazioni tra adolescenti che esplorano nuove relazioni. Pertanto, l’ampliamento dell’ambito di rilevamento apre solo la porta alla sorveglianza e all’esame di una parte più ampia delle conversazioni, senza alcuna garanzia di una migliore protezione e con un alto rischio di diminuire la protezione complessiva, sommergendo gli investigatori di false accuse che impediscono loro di indagare sui casi reali.

Verifica e valutazione obbligatoria dell’età

Un altro aspetto preoccupante è la verifica obbligatoria dell’età e la valutazione dell’età per i negozi di software e i servizi di comunicazione interpersonale crittografati end-to-end che sono considerati ad alto rischio di adescamento. Innanzitutto, vorremmo ribadire quanto spiegato dagli esperti in una recente lettera aperta: l’aggiunta della verifica dell’età non è necessariamente sinonimo di maggiore sicurezza. Se il rilevamento di CSAM non è efficace, la verifica dell’età porta meno benefici e, se la verifica dell’età non è efficace, il rilevamento di CSAM non è utile (ad esempio, per il grooming). Successivamente, vorremmo mettere in guardia sui problemi relativi alle tecnologie di valutazione dell’età e di verifica dell’età.

La valutazione dell’età non può essere effettuata in modo da preservare la privacy con la tecnologia attuale, poiché si basa su informazioni biometriche, comportamentali o contestuali (ad esempio, la cronologia di navigazione), in contraddizione con il considerando e l’articolo 4, paragrafo 3, sopra citati. Di fatto, incentiva la raccolta e lo sfruttamento dei dati (dei minori). La valutazione dell’età si basa attualmente soprattutto su inferenze basate sull’intelligenza artificiale, che per i particolari tipi di dati necessari (ad esempio, i dati biometrici) sono noti per avere alti tassi di errore e per essere distorti nei confronti di alcune minoranze. Concludiamo che la valutazione dell’età presenta un rischio intrinseco sproporzionato di grave violazione della privacy e di discriminazione, senza garanzie di efficacia.

La verifica dell’età si basa in genere sulla presentazione da parte degli utenti di un documento che attesti la loro età proveniente da una fonte autorevole. La presentazione di documenti completi (ad esempio, una scansione del passaporto) comporta ovviamente rischi per la sicurezza e la privacy ed è sproporzionata in quanto rivela molte più informazioni oltre all’età. La presentazione che preserva la privacy, in cui la crittografia viene utilizzata solo per dimostrare che l’età dell’utente è adeguata per accedere al servizio, riduce i rischi per la privacy, ma non è priva di difficoltà. Queste tecnologie rischiano di introdurre dipendenze da hardware sicuro o da particolari fornitori di software e possono quindi comportare una discriminazione degli utenti che non dispongono di dispositivi conformi alle tecnologie più recenti. Imporre requisiti tecnologici senza la garanzia che possano essere implementati senza violare i diritti degli utenti è estremamente rischioso per la società e contrario al mandato di cui all’articolo 4, paragrafo 3.

Leggere Thomas Fazi su acro-polis.it ⇓

L’UE continua ad auto-sabotare la propria economia prendendo di mira gli investimenti cinesi

Anche senza le questioni di cui sopra, la semplice introduzione della tecnologia può comportare una discriminazione, poiché solo le persone in grado di presentare una prova dell’età da parte di un’entità autorevole possono utilizzare il sistema. Una parte consistente della popolazione potrebbe non avere facile accesso ai documenti che forniscono tale prova. Questi utenti, pur essendo adulti con pieno diritto di utilizzare i servizi, sarebbero privati di servizi essenziali (anche alcuni importanti come parlare con un medico). Non si tratta di un problema tecnologico e quindi nessuna tecnologia può risolverlo in modo soddisfacente.

Infine, purtroppo, tutti i rischi sopra citati non sono controbilanciati da una garanzia di efficacia. I controlli di verifica dell’età possono essere facilmente elusi ricorrendo a fornitori al di fuori dell’UE o a VPN per evitare i controlli di geolocalizzazione (entrambi sono stati osservati di recente nel Regno Unito). Entrambi i casi possono comportare rischi più elevati per i minori, poiché questi servizi alternativi possono presentare rischi per la sicurezza (crittografia debole o assente) e pratiche di tracciamento estese, talvolta per scopi dannosi. Questi cambiamenti possono essere prevenuti solo introducendo una maggiore sorveglianza e controlli su Internet, criminalizzando l’uso di tecnologie per la privacy come le VPN e centralizzando ancora di più potere ai produttori di telefoni cellulari e ai loro mercati, vietando dispositivi e app store alternativi. Queste limitazioni sono inerenti alle nostre attuali infrastrutture e mettono in dubbio che la verifica dell’età possa essere implementata nella misura e con l’ampiezza previste dal regolamento in modo proporzionato, in modo che i benefici superino i rischi.

Nel complesso, tali questioni hanno un impatto significativo sulla privacy, sulla discriminazione e sull’accessibilità e, in ultima analisi, sull’efficacia, rendendo incompatibili l’attuazione della verifica e della valutazione dell’età e gli obiettivi fissati nel considerando (16 bis).

Il rilevamento volontario continua a danneggiare la sicurezza e la privacy

Infine, vorremmo ribadire che, anche se implementate volontariamente, le tecnologie di rilevamento sui dispositivi non possono essere considerate uno strumento ragionevole per mitigare i rischi, poiché non vi sono benefici comprovati, mentre il potenziale di danno e abuso è enorme. L’efficacia della tecnologia di rilevamento è attualmente insufficiente e difficilmente migliorerà in modo sostanziale in futuro a causa della natura del compito e dei limiti della tecnologia AI (vedi la lettera degli esperti di sicurezza mondiali del luglio 2023). Inoltre, l’implementazione di un sistema di rilevamento che informa chiunque altro oltre al mittente e al destinatario del contenuto del messaggio (ad esempio, il provider o le forze dell’ordine) significa che il provider non può più affermare di fornire una crittografia end-to-end. Pertanto, qualsiasi comunicazione in cui vengono riportati i risultati di una scansione, anche se volontaria, non può più essere considerata sicura o privata e non può costituire la spina dorsale di una società digitale sana.

Firmato da:

Prof. Diego F. Aranha, Università di Aarhus (Danimarca)

Prof. Olivier Blazy, École Polytechnique (Francia)

Dott.ssa Anne Canteaut, Inria (Francia)

Prof. Cas Cremers, CISPA Helmholtz Center for Information Security (Germania)

Dr. Stephen Farrell, Trinity College Dublin (Irlanda)

Prof. Kimmo Halunen, Università di Oulu (Finlandia)

Prof. Jaap-Henk Hoepman, Università Radboud (Paesi Bassi),

Università di Karlstad (Svezia)

Prof. Anja Lehmann, Università di Potsdam (Germania)

Prof. Vashek Matyas, Università Masaryk (Repubblica Ceca)

Prof. René Mayrhofer, JKU Linz (Austria)

Prof. Kenneth Paterson, ETH Zurigo (Svizzera)

Prof. Bart Preneel, KU Leuven (Belgio)

Prof. Kai Rannenberg, Università Goethe di Francoforte (Germania)

Prof. Peter Y A Ryan, Università del Lussemburgo (Lussemburgo)

Prof. Tjerand Silde, NTNU (Norvegia)

Prof. Juan Tapiador, UC3M (Spagna)

Prof. Carmela Troncoso, MPI-SP (Germania) ed EPFL (Svizzera)

Prof. Stefano Zanero, Politecnico di Milano (Italia)

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.