Berlino salva la privacy delle chat online – ma il rischio censura resta all’orizzonte

di Fabio Ashtar Telarico

Con una presa di posizione netta del nuovo esecutivo guidato da Friedrich Merz, la Germania ha annunciato che non approverà l’attuale testo della proposta di regolamento “per il contrasto degli abusi sessuali sui minori online” (CSAR). La normativa è stata soprannominata in maniera tutt’altro che affettuosa Chat control da diversi esperti di cybersicurezza. Chat Control è stata aspramente criticata anche da società dell’economia digitali come Signal, la Mozilla foundation, e NextCloud. Il testo imporrebbe ai servizi di messaggistica la scansione preventiva sul dispositivo di immagini, video e URL prima della cifratura E2EE (end-to-end encrypted). La mossa congela il tentativo della presidenza danese di chiudere il dossier a metà ottobre e consolida una minoranza di blocco in Consiglio. La ministra della Giustizia Stefanie Hubig ha definito inaccettabile la proposta in discussione affermando che “La scansione di massa dei messaggi privati deve essere vietata in uno Stato di diritto.” Tradotto: si può tirare un respiro di sollievo, per ora; ma la partita coi censori resta aperta.

Nel merito, il pacchetto danese prevedeva ordini di controllo di tutti i messaggi inviati sul dispositivo del mittente prima della cifratura (cosiddetto client-side scanning o CSS). Il contenuto in chiaro dovrebbe essere trasmetto a un centro coordinato dall’UE col compito di gestire le scansioni e monitorare i fornitori dei servizi di chat. Le due autorità europee per la protezione dati, l’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS) hanno avvertito che un impianto del genere rischia di sfociare in una scansione generalizzata e indiscriminata. In particolare, l’EDPS ha commentato la proposta notando “il rischio che la proposta possa gettare le basi per una scansione generalizzata e indiscriminata” di contenuti privati e perfettamente legali. Al contempo, il Parlamento europeo si è già pronunciato per proteggere l’E2EE e limitare il CSS. Il no tedesco ha fatto venire meno i numeri in Consiglio, congelando il voto atteso a metà ottobre. Così facendo, Berlino salva la partita per la privacy e chiude la porta a ogni versione futura del Chat control che preveda sorveglianza indiscriminata del traffico dati. Nel frattempo, la deroga ePrivacy consente alle piattaforme la segnalazione volontaria fino al 3 aprile 2026, senza imporre scansioni universali. Non stupisce, quindi, la linea dura dell’industria contro il Chat control, fino alla minaccia di uscita dal mercato UE delle piattaforme di messaggistica private Signal e Tuta, nonché le rimostranze di Telegram e persino WhatsApp.

Sul piano della cybersicurezza, il “salvataggio” tedesco evita (almeno per ora) un precedente pericoloso: backdoor e CSS trasformerebbero ogni smartphone, computer, e tablet in terminali d’ispezione governativa, spostando il perimetro di fiducia sui canali di aggiornamento e sugli indicatori centrali. Questa architettura è strutturalmente vulnerabile e sfuggi a ogni giudizio di proporzionalità tra diritto alla privacy e repressione dei crimini online. Inoltre, l’idea che la privacy rimarrebbe intatta nonostante il CSS sostenuta dall’ex-commissario europeo per gli affari interni Ylva Johansson o la Commissione UE in carica, è del tutto scientificamente infondata. Lo stesso EDPB ha sottolineato che “l'utilizzo di strumenti per l'intercettazione e l'analisi delle comunicazioni è fondamentalmente in contrasto con l'E2EE.”

Tuttavia, i rischi per la privacy rimangono, con tre scenari possibili per il prossimo futuro:

1. Compromesso minimalista in accordo col Parlamento Europeo e i garanti della privacy: Accantonamento del CSS, limitazione degli obblighi a ordini dell’autorità giudiziaria, identificazione di materiale illegale noto e presìdi giudiziari più stringenti.
2. Stallo prolungato nella speranza che il governo tedesco cambi posizione: Senza numeri in Consiglio, il fascicolo slitta al primo semestre 2026, con un nuovo punto politico a fine anno e copertura garantita dalla deroga ePrivacy fino al 3 aprile 2026 (con eventuale proroga).
3. Forzatura politica per spingere il CSS al più presto: tentativo di voto immediato su un testo con CSS che si scontrerebbe con un parlamento europeo generalmente ostile all’indebolimento dell’E2EE e con l’industria pronta a reagire.

Insomma, la privacy è salva solo perché il nuovo governo tedesco tiene la linea. Tuttavia, le prospettive future promettono più controllo nell’UE, con rischi crescenti per la cybersicurezza di cittadini e istituzioni. Inoltre, la scansione indiscriminata delle conversazioni potrebbe facilmente aprire la porta a una nuova stagione di censura crescente in Europa, dopo la repressione già occorsa in Germania come altrove nell’UE e criticata dal vicepresidente statunitense J. D. Vance.