ll 26 novembre 2025, dopo tre anni di tira e molla, il comitato COREPER (Committee of Permanent Representatives) del Consiglio dell’Unione Europea ha approvato il testo del Regolamento ‘Chatcontrol’. Presto sarà presentato al Parlamento Europeo per l’avvio del processo che lo porterà a diventare legge.

Di Chatcontrol, o per meglio dire ‘Child Sexual Abuse Regulation’ ne ho parlato davvero molto, fin dal 2022.

L’estrema sintesi è che l’Unione Europea vuole “combattere la pedopornografia online” a tutti i costi, trasformando l’intera infrastruttura comunicativa europea in una macchina semi-automatica di sorveglianza di massa e profilazione del sospetto per 500 milioni di persone.

Quando sarà legge, Internet muterà ontologicamente, trasformandosi in un apparato ritualistico di sorveglianza preventiva. Il Chatcontrol non salverà i bambini, né fermerà la pedopornografia online, ma ogni gesto digitale diventerà un potenziale indizio in un processo nascosto che non avrà mai fine.

Tutti saremo potenziali sospetti - perennemente sotto sorveglianza. Ed è bene che tu lo sappia.

Scopo e ambito di applicazione

Il Chatcontrol si propone come legge per combattere la diffusione di contenuti pedopornografici online. Per farlo, il legislatore vuole costruire un’infrastruttura permanente di identificazione e sorveglianza di massa di ogni sistema di comunicazione e interazione online. Così facendo, l’idea è che i contenuti pedopornografici o i tentativi di adescamento online possano essere bloccati in tempi brevi.

Nella realtà, il Chatcontrol disegna un Panopticon computazionale che dissolve la distinzione tra vita privata e pubblica.

Tutto ciò che usiamo per comunicare o trovare contenuti online sarà soggetto a questo grande apparato pronto ad osservare e giudicare ogni parola sussurrata in chat, ogni immagine trasmessa e ogni video condiviso:

• Hosting (cloud, social, file sharing)

• Servizi di messaggistica, anche se come funzione secondaria (ad esempio nei videogiochi online)

• App store

• ISP

• Motori di ricerca

Detection Orders: l’attivazione del Panopticon

I soggetti a cui si applica il Chatcontrol potranno essere obbligati dalle autorità ad eseguire scansioni sui loro servizi per ricercare contenuti pedopornografici (noti o inediti) o tentativi di adescamento. Ciò significa che i fornitori dei servizi di cui sopra dovranno in ogni caso installare tecnologie di sorveglianza ed estrazione di dati su richiesta, pronte all’uso.

Quando scatta un ordine, il fornitore deve identificare le persone coinvolte, anche geograficamente, e comunicare all’autorità tutti i dati potenzialmente coinvolti nello scambio pedopornografico o nel tentativo di adescamento: indirizzi IP, metadati (giorno, ora, dispositivi usati, identificatori univoci) oltre ovviamente ai contenuti: testo delle chat, immagini, video, audio scambiati. Non è chiara la profondità temporale di questi detection order, ma immagino che possano andare anche molto addietro nel tempo.

Chi può essere obbligato alle scansioni

Solo i servizi ad alto rischio, o sui quali ci sia il ragionevole sospetto della presenza di contenuti pedopornografici o ipotesi di adescamento, possono essere obbligati a scansionare le comunicazioni degli utenti.

Tuttavia, è sufficiente una lettura del testo per rendersi conto che gran parte dei servizi che usiamo quotidianamente saranno classificati ad alto rischio.

Di base, chi eroga servizi di questo tipo, partirà già da una situazione di rischio:

1. Social media platform

2. Servizi di comunicazione elettronica

3. Online gaming

4. Servizi per adulti

5. Forum e chatroom

6. Marketplaces

7. Servizi di storage o sharing di file

8. Servizi di hosting web

9. Motori di ricerca online

10. Servizi direttamente rivolti ai minori

Ogni fornitore poi dovrà valutare, sempre ai fini del rischio, come il servizio è usato dai minori, quali sono le abitudini degli utenti (profilazione di massa) e se il servizio può essere usato per condividere immagini e video.

Il rischio è automaticamente elevato se il fornitore di una piattaforma non è in grado di identificare facilmente più del 60% dei suoi utenti, ad esempio per la mancanza di meccanismi di verifica dell’identità o per la possibilità di aprire accounte temporanei.

Anonimato e pseudoanonimato sono fattori di rischio, e le piattaforme online faranno di tutto per abbattere il rischio. Se a questo aggiungiamo i nuovi obblighi sulla verifica dell’età (e quindi dell’identità), lo scenario diventa presto catastrofico.

Come saranno fatte le scansioni

La legge non impone una specifica tecnologia, ma nel corso degli anni sono state avanzate diverse ipotesi. Alcuni hanno proposto scansioni direttamente sui dispositivi, per tagliare la testa al toro. Tra questi spicca Apple (NeuralHash). Altri propongono soluzioni a metà strada. In generale l’idea è di utilizzare algoritmi d’intelligenza artificiale per la scansione automatizzata dei contenuti (testo, audio, video).

Gli ultimi report indicano un’accuratezza di questi algoritmi di circa l’87-88%.

Ti sembra una buona percentuale? Pensaci bene. In UE vivono circa 500 milioni di persone. Contiamone pure soltanto 400, tenendo conto di bambini, anziani e persone che per qualche motivo non hanno alcuna vita digitale.

Con un tasso medio d’errore del 10%, possiamo quindi presumere che ogni anno almeno 30-40 milioni di persone innocenti potrebbero essere segnalate erroneamente come pedofili, criminali, predatori sessuali a seguito della scansione e qualificazione errata delle loro chat, foto e video.

Lo scanning permanente delle comunicazioni significherà che anche i nostri spazi più fragili, dove costruiamo identità, affetti e desideri, verranno attraversati e giudicati da corpi estranei.

Che sia sul tuo dispositivo, nel Cloud dei social network o nei meandri delle chat dei tuoi videogiochi preferiti… da qualche parte, qualcuno, leggerà le tue chat private, e si guarderà con gusto i tuoi selfie senza vestiti. I tuoi - e quelli dei tuoi figli. Non penserai mica che la legge escluda i minori? È una legge fatta per loro!

Chi resta fuori

Ci sono delle eccezioni all’incubo della sorveglianza di massa, ma non sono per te. I servizi di comunicazione dedicate alla sicurezza nazionale e i servizi di comunicazione non accessibili al pubblico, come intranet aziendali o governative, non possono essere monitorati.

In altre parole: si applica a chiunque tranne che a grandi corporazioni, politici, militari, burocrati e diplomatici in generale.

Come cambieranno le cose

Facciamo uno sforzo pratico.

Come cambierà Internet per gli europei dopo il Chatcontrol? Beh, tutti gli spazi anonimi o pseudoanonimi oggi esistenti, dove parli delle tue ansie, delle tue idee politiche o della tua sessualità senza nome e cognome, diventeranno automaticamente ad “alto rischio”. In altre parole: spariranno gradualmente.

Per servizi come Reddit o Discord, dove oggi è facilmente possibile creare account anonimi con e-mail usa e getta, significa:

• Verifica dell’età e dell’identità per la registrazione: il modo più semplice e utilizzato è la scansione biometrica della tua faccia.

• Sorveglianza attiva dei messaggi privati, come servizio a rischio

• Divieto di accesso tramite VPN e/o divieto di account multipli

• Raccolta estensiva di dati personali molto sensibili, come la geolocalizzazione del tuo dispositivo

E per servizi come Telegram, forse è ancora peggio. Indubbiamente ad altissimo rischio (anche per antipatie politiche) sarà obiettivo primario di detection orders a cascata. Anche per Telegram mi aspetto meccanismi di verifica dell’età tramite documenti o identificazione biometrica, geofencing (cioè divieto di usare IP diversi da quello della residenza dichiarata), sorveglianza pervasiva di ogni canale.

Neanche WhatsApp si salverà. Già oggi Meta raccoglie ampie quantità di dati e metadati per ogni comunicazione inviata. Grazie al Chatcontrol potranno estendere legalmente la sorveglianza passiva — arrivando anche ad accedere ai contenuti privati delle nostre conversazioni.

Oltre al danno, anche la beffa

Chatcontrol non è soltanto una legge per la sorveglianza di massa, ma un rito di sottomissione ai colossi d’Oltreoceano. Il legislatore europeo, che da anni blatera di sovranità digitale, ha consegnato all’industria digitale americana e cinese il ruolo di guardiani e giudici della moralità. Altro che GDPR!

E noi siamo qui ancora a raccontarci l’Unione Europea come un’oasi felice per la privacy e diritti delle persone, mentre ci avviamo in marcia verso la nostra fossa comune.

Cosa possiamo fare, noi comuni mortali

Chatcontrol inaugura un’epoca in cui la privacy diventa una tecnica di sopravvivenza. Se l’Europa vuole trasformare l’infrastruttura digitale in un laboratorio per la profilazione preventiva, l’unica risposta possibile è diventare più competenti delle macchine che ci osservano.

Questo significa adottare una postura che alcuni definirebbero cripto-anarchica, ma che oggi rappresenta una misura di salvaguardia della propria dignità:

• prendere possesso del proprio hardware e del proprio software, spezzando l’illusione di controllo data da Microsoft, Apple e Google

• spostare le proprie comunicazioni verso sistemi realmente cifrati e decentralizzati, che minimizzano la creazione di metadati tossici e non necessitano di identificazione

• proteggere dati, identità e abitudini con strumenti e pratiche che riducono la correlazione tra ciò che fai e chi sei

• imparare l’arte della privacy operativa

Esiste già una cassetta degli attrezzi pronta all’uso: sistemi operativi alternativi, protocolli sicuri, strategie di opacità. Alcuni di questi sono raccolti qui, nel Digital Grimoire. Altri approfondimenti arriveranno presto con un manuale dedicato agli iniziati (abbonati) di Cyber Hermetica.

Non devi diventare invisibile. Nessuno può esserlo, ormai. Devi semplicemente ritrovare e mantenere la tua dimensione di umana imprevedibilità.