In un’Europa sempre più divisa tra la tutela della privacy e le esigenze di sicurezza, la proposta di regolamento UE nota come Chat Control — ufficialmente Child Sexual Abuse Regulation (CSAR) del maggio 2022 — sta scatenando una reazione senza precedenti. Meredith Whittaker, presidente della Signal Foundation, non usa mezzi termini: implementare il sistema di scansione proposto dall’Unione Europea sarebbe come “installare un malware sui dispositivi degli utenti”. Una metafora forte, che non nasce da una posizione ideologica, ma da un’analisi tecnica precisa e inappellabile.
La “proposta malware”
Il cuore della proposta CSAR prevede l’obbligo per le piattaforme di comunicazione di scansionare i messaggi privati — anche quelli cifrati end-to-end — alla ricerca di contenuti illegali, in particolare materiale pedopornografico. Per farlo, si ipotizza l’integrazione di sistemi di client-side scanning, dove il controllo non avviene sui server, ma direttamente sul dispositivo dell’utente, prima ancora che la cifratura entri in gioco.
È proprio qui che il meccanismo mostra la sua falla tecnologica e filosofica. Per Whittaker, non esiste un modo sicuro di implementare questa funzionalità senza minare alla base il principio della cifratura end-to-end. Qualsiasi backdoor o sistema di analisi lato client, per quanto “limitato” nelle intenzioni, introduce un punto di ingresso controllato da terzi — un varco che, per sua natura, non può rimanere riservato. Se esiste una chiave per le forze dell’ordine, esiste potenzialmente per chiunque abbia le competenze e l’opportunità di sfruttarla.
Signal, da sempre simbolo della privacy digitale, ha già annunciato che non esiterà a ritirarsi dal mercato europeo piuttosto che compromettere la sicurezza dei suoi utenti globali. Una presa di posizione estrema, ma coerente con un modello di business che non monetizza i dati degli utenti e che fonda la propria reputazione sull’inviolabilità delle comunicazioni.
La posta in gioco non è solo tecnica, ma giuridica e sociale. Il Chat Control — nella sua attuale formulazione — rischia di normalizzare una forma di sorveglianza generalizzata, trasformando ogni smartphone in un potenziale strumento di analisi comportamentale. E mentre l’Europa prova a bilanciare sicurezza e diritti fondamentali, il dibattito si sposta su un terreno più ampio: fino a che punto un governo o un’istituzione sovranazionale può spingersi nel monitoraggio delle comunicazioni private senza svuotare di significato il diritto alla riservatezza?
La posizione dei governi
In vista della cruciale riunione del Chat Control prevista per il 14 ottobre, la Germania rimane un voto decisivo. Eppure, il governo continua a inviare messaggi contrastanti.
La Germania è tra i Paesi che hanno cambiato posizione in vista di questo importante giorno. Dopo essersi unita ai Paesi contrari alla scansione obbligatoria delle chat a settembre, la nazione è passata tra gli indecisi, e secondo gli ultimi dati, ora si dimostra contraria.
La Germania era tra i paesi indecisi, come l’Italia. Jens Spahn, Presidente del gruppo parlamentare CDU/CSU, ha comunicato che il paese è contrario al monitoraggio delle chat, in quanto sarebbe come aprire tutte le lettere per vedere se contengono qualcosa di illegale.
Alcuni osservatori sottolineano come la proposta CSAR rappresenti un pericoloso precedente, non dissimile da meccanismi già sperimentati in Cina o Russia, sebbene con finalità dichiarate diverse. Il rischio è che, una volta implementata, la architettura di scanning possa essere estesa ad altre forme di contenuto “indesiderato” — dalla disinformazione all’attivismo politico.
In attesa del voto del Parlamento Europeo, previsto per i prossimi mesi, la posizione di Signal è condivisa da altre realtà del mondo tech orientate alla privacy, come Element e Session. Ma è anche vero che i colossi del web — da Meta a Google — potrebbero essere più inclini a trovare un accordo, complici i modelli di business già basati sulla profilazione.
Quello che è certo è che il confine tra protezione e controllo si sta assottigliando. E in questa partita, l’Europa rischia di perdere non solo un’applicazione come Signal, ma anche la propria credibilità come garante dei diritti digitali. Perché, come ricorda Whittaker, “una backdoor è una backdoor, anche quando la chiamiamo ‘accesso mirato’”. E nel cyberspazio, una volta aperta, non si chiude più.